1. 科技訊首頁(yè)
  2. 產(chǎn)經(jīng)

2024 年 3 月頭號(hào)惡意軟件:黑客利用新型感染鏈方法傳播 Remcos

陳晨 ? ? 產(chǎn)經(jīng)

研究人員發(fā)現(xiàn)了一種部署遠(yuǎn)程訪問(wèn)木馬 (RAT) Remcos 的新方法,該方法會(huì)繞過(guò)常用安全措施,獲得對(duì)受害者設(shè)備的未授權(quán)訪問(wèn)。

2024 年 4 月, 領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺(tái)提供商 Check Point? 軟件技術(shù)有限公司(納斯達(dá)克股票代碼:CHKP)發(fā)布了其 2024 年 3 月《全球威脅指數(shù)》報(bào)告。上月,研究人員發(fā)現(xiàn)黑客正利用虛擬硬盤 (VHD) 文件部署遠(yuǎn)程訪問(wèn)木馬 (RAT) Remcos。

Remcos 是一種已知的惡意軟件,于 2016 年首次現(xiàn)身。在其最新攻擊活動(dòng)中,網(wǎng)絡(luò)犯罪分子繞過(guò)常用安全措施,獲得了對(duì)受害者設(shè)備的未授權(quán)訪問(wèn)。盡管該工具的最初合法用途是遠(yuǎn)程管理 Windows 系統(tǒng),但很快就被網(wǎng)絡(luò)犯罪分子用于感染設(shè)備、獲取截屏、記錄擊鍵次數(shù)并將收集到的數(shù)據(jù)傳輸?shù)街付ǖ闹鳈C(jī)服務(wù)器。此外,遠(yuǎn)程訪問(wèn)木馬 RAT 還具有郵件群發(fā)功能,能夠?qū)嵤┓职l(fā)攻擊活動(dòng)。總體而言,其各種功能都可用于創(chuàng)建僵尸網(wǎng)絡(luò)。上月,它在頭號(hào)惡意軟件排行榜中的排名從 2 月份的第六位上升到了第四位。

Check Point 軟件技術(shù)公司研究副總裁 Maya Horowitz 表示:“攻擊手段的演變說(shuō)明網(wǎng)絡(luò)犯罪策略在不斷升級(jí)。這要求用戶盡快采取主動(dòng)防護(hù)措施。通過(guò)保持警惕、部署強(qiáng)大的端點(diǎn)保護(hù)和開展網(wǎng)絡(luò)安全教育,我們可以共同加強(qiáng)防御,有效抵御不斷變化的網(wǎng)絡(luò)威脅?!?/p>

Check Point 勒索軟件指數(shù)報(bào)告匯總了從雙重勒索勒索軟件團(tuán)伙運(yùn)營(yíng)的勒索軟件“羞辱網(wǎng)站”(攻擊者在這些網(wǎng)站上公布受害者信息)獲得的洞察分析。Lockbit3 再次位列第一,其攻擊數(shù)量占已發(fā)布攻擊的 12%,其次是 Play 和 Blackbasta,分別占 10% 和 9%。首次躍居前三位的 Blackbasta 聲稱對(duì)蘇格蘭律師事務(wù)所 Scullion Law 最近遭受的網(wǎng)絡(luò)攻擊負(fù)責(zé)。

上月,“Web 服務(wù)器惡意 URL 目錄遍歷漏洞”是最常被利用的漏洞,全球 50% 的機(jī)構(gòu)因此遭殃,緊隨其后的是“HTTP 載荷命令行注入”和“HTTP 標(biāo)頭遠(yuǎn)程代碼執(zhí)行”,分別影響了全球 48% 和 43% 的機(jī)構(gòu)。

頭號(hào)惡意軟件家族

* 箭頭表示與上月相比的排名變化。

FakeUpdates 是上月最猖獗的惡意軟件,影響了全球 6% 的機(jī)構(gòu),其次是 Qbot 和 Formbook,影響范圍分別為 3% 和 2%。

FakeUpdates – FakeUpdates(又名 SocGholish)是一種使用 JavaScript 編寫的下載程序。它會(huì)在啟動(dòng)有效載荷之前先將其寫入磁盤。FakeUpdates 通過(guò)許多其他惡意軟件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)引致進(jìn)一步破壞。

