2024 年 9 月頭號(hào)惡意軟件：AI 驅(qū)動(dòng)型攻擊方式興起

Check Point 的最新威脅指數(shù)報(bào)告強(qiáng)調(diào)了在當(dāng)前網(wǎng)絡(luò)形勢下 AI 驅(qū)動(dòng)型惡意軟件攻擊日益猖獗

2024 年 10 月 – 領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全提供商 Check Point? 軟件技術(shù)有限公司（納斯達(dá)克股票代碼：CHKP）發(fā)布了其 2024 年 9 月《全球威脅指數(shù)》報(bào)告。該報(bào)告著重介紹了網(wǎng)絡(luò)安全領(lǐng)域中一個(gè)值得注意的趨勢，即 AI 驅(qū)動(dòng)型惡意軟件的興起，以及勒索軟件威脅的持續(xù)肆虐。

本月，研究人員發(fā)現(xiàn)，攻擊者很可能是利用 AI 技術(shù)開發(fā)腳本來散播 AsyncRAT 惡意軟件（目前位列最猖獗的惡意軟件排行榜第十位）。這種方法用到了 HTML 走私技術(shù)，即發(fā)送包含惡意 VBScript 代碼的密碼保護(hù)壓縮文件，在受害者的設(shè)備上啟動(dòng)感染鏈。從結(jié)構(gòu)良好、注釋清晰的代碼中也可發(fā)現(xiàn) AI 痕跡。代碼執(zhí)行完后，受害者的設(shè)備就會(huì)安裝 AsyncRAT，便于攻擊者記錄擊鍵次數(shù)、遠(yuǎn)程控制受感染設(shè)備，并部署其他惡意軟件。這一發(fā)現(xiàn)揭示了越來越多技術(shù)能力有限的網(wǎng)絡(luò)犯罪分子正利用 AI 技術(shù)更輕松地創(chuàng)建惡意軟件。

Check Point 軟件技術(shù)公司研究副總裁 Maya Horowitz 對(duì)于這一趨勢評(píng)論道：“攻擊者已經(jīng)開始在其攻擊基礎(chǔ)設(shè)施中使用生成式 AI，這充分說明網(wǎng)絡(luò)攻擊策略正在不斷演變。網(wǎng)絡(luò)犯罪分子越來越多地利用現(xiàn)有技術(shù)來增強(qiáng)攻擊，因此企業(yè)必須實(shí)施主動(dòng)安全防護(hù)策略，包括采取高級(jí)防御方法和對(duì)團(tuán)隊(duì)進(jìn)行全面培訓(xùn)?！?/p>

本月，Joker 蟬聯(lián)最猖獗的移動(dòng)惡意軟件，RansomHub 仍然是主要勒索軟件團(tuán)伙，兩者自上個(gè)月繼續(xù)霸榜。上述發(fā)現(xiàn)表明，隨著網(wǎng)絡(luò)安全形勢的不斷演進(jìn)，這些惡意實(shí)體仍構(gòu)成持續(xù)威脅，不容小覷。

頭號(hào)惡意軟件家族

* 箭頭表示與上月相比的排名變化。

FakeUpdates 是本月最猖獗的惡意軟件，全球 7% 的機(jī)構(gòu)受到波及，其次是 Androxgh0st 和 Formbook，分別影響了全球 6% 和 4% 的機(jī)構(gòu)。

1.  FakeUpdates – FakeUpdates（又名 SocGholish）是一種使用 JavaScript 編寫的下載程序。它會(huì)在啟動(dòng)有效載荷之前先將其寫入磁盤。FakeUpdates 通過許多其他惡意軟件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）引致進(jìn)一步破壞。

2.  Androxgh0st – Androxgh0st 是一個(gè)針對(duì) Windows、Mac 及 Linux 平臺(tái)的僵尸網(wǎng)絡(luò)。在感染初始階段，Androxgh0st 利用多個(gè)漏洞，特別是針對(duì) PHPUnit、Laravel 框架和 Apache Web 服務(wù)器的漏洞。該惡意軟件會(huì)竊取 Twilio 賬戶信息、SMTP 憑證、AWS 密鑰等敏感信息，并利用 Laravel 文件收集所需信息。它有不同的變體，可掃描不同的信息。

