2024 年 5 月頭號惡意軟件：Phorpiex 僵尸網(wǎng)絡(luò)掀起網(wǎng)絡(luò)釣魚狂潮

研究人員發(fā)現(xiàn)一起攻擊活動使用 Phorpiex 僵尸網(wǎng)絡(luò)通過數(shù)百萬封網(wǎng)絡(luò)釣魚電子郵件傳播勒索軟件。與此同時，Lockbit3 勒索軟件團伙在短暫沉寂后又卷土重來，其攻擊數(shù)量占已發(fā)布勒索軟件攻擊的三分之一

2024年6月，領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺提供商 Check Point? 軟件技術(shù)有限公司（納斯達(dá)克股票代碼：CHKP）發(fā)布了其 2024 年 5 月《全球威脅指數(shù)》報告。上個月，研究人員發(fā)現(xiàn)了一起利用 Phorpiex 僵尸網(wǎng)絡(luò)策劃的惡意垃圾郵件攻擊活動。發(fā)送的數(shù)百萬封網(wǎng)絡(luò)釣魚電子郵件中帶有 LockBit Black，該勒索病毒基于 LockBit3，但與該勒索軟件團伙無關(guān)。與此同時，雖然 LockBit3 勒索軟件即服務(wù) (RaaS) 團伙在全球執(zhí)法行動中遭到了打擊，但經(jīng)過短暫沉寂后，其攻擊數(shù)量驟增，占已發(fā)布攻擊的 33%。

Phorpiex 僵尸網(wǎng)絡(luò)的原始運營組織于 2021 年 8 月將其關(guān)閉并出售了源代碼。 然而，2021 年 12 月，Check Point Research (CPR) 發(fā)現(xiàn)它化身為“Twizt”重現(xiàn)江湖，并采用一種分散化對等模式。今年 4 月，新澤西州網(wǎng)絡(luò)安全和通信集成小組 (NJCCIC) 發(fā)現(xiàn)，在一起 LockBit3 勒索軟件攻擊活動中，攻擊者使用 Phorpiex 僵尸網(wǎng)絡(luò)（在上個月的威脅指數(shù)排行榜中位列第六）發(fā)送了數(shù)百萬封網(wǎng)絡(luò)釣魚電子郵件。這些郵件隨附 ZIP 附件，其中的欺詐性 .doc.scr 文件一旦被執(zhí)行，就會觸發(fā)勒索軟件加密程序，該攻擊活動使用了超過 1,500 個獨立IP 地址。

與此同時，Check Point 威脅指數(shù)報告匯總了從雙重勒索勒索軟件團伙運營的“羞辱網(wǎng)站”中獲得的洞察分析。攻擊者在這些網(wǎng)站上公布受害者信息，以向不付款的目標(biāo)施壓。5 月份，LockBit3 再次霸榜，其攻擊數(shù)量占已發(fā)布攻擊的 33%。緊隨其后的是 Inc. Ransom 和 Play，檢出率分別為 7% 和 5%。Inc. Ransom 最近聲稱對造成英國萊斯特市議會公共服務(wù)中斷的重大網(wǎng)絡(luò)事件負(fù)責(zé)，稱其竊取了超過 3 TB 數(shù)據(jù)，并導(dǎo)致大面積系統(tǒng)癱瘓。

Check Point 軟件技術(shù)公司研究副總裁 Maya Horowitz 表示：“盡管執(zhí)法機構(gòu)暫時打擊了 LockBit3 網(wǎng)絡(luò)犯罪團伙，不僅公布了超過 7,000 條 LockBit 解密密鑰外，而且還曝光了其中一名頭目和多個成員團伙，但該威脅尚未徹底消除。因此，看到他們進(jìn)行重新部署并實施新策略來持續(xù)發(fā)動攻擊也就不足為奇了。勒索軟件是網(wǎng)絡(luò)犯罪分子采用的最具破壞性的攻擊手段之一。一旦攻擊者潛入網(wǎng)絡(luò)并竊取信息，那么擺在受害者面前的選擇就寥寥無幾了，尤其是在他們無力支付贖金的情況下。因此，各企業(yè)必須對風(fēng)險保持高度警惕，并優(yōu)先采取預(yù)防措施。”

頭號惡意軟件家族

* 箭頭表示與上月相比的排名變化。

FakeUpdates 是上月最猖獗的惡意軟件，影響了全球 7% 的機構(gòu)，其次是 Androxgh0st 和 Qbot，影響范圍分別為 5% 和 3%。

FakeUpdates – FakeUpdates（又名 SocGholish）是一種使用 JavaScript 編寫的下載程序。它會在啟動有效載荷之前先將其寫入磁盤。FakeUpdates 通過許多其他惡意軟件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）引致進(jìn)一步破壞。

Androxgh0st – Androxgh0st 是一個針對 Windows、Mac 及 Linux 平臺的僵尸網(wǎng)絡(luò)。在感染初始階段，Androxgh0st 利用多個漏洞，特別是針對 PHPUnit、Laravel 框架和 Apache Web 服務(wù)器的漏洞。該惡意軟件會竊取 Twilio 賬戶信息、SMTP 憑證、AWS 密鑰等敏感信息，并利用 Laravel 文件收集所需信息。它有不同的變體，可掃描不同的信息。

