2023年(nián)80%的網絡攻擊來自(zì)三大木(mù)馬程序

根據ReliaQuest最新發布的報(bào)告，2023年(nián)迄今為(wèi)止觀察到(dào)的計算(suàn)機(jī)和網絡攻擊80%都涉及三種惡意軟件(jiàn)加載程序（木(mù)馬程序），分别是：QBot、SocGholish和Raspberry Robin。

ReliaQuest的報(bào)告稱，網絡安全團隊應檢測和阻止的首要惡意軟件(jiàn)是近期被FBI搗毀的QBot（也稱為(wèi)QakBot、QuackBot和Pinkslipbot），QBot是2023年(nián)1月(yuè)1日至7月(yuè)31日期間最常見(jiàn)的惡意軟件(jiàn)加載程序，占檢測到(dào)的網絡攻擊的30%。SocGholish以27%位居第二，RaspberryRobin則以23%排名第三。三者遙遙領先于TOP10中的其他七個(gè)加載器(qì)，其中Gootloader占3%，Guloader、Chromeloader和Ursnif分别占2%。

在受害者的計算(suàn)機(jī)上(shàng)運行的加載程序是惡意軟件(jiàn)感染的中間階段。不法分子通(tōng)常利用某些漏洞或發送帶有惡意附件(jiàn)的電(diàn)子郵件(jiàn)來傳播加載程序。加載程序運行時，通(tōng)常會(huì)确保其在系統中的立足點，采取措施長(cháng)期駐留，并嘗試獲取要執行的惡意軟件(jiàn)負載，例如勒索軟件(jiàn)或後門(mén)程序。

加載程序是安全團隊的噩夢，正如報(bào)告所指出的：“一(yī)個(gè)加載程序的緩解措施可能(néng)對另一(yī)個(gè)加載程序不起作用，即使它們加載了相(xiàng)同的惡意軟件(jiàn)。”

以下(xià)是對三大惡意軟件(jiàn)加載程序近期動态的介紹：

QBot

QBot是一(yī)款已有16年(nián)曆史的銀(yín)行木(mù)馬，近年(nián)來功能(néng)叠代迅速，屬于所謂的“敏捷木(mù)馬”，現已發展到(dào)能(néng)夠傳播勒索軟件(jiàn)、竊取敏感數據、在企業(yè)IT環境中實現橫向移動以及部署遠(yuǎn)程代碼執行軟件(jiàn)。

6月(yuè)，Lumen的Black Lotus Labs威脅情報(bào)小(xiǎo)組發現QBot使用新的惡意軟件(jiàn)交付方法和命令與控制基礎設施，其中四分之一(yī)的活動時間僅為(wèi)一(yī)天。安全研究人員(yuán)表示，這種演變可能(néng)是為(wèi)了應對微軟去年(nián)默認阻止Office用戶使用互聯網來源的宏的措施。

SocGholish

排名第二的加載程序SocGholish是一(yī)個(gè)面向Windows的基于JavaScript的代碼塊。它與俄羅斯的Evil Corp和初始訪問經紀人Exotic Lily有聯系，後者擅長(cháng)入侵企業(yè)網絡，然後将訪問權限出售給其他犯罪分子。

SocGholish通(tōng)常通(tōng)過偷渡式攻擊和社會(huì)工(gōng)程活動進行部署，僞裝成軟件(jiàn)更新，下(xià)載後會(huì)将惡意代碼投放(fàng)到(dào)受害者的設備上(shàng)。據Google威脅分析小(xiǎo)組稱，Exotic Lily曾一(yī)度每天向全球約650個(gè)目标組織發送超過5000封電(diàn)子郵件(jiàn)。

去年(nián)秋天，一(yī)個(gè)被追蹤為(wèi)TA569的犯罪組織入侵了250多(duō)家美國(guó)報(bào)紙(zhǐ)網站(zhàn)，然後利用該訪問權限通(tōng)過基于JavaScript的惡意廣告和視頻向出版物(wù)讀(dú)者分發SocGholish惡意軟件(jiàn)。

2023年(nián)上(shàng)半年(nián)，ReliaQuest追蹤到(dào)SocGholish運營商實施了“激進的水(shuǐ)坑攻擊”。

威脅研究人員(yuán)表示：“他們破壞并感染了大型企業(yè)的網站(zhàn)。毫無戒心的訪問者不可避免地下(xià)載了SocGholish惡意負載，從(cóng)而導緻大面積感染。”

Raspberry Robin

排名第三的Raspberry Robin針對Windows系統，由通(tōng)過USB驅動器(qì)傳播的蠕蟲病毒演變而來。受感染的USB驅動器(qì)包含惡意.lnk文件(jiàn)，在執行時會(huì)與命令和控制服務器(qì)進行通(tōng)信，建立持久性，并在受感染的設備上(shàng)執行其他惡意軟件(jiàn)——包括勒索軟件(jiàn)。

Raspberry Robin還(hái)被用來傳播Clop和LockBit勒索軟件(jiàn)，以及TrueBot數據竊取惡意軟件(jiàn)、Flawed Grace遠(yuǎn)程訪問木(mù)馬和Cobalt Strike，以獲取對受害者環境的訪問權限。

Raspberry Robin與俄羅斯的Evil Corp和“邪惡蜘蛛“有關聯。在2023年(nián)上(shàng)半年(nián)，Raspberry Robin主要被用于針對金融機(jī)構、電(diàn)信、政府和制造組織的攻擊，主要在歐洲，但也有部分在美國(guó)。

報(bào)告指出：“根據最近的趨勢，上(shàng)述加載程序很可能(néng)在2023年(nián)剩下(xià)的時間裡(lǐ)繼續興風作浪，對企業(yè)構成嚴重威脅。”

原文來源：GoUpSec，如侵權請聯系删除