3. ↑ Formbook – Formbook 是針對(duì) Windows 操作系統(tǒng)的信息竊取程序，于 2016 年首次被發(fā)現(xiàn)。由于其強(qiáng)大的規(guī)避技術(shù)和相對(duì)較低的價(jià)格，它在地下黑客論壇中作為惡意軟件即服務(wù) (MaaS) 進(jìn)行出售。FormBook 可從各種 Web 瀏覽器中獲取憑證、收集截圖、監(jiān)控和記錄擊鍵次數(shù)并按照其 C&C 命令下載和執(zhí)行文件。

4.  Qbot – Qbot（又名 Qakbot）是一種多用途惡意軟件，于 2008 年首次出現(xiàn)，旨在竊取用戶憑證、記錄擊鍵次數(shù)、從瀏覽器中竊取 cookie、監(jiān)視用戶的銀行業(yè)務(wù)操作，并部署更多惡意軟件。Qbot 通常通過垃圾郵件傳播，采用多種反 VM、反調(diào)試和反沙盒手段來阻礙分析和逃避檢測。從 2022 年開始，它成為最猖獗的木馬之一。

5.  AgentTesla – AgentTesla 是一種用作鍵盤記錄器和信息竊取程序的高級(jí) RAT，能夠監(jiān)控和收集受害者的鍵盤輸入與系統(tǒng)剪貼板、截圖并盜取受害者電腦上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）的證書。

6. ↓ Phorpiex – Phorpiex 是一種僵尸網(wǎng)絡(luò)，因通過垃圾郵件攻擊活動(dòng)分發(fā)其他惡意軟件家族并助長大規(guī)模性勒索攻擊活動(dòng)而廣為人知。

7. ↑ Vidar – Vidar 是一種以惡意軟件即服務(wù)模式運(yùn)行的信息竊取惡意軟件，于 2018 年底首次現(xiàn)身。該惡意軟件在 Windows 上運(yùn)行，不僅可從瀏覽器和數(shù)字錢包中收集各種敏感數(shù)據(jù)，而且還被用作勒索軟件的下載程序。

8. ↑ NJRat – NJRat 是一種遠(yuǎn)程訪問木馬，主要針對(duì)中東地區(qū)的政府機(jī)構(gòu)和企業(yè)。該木馬于 2012 年首次出現(xiàn)，具有多項(xiàng)功能：捕獲擊鍵記錄、訪問受害者的攝像頭、竊取瀏覽器中存儲(chǔ)的憑證、上傳和下載文件、操縱進(jìn)程和文件以及查看受害者的桌面。NJRat 通過網(wǎng)絡(luò)釣魚攻擊和偷渡式下載感染受害者設(shè)備，并在命令與控制服務(wù)器軟件的支持下，通過受感染的 USB 密鑰或網(wǎng)盤進(jìn)行傳播。

9. ↑ Glupteba – Glupteba 自 2011 年被發(fā)現(xiàn)，是一種后門病毒，已逐漸發(fā)展為僵尸網(wǎng)絡(luò)。到 2019 年，它包括 C&C 地址更新機(jī)制、完整的瀏覽器竊取程序功能及路由器漏洞利用程序。

10. ↑ AsyncRat – Asyncrat 是一種針對(duì) Windows 平臺(tái)的木馬程序。該惡意軟件會(huì)向遠(yuǎn)程服務(wù)器發(fā)送目標(biāo)系統(tǒng)的系統(tǒng)信息。它從服務(wù)器接收命令，以下載和執(zhí)行插件、終止進(jìn)程、進(jìn)行自我卸載/更新，并截取受感染系統(tǒng)的屏幕截圖。

主要移動(dòng)惡意軟件

本月，Joker 位列最猖獗的移動(dòng)惡意軟件榜首，其次是 Anubis 和 Hiddad。

1.  Joker – 一種存在于 Google Play 中的 Android 間諜軟件，可竊取短消息、聯(lián)系人列表及設(shè)備信息。此外，該惡意軟件還能夠在廣告網(wǎng)站上偷偷地為受害者注冊付費(fèi)服務(wù)。

2.  Anubis – Anubis 是一種專為 Android 手機(jī)設(shè)計(jì)的銀行木馬惡意軟件。自最初檢測到以來，它已經(jīng)具有一些額外的功能，包括遠(yuǎn)程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數(shù)百款不同應(yīng)用中均已檢測到該銀行木馬。

3. ↑ Hiddad — Hiddad 是一種 Android 惡意軟件，能夠?qū)戏☉?yīng)用進(jìn)行重新打包，然后將其發(fā)布到第三方商店。其主要功能是顯示廣告，但它也可以訪問操作系統(tǒng)內(nèi)置的關(guān)鍵安全細(xì)節(jié)。 