Qbot – Qbot(又名 Qakbot)是一種多用途惡意軟件,于 2008 年首次出現(xiàn),旨在竊取用戶憑證、記錄擊鍵次數(shù)、從瀏覽器中竊取 cookie、監(jiān)視用戶的銀行業(yè)務(wù)操作,并部署更多惡意軟件。Qbot 通常通過(guò)垃圾郵件傳播,采用多種反 VM、反調(diào)試和反沙盒手段來(lái)阻礙分析和逃避檢測(cè)。從 2022 年開始,它成為最猖獗的木馬之一。

Formbook – Formbook 是針對(duì) Windows 操作系統(tǒng)的信息竊取程序,于 2016 年首次被發(fā)現(xiàn)。由于其強(qiáng)大的規(guī)避技術(shù)和相對(duì)較低的價(jià)格,它在地下黑客論壇中作為惡意軟件即服務(wù) (MaaS) 進(jìn)行出售。Formbook 可從各種 Web 瀏覽器中獲取憑證、收集截圖、監(jiān)控和記錄擊鍵次數(shù)并按照其 C&C 命令下載和執(zhí)行文件。

最常被利用的漏洞

上月,“Web 服務(wù)器惡意 URL 目錄遍歷漏洞”仍是最常被利用的漏洞,全球 50% 的組織因此遭殃。其次是“HTTP 載荷命令行注入”和“HTTP 標(biāo)頭遠(yuǎn)程代碼執(zhí)行”,分別影響了全球 48% 和 43% 的組織。

Web 服務(wù)器惡意 URL 目錄遍歷漏洞(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260)- 不同 Web 服務(wù)器上都存在目錄遍歷漏洞。這一漏洞是由于 Web 服務(wù)器中的輸入驗(yàn)證錯(cuò)誤所致,沒(méi)有為目錄遍歷模式正確清理 URI。未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可利用漏洞泄露或訪問(wèn)易受攻擊的服務(wù)器上的任意文件。

HTTP 載荷命令行注入(CVE-2021-43936,CVE-2022-24086)– 現(xiàn)已發(fā)現(xiàn)一種 HTTP 載荷命令行注入漏洞。遠(yuǎn)程攻擊者可以通過(guò)向受害者發(fā)送特制的請(qǐng)求來(lái)利用此漏洞。攻擊者可通過(guò)該漏洞在目標(biāo)計(jì)算機(jī)上執(zhí)行任意代碼。

↑ HTTP 標(biāo)頭遠(yuǎn)程代碼執(zhí)行 (CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-1375) – HTTP 標(biāo)頭允許客戶端和服務(wù)器傳遞帶 HTTP 請(qǐng)求的其他信息。遠(yuǎn)程攻擊者可能會(huì)使用存在漏洞的 HTTP 標(biāo)頭在受感染機(jī)器上運(yùn)行任意代碼。

主要移動(dòng)惡意軟件

上月,Anubis 位居最猖獗的移動(dòng)惡意軟件榜首,其次是 AhMyth 和 Cerberus。

Anubis – Anubis 是一種專為 Android 手機(jī)設(shè)計(jì)的銀行木馬惡意軟件。 自最初檢測(cè)到以來(lái),它已經(jīng)具有一些額外的功能,包括遠(yuǎn)程訪問(wèn)木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數(shù)百款不同應(yīng)用中均已檢測(cè)到該銀行木馬。

AhMyth – AhMyth 是一種遠(yuǎn)程訪問(wèn)木馬 (RAT),于 2017 年被發(fā)現(xiàn),可通過(guò)應(yīng)用商店和各種網(wǎng)站上的 Android 應(yīng)用進(jìn)行傳播。當(dāng)用戶安裝這些受感染的應(yīng)用后,該惡意軟件便可從設(shè)備收集敏感信息,并執(zhí)行鍵盤記錄、屏幕截圖、發(fā)送短信和激活攝像頭等操作,這些操作通常用于竊取敏感信息。

↑ Cerberus – Cerberus 是一種遠(yuǎn)程訪問(wèn)木馬 (RAT),于 2019 年 6 月首次現(xiàn)身,具有針對(duì) Android 設(shè)備的特定銀行界面覆蓋功能。它以惡意軟件即服務(wù) (MaaS) 模式運(yùn)行,可替代 Anubis 和 Exobot 等停止使用的銀行木馬,具有短消息控制、按鍵記錄、錄音、位置跟蹤器等功能。

主要勒索軟件團(tuán)伙本節(jié)提供的信息來(lái)自由雙重勒索軟件團(tuán)伙運(yùn)營(yíng)的勒索軟件“羞辱網(wǎng)站”,這些網(wǎng)站公布了受害者名稱和信息。來(lái)自這些羞辱網(wǎng)站的數(shù)據(jù)本身存在偏差,但仍可提供有關(guān)勒索軟件生態(tài)系統(tǒng)的寶貴信息。

上月,LockBit3 是最猖獗的勒索軟件團(tuán)伙,其攻擊數(shù)量占已發(fā)布攻擊的 12%,其次是 Play 和 Blackbasta,分別占 10% 和 9%。

LockBit3 – LockBit3 是一種以 RaaS 模式運(yùn)行的勒索軟件,于 2019 年 9 月首次發(fā)現(xiàn)。它主要瞄準(zhǔn)各個(gè)國(guó)家和地區(qū)的大型企業(yè)和政府機(jī)構(gòu)。在 2024 年 2 月因執(zhí)法行動(dòng)而被查封之后,LockBit3 現(xiàn)已恢復(fù)發(fā)布受害者信息。

Play – Play 勒索軟件又稱為 PlayCrypt,該勒索軟件團(tuán)伙于 2022 年 6 月首次現(xiàn)身。這一勒索軟件瞄準(zhǔn)北美洲、南美洲和歐洲的眾多企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施,到 2023 年 10 月影響了大約 300 家實(shí)體。Play 勒索軟件通常通過(guò)被盜的有效賬戶或利用未修補(bǔ)的漏洞(如 Fortinet SSL VPN 中的漏洞)侵入網(wǎng)絡(luò)。得逞后,它會(huì)采用離地攻擊二進(jìn)制文件 (LOLBins) 等各種手段來(lái)執(zhí)行數(shù)據(jù)泄露和憑證竊取等任務(wù)。

Blackbasta – BlackBasta 勒索軟件于 2022 年首次被發(fā)現(xiàn),以勒索軟件即服務(wù) (RaaS) 模式運(yùn)行。幕后攻擊者大多利用 RDP 漏洞和網(wǎng)絡(luò)釣魚電子郵件向組織和個(gè)人散播勒索軟件。

關(guān)于 Check Point 軟件技術(shù)有限公司

Check Point 軟件技術(shù)有限公司 (www.checkpoint.com) 是一家領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺(tái)提供商,為全球超過(guò) 10 萬(wàn)家組織提供安全保護(hù)。Check Point 利用強(qiáng)大的 AI 技術(shù)通過(guò) Infinity 平臺(tái)提高了網(wǎng)絡(luò)安全防護(hù)效率和準(zhǔn)確性,憑借業(yè)界領(lǐng)先的捕獲率實(shí)現(xiàn)了主動(dòng)式威脅預(yù)測(cè)和更智能、更快速的響應(yīng)。該綜合型平臺(tái)集多項(xiàng)云端技術(shù)于一身,包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網(wǎng)絡(luò)安全的 Check Point Quantum,以及支持協(xié)同式安全運(yùn)維和服務(wù)的 Check Point Infinity Core Services。

關(guān)于 Check Point Research

Check Point Research 能夠?yàn)?Check Point Software 客戶以及整個(gè)情報(bào)界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報(bào)。Check Point 研究團(tuán)隊(duì)負(fù)責(zé)收集和分析 ThreatCloud 存儲(chǔ)的全球網(wǎng)絡(luò)攻擊數(shù)據(jù),以便在防范黑客的同時(shí),確保所有 Check Point 產(chǎn)品都享有最新保護(hù)措施。此外,該團(tuán)隊(duì)由 100 多名分析師和研究人員組成,能夠與其他安全廠商、執(zhí)法機(jī)關(guān)及各個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)組展開合作。

本文轉(zhuǎn)載自:http://v.mrkbao.com/news/211202404171405103250389127.html,不代表科技訊之立場(chǎng)。原文鏈接:

陳晨陳晨管理團(tuán)隊(duì)

相關(guān)推薦

發(fā)表回復(fù)

登錄后才能評(píng)論