2024 年 4 月頭號惡意軟件：Androxgh0st 攻擊激增，LockBit3 肆虐程度所下降

研究人員最近發(fā)現(xiàn)，針對 Windows、Mac 及 Linux 平臺的 Androxgh0st 木馬攻擊驟增，使該木馬直接躍升至頭號惡意軟件排行榜第二位。

2024 年 5 月,，領先的云端 AI 網絡安全平臺提供商 Check Point? 軟件技術有限公司（納斯達克股票代碼：CHKP）發(fā)布了其 2024 年 4 月《全球威脅指數(shù)》報告。上月，研究人員發(fā)現(xiàn)使用 Androxgh0st 發(fā)起的攻擊大幅增加，該惡意軟件被用作工具來利用僵尸網絡竊取敏感信息。與此同時，盡管自年初以來 LockBit3 的檢出率下降了 55%，全球影響范圍從 20% 降至 9%，但它仍是 4 月份最猖獗的勒索軟件團伙。

自 2022 年 9 月 Androxgh0st 出現(xiàn)以來，研究人員一直在監(jiān)控其攻擊者的活動。攻擊者利用 CVE-2021-3129 和 CVE-2024-1709 等漏洞，部署 Web Shell 來實施遠程控制，同時著眼于構建僵尸網絡以竊取憑證。值得注意的是，該惡意軟件運營組織與 Adhublika 勒索軟件的傳播有關。Androxgh0st 攻擊者傾向于利用 Laravel 應用中的漏洞來竊取 AWS、SendGrid 和 Twilio 等云服務的憑證。最近的跡象表明，他們正將重點轉向構建僵尸網絡，企圖更廣泛地利用系統(tǒng)漏洞。

與此同時，Check Point 指數(shù)報告匯總了從雙重勒索勒索軟件團伙運營的“羞辱網站”中獲得的洞察分析。攻擊者在這些網站上公布受害者信息，以向不付款的目標施壓。LockBit3 再次位列第一，其攻擊數(shù)量占已發(fā)布攻擊的 9%，其次是 Play 和 8Base，分別占 7% 和 6%。再次躍居前三位的 8Base 最近聲稱，他們已經侵入聯(lián)合國 IT 系統(tǒng)，并竊取了人力資源和采購信息。雖然 LockBit3 仍然位列榜首，但該團伙已遭到多次打擊。今年 2 月，在一場名為“克羅諾斯行動 (Operation Cronos)”的多機構清查活動中，該數(shù)據(jù)泄露網站被查封。本月，這些國際執(zhí)法機構公布了新的細節(jié)，確認了 194 個使用 LockBit3 勒索軟件的成員團伙，并揭露和制裁了 LockBit3 團伙的頭目。

Check Point 軟件技術公司研究副總裁 Maya Horowitz 表示：“我們的研究表明，國際社會為摧毀 LockBit3 所展開的聯(lián)合行動整體取得了成功。自 2024 年初以來，LockBit3 的全球影響范圍降低了超過 50%。雖然最近的打擊行動取得了積極成效，但企業(yè)仍必須繼續(xù)將網絡安全放在首位，主動采取措施，加強網絡、端點及電子郵件安全防護。提高網絡彈性的關鍵仍然是實施多層防御機制，并創(chuàng)建穩(wěn)健的備份、恢復程序及事故響應計劃?！?/p>

頭號惡意軟件家族

* 箭頭表示與上月相比的排名變化。

FakeUpdates 是上個月最猖獗的惡意軟件，全球 6% 的機構受到波及，其次是 Androxgh0st 和 Qbot，分別影響了全球 4% 和 3% 的機構。

1. FakeUpdates – FakeUpdates（又名 SocGholish）是一種使用 JavaScript 編寫的下載程序。它會在啟動有效載荷之前先將其寫入磁盤。FakeUpdates 通過許多其他惡意軟件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）引致進一步破壞。

2. ↑ Androxgh0st – Androxgh0st 是一個針對 Windows、Mac 及 Linux 平臺的僵尸網絡。在感染初始階段，Androxgh0st 利用多個漏洞，特別是針對 PHPUnit、Laravel 框架和 Apache Web 服務器的漏洞。該惡意軟件會竊取 Twilio 賬戶信息、SMTP 憑證、AWS 密鑰等敏感信息，并利用 Laravel 文件收集所需信息。它有不同的變體，可掃描不同的信息。