主要勒索軟件團(tuán)伙 

這些數(shù)據(jù)基于從雙重勒索勒索軟件團(tuán)伙運(yùn)營的勒索軟件“羞辱網(wǎng)站”（攻擊者在這些網(wǎng)站上公布受害者信息）獲得的洞察分析。本月，RansomHub 是最猖獗的勒索軟件團(tuán)伙，其攻擊數(shù)量占已發(fā)布攻擊的 17%，其次是 Play 和 Qilin，分別占 10% 和 5%。

1. RansomHub – RansomHub 以勒索軟件即服務(wù) (RaaS) 形式出現(xiàn)，據(jù)稱是已知 Knight 勒索軟件的翻版。2024 年初，RansomHub 在地下網(wǎng)絡(luò)犯罪論壇上初露鋒芒，因其針對(duì)各種系統(tǒng)（包括 Windows、macOS、Linux，尤其是 VMware ESXi 環(huán)境）發(fā)起的破壞性攻擊活動(dòng)，以及采用的復(fù)雜加密方法而臭名昭著。

2. Play – Play 勒索軟件又稱為 PlayCrypt，于 2022 年 6 月首次現(xiàn)身。這一勒索軟件瞄準(zhǔn)北美洲、南美洲和歐洲的眾多企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施，到 2023 年 10 月影響了大約 300 家實(shí)體。Play 勒索軟件通常通過被盜的有效賬戶或利用未修補(bǔ)的漏洞（如 Fortinet SSL VPN 中的漏洞）侵入網(wǎng)絡(luò)。得逞后，它會(huì)采用離地攻擊二進(jìn)制文件 (LOLBins) 等各種手段來執(zhí)行數(shù)據(jù)泄露和憑證竊取等任務(wù)。

3. Qilin – Qilin 又稱為 Agenda，整個(gè)勒索軟件即服務(wù)犯罪團(tuán)伙沆瀣一氣，對(duì)被入侵企業(yè)的數(shù)據(jù)進(jìn)行加密和竊取，隨后索要贖金。這一勒索軟件變體于 2022 年 7 月首次被發(fā)現(xiàn)，采用 Golang 語言開發(fā)。Agenda 主要針對(duì)大型企業(yè)和高價(jià)值目標(biāo)發(fā)起攻擊，重點(diǎn)瞄準(zhǔn)醫(yī)療和教育領(lǐng)域。Qilin 通常通過隨附惡意鏈接的網(wǎng)絡(luò)釣魚電子郵件獲取受害者設(shè)備的網(wǎng)絡(luò)訪問權(quán)限并竊取敏感信息。入侵成功后，Qilin 往往會(huì)在受害者的基礎(chǔ)設(shè)施中橫向移動(dòng)，尋找關(guān)鍵數(shù)據(jù)進(jìn)行加密。

關(guān)于 Check Point 軟件技術(shù)有限公司  

Check Point 軟件技術(shù)有限公司（www.checkpoint.com.cn）是一家領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺(tái)提供商，為全球超過 10 萬家企業(yè)與機(jī)構(gòu)提供安全保護(hù)。Check Point 利用強(qiáng)大的 AI 技術(shù)通過 Infinity 平臺(tái)提高了網(wǎng)絡(luò)安全防護(hù)效率和準(zhǔn)確性，憑借業(yè)界領(lǐng)www.checkpoint.com)先的捕獲率實(shí)現(xiàn)了主動(dòng)式威脅預(yù)測和更智能、更快速的響應(yīng)。該綜合型平臺(tái)集多項(xiàng)云端技術(shù)于一身，包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網(wǎng)絡(luò)安全的 Check Point Quantum，以及支持協(xié)同式安全運(yùn)維和服務(wù)的 Check Point Infinity Core Services。

關(guān)于 Check Point Research

Check Point Research 能夠?yàn)?Check Point Software 客戶以及整個(gè)情報(bào)界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報(bào)。Check Point 研究團(tuán)隊(duì)負(fù)責(zé)收集和分析 ThreatCloud 存儲(chǔ)的全球網(wǎng)絡(luò)攻擊數(shù)據(jù)，以便在防范黑客的同時(shí)，確保所有 Check Point 產(chǎn)品都享有最新保護(hù)措施。此外，該團(tuán)隊(duì)由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機(jī)關(guān)及各個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)組展開合作。