2023年80%的網絡攻擊來(lái)自三大(dà)木馬程序

根據ReliaQuest最新發布的報告，2023年迄今為(wèi)止觀察到的計(jì)算(suàn)機和(hé)網絡攻擊80%都涉及三種惡意軟件加載程序（木馬程序），分别是：QBot、SocGholish和(hé)Raspberry Robin。

ReliaQuest的報告稱，網絡安全團隊應檢測和(hé)阻止的首要惡意軟件是近期被FBI搗毀的QBot（也稱為(wèi)QakBot、QuackBot和(hé)Pinkslipbot），QBot是2023年1月1日至7月31日期間(jiān)最常見的惡意軟件加載程序，占檢測到的網絡攻擊的30%。SocGholish以27%位居第二，RaspberryRobin則以23%排名第三。三者遙遙領先于TOP10中的其他七個(gè)加載器(qì)，其中Gootloader占3%，Guloader、Chromeloader和(hé)Ursnif分别占2%。

在受害者的計(jì)算(suàn)機上(shàng)運行(xíng)的加載程序是惡意軟件感染的中間(jiān)階段。不法分子通(tōng)常利用某些(xiē)漏洞或發送帶有(yǒu)惡意附件的電(diàn)子郵件來(lái)傳播加載程序。加載程序運行(xíng)時(shí)，通(tōng)常會(huì)确保其在系統中的立足點，采取措施長期駐留，并嘗試獲取要執行(xíng)的惡意軟件負載，例如勒索軟件或後門(mén)程序。

加載程序是安全團隊的噩夢，正如報告所指出的：“一個(gè)加載程序的緩解措施可(kě)能對另一個(gè)加載程序不起作(zuò)用，即使它們加載了相同的惡意軟件。”

以下是對三大(dà)惡意軟件加載程序近期動态的介紹：

QBot

QBot是一款已有(yǒu)16年曆史的銀行(xíng)木馬，近年來(lái)功能叠代迅速，屬于所謂的“敏捷木馬”，現已發展到能夠傳播勒索軟件、竊取敏感數(shù)據、在企業IT環境中實現橫向移動以及部署遠程代碼執行(xíng)軟件。

6月，Lumen的Black Lotus Labs威脅情報小(xiǎo)組發現QBot使用新的惡意軟件交付方法和(hé)命令與控制(zhì)基礎設施，其中四分之一的活動時(shí)間(jiān)僅為(wèi)一天。安全研究人(rén)員表示，這種演變可(kě)能是為(wèi)了應對微軟去年默認阻止Office用戶使用互聯網來(lái)源的宏的措施。

SocGholish

排名第二的加載程序SocGholish是一個(gè)面向Windows的基于JavaScript的代碼塊。它與俄羅斯的Evil Corp和(hé)初始訪問經紀人(rén)Exotic Lily有(yǒu)聯系，後者擅長入侵企業網絡，然後将訪問權限出售給其他犯罪分子。

SocGholish通(tōng)常通(tōng)過偷渡式攻擊和(hé)社會(huì)工程活動進行(xíng)部署，僞裝成軟件更新，下載後會(huì)将惡意代碼投放到受害者的設備上(shàng)。據Google威脅分析小(xiǎo)組稱，Exotic Lily曾一度每天向全球約650個(gè)目标組織發送超過5000封電(diàn)子郵件。

去年秋天，一個(gè)被追蹤為(wèi)TA569的犯罪組織入侵了250多(duō)家(jiā)美國報紙網站(zhàn)，然後利用該訪問權限通(tōng)過基于JavaScript的惡意廣告和(hé)視(shì)頻向出版物讀者分發SocGholish惡意軟件。

2023年上(shàng)半年，ReliaQuest追蹤到SocGholish運營商實施了“激進的水(shuǐ)坑攻擊”。

威脅研究人(rén)員表示：“他們破壞并感染了大(dà)型企業的網站(zhàn)