Qbot – Qbot（又名 Qakbot）是一種多用途惡意軟件，于 2008 年首次出現(xiàn)，旨在竊取用戶憑證、記錄擊鍵次數(shù)、從瀏覽器中竊取 cookie、監(jiān)視用戶的銀行業(yè)務(wù)操作，并部署更多惡意軟件。Qbot 通常通過垃圾郵件傳播，采用多種反 VM、反調(diào)試和反沙盒手段來阻礙分析和逃避檢測。從 2022 年開始，它成為最猖獗的木馬之一。

主要移動惡意軟件

上月，Anubis 位居最猖獗的移動惡意軟件榜首，其次是 AhMyth 和 Hydra。

Anubis – Anubis 是一種專為 Android 手機設(shè)計的銀行木馬惡意軟件。 自最初檢測到以來，它已經(jīng)具有一些額外的功能，包括遠(yuǎn)程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數(shù)百款不同應(yīng)用中均已檢測到該銀行木馬。

AhMyth – AhMyth 是一種遠(yuǎn)程訪問木馬 (RAT)，于 2017 年被發(fā)現(xiàn)，可通過應(yīng)用商店和各種網(wǎng)站上的 Android 應(yīng)用進(jìn)行傳播。當(dāng)用戶安裝這些受感染的應(yīng)用后，該惡意軟件便可從設(shè)備收集敏感信息，并執(zhí)行鍵盤記錄、屏幕截圖、發(fā)送短信和激活攝像頭等操作，這些操作通常用于竊取敏感信息。

↑ Hydra – Hydra 是一種銀行木馬，可通過要求受害者啟用高危權(quán)限來在每次入侵銀行應(yīng)用時竊取銀行憑證。

主要勒索軟件團伙

以下數(shù)據(jù)基于從雙重勒索勒索軟件團伙運營的勒索軟件“羞辱網(wǎng)站”（攻擊者在這些網(wǎng)站上公布受害者信息）獲得的洞察分析。上月，LockBit3 是最猖獗的勒索軟件團伙，其攻擊數(shù)量占已發(fā)布攻擊的 33%，其次是 Inc. Ransom 和 Play，分別占 7% 和 5%。

LockBit3 – LockBit3 是一種以 RaaS 模式運行的勒索軟件，于 2019 年 9 月首次發(fā)現(xiàn)。它主要瞄準(zhǔn)各個國家和地區(qū)的大型企業(yè)和政府機構(gòu)。在 2024 年 2 月因執(zhí)法行動而長期中斷之后，LockBit 現(xiàn)已恢復(fù)發(fā)布受害者信息。

Inc. Ransom – Inc. Ransom 是 2023 年 7 月出現(xiàn)的一種勒索軟件，主要實施魚叉式網(wǎng)絡(luò)釣魚攻擊，瞄準(zhǔn)易受攻擊的服務(wù)。該勒索軟件團伙的主要目標(biāo)是北美洲和歐洲企業(yè)，危及醫(yī)療、教育和政府等多個行業(yè)。Inc. 勒索軟件有效載荷支持多個命令行參數(shù)，并使用多線程方法進(jìn)行局部加密。

Play – Play 勒索軟件又稱為 PlayCrypt，于 2022 年 6 月首次現(xiàn)身。這一勒索軟件瞄準(zhǔn)北美洲、南美洲和歐洲的眾多企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施，到 2023 年 10 月影響了大約 300 家實體。Play 勒索軟件通常通過被盜的有效賬戶或利用未修補的漏洞（如 Fortinet SSL VPN 中的漏洞）侵入網(wǎng)絡(luò)。得逞后，它會采用離地攻擊二進(jìn)制文件 (LOLBins) 等各種手段來執(zhí)行數(shù)據(jù)泄露和憑證竊取等任務(wù)。

關(guān)于 Check Point 軟件技術(shù)有限公司  

Check Point 軟件技術(shù)有限公司（www.checkpoint.com.cn）是一家領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺提供商，為全球超過 10 萬家企業(yè)與機構(gòu)提供安全保護(hù)。Check Point 利用強大的 AI 技術(shù)通過 Infinity 平臺提高了網(wǎng)絡(luò)安全防護(hù)效率和準(zhǔn)確性，憑借業(yè)界領(lǐng)www.checkpoint.com)先的捕獲率實現(xiàn)了主動式威脅預(yù)測和更智能、更快速的響應(yīng)。該綜合型平臺集多項云端技術(shù)于一身，包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網(wǎng)絡(luò)安全的 Check Point Quantum，以及支持協(xié)同式安全運維和服務(wù)的 Check Point Infinity Core Services。

關(guān)于 Check Point Research

Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報。Check Point 研究團隊負(fù)責(zé)收集和分析 ThreatCloud 存儲的全球網(wǎng)絡(luò)攻擊數(shù)據(jù)，以便在防范黑客的同時，確保所有 Check Point 產(chǎn)品都享有最新保護(hù)措施。此外，該團隊由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機關(guān)及各個計算機安全應(yīng)急響應(yīng)組展開合作。