3. ↓ Qbot – Qbot（又名 Qakbot）是一種多用途惡意軟件，于 2008 年首次出現(xiàn)，旨在竊取用戶憑證、記錄擊鍵次數(shù)、從瀏覽器中竊取 cookie、監(jiān)視用戶的銀行業(yè)務操作，并部署更多惡意軟件。Qbot 通常通過垃圾郵件傳播，采用多種反 VM、反調試和反沙盒手段來阻礙分析和逃避檢測。從 2022 年開始，它成為最猖獗的木馬之一。

主要移動惡意軟件

上月，Anubis 位居最猖獗的移動惡意軟件榜首，其次是 AhMyth 和 Hiddad。

1. Anubis – Anubis 是一種專為 Android 手機設計的銀行木馬惡意軟件。 自最初檢測到以來，它已經具有一些額外的功能，包括遠程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數(shù)百款不同應用中均已檢測到該銀行木馬。

2. AhMyth – AhMyth 是一種遠程訪問木馬 (RAT)，于 2017 年被發(fā)現(xiàn)，可通過應用商店和各種網站上的 Android 應用進行傳播。當用戶安裝這些受感染的應用后，該惡意軟件便可從設備收集敏感信息，并執(zhí)行鍵盤記錄、屏幕截圖、發(fā)送短信和激活攝像頭等操作，這些操作通常用于竊取敏感信息。

3. ↑ Hiddad — Hiddad 是一種 Android 惡意軟件，能夠對合法應用進行重新打包，然后將其發(fā)布到第三方商店。其主要功能是顯示廣告，但它也可以訪問操作系統(tǒng)內置的關鍵安全細節(jié)。

主要勒索軟件團伙數(shù)據(jù)基于從雙重勒索勒索軟件團伙運營的勒索軟件“羞辱網站”（攻擊者在這些網站上公布受害者信息）獲得的洞察分析。上月，LockBit3 是最猖獗的勒索軟件團伙，其攻擊數(shù)量占已發(fā)布攻擊的 9%，其次是 Play 和 8Base，分別占 7% 和 6%。

1. LockBit3 – LockBit3 是一種以 RaaS 模式運行的勒索軟件，于 2019 年 9 月首次發(fā)現(xiàn)。它主要瞄準各個國家和地區(qū)的大型企業(yè)和政府機構。在 2024 年 2 月因執(zhí)法行動而長期中斷之后，LockBit3 現(xiàn)已恢復發(fā)布受害者信息。

2. Play – Play 勒索軟件又稱為 PlayCrypt，于 2022 年 6 月首次現(xiàn)身。這一勒索軟件瞄準北美洲、南美洲和歐洲的眾多企業(yè)和關鍵基礎設施，到 2023 年 10 月影響了大約 300 家實體。Play 勒索軟件通常通過被盜的有效賬戶或利用未修補的漏洞（如 Fortinet SSL VPN 中的漏洞）侵入網絡。得逞后，它會采用離地攻擊二進制文件 (LOLBins) 等各種手段來執(zhí)行數(shù)據(jù)泄露和憑證竊取等任務。

3. 8Base – 8Base 威脅組織是一個勒索軟件團伙，自 2022 年 3 月以來一直活躍至今。2023 年年中，該團伙攻擊活動顯著增加。據(jù)觀察，8Base 團伙使用了多種勒索軟件變體，包括常用的 Phobos。8Base 的運作相當復雜，這從他們在勒索軟件中使用的高級手法便可見一斑。該團伙的勒索手段包括雙重勒索策略。

關于 Check Point 軟件技術有限公司

Check Point 軟件技術有限公司 (www.checkpoint.com.cn) 是一家領先的云端 AI 網絡安全平臺提供商，為全球超過 10 萬家企業(yè)與機構提供安全保護。Check Point 利用強大的 AI 技術通過 Infinity 平臺提高了網絡安全防護效率和準確性，憑借業(yè)界領先的捕獲率實現(xiàn)了主動式威脅預測和更智能、更快速的響應。該綜合型平臺集多項云端技術于一身，包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網絡安全的 Check Point Quantum，以及支持協(xié)同式安全運維和服務的 Check Point Infinity Core Services。

關于 Check Point Research

Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領先的網絡威脅情報。Check Point 研究團隊負責收集和分析 ThreatCloud 存儲的全球網絡攻擊數(shù)據(jù)，以便在防范黑客的同時，確保所有 Check Point 產品都享有最新保護措施。此外，該團隊由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機關及各個計算機安全應急響應組展開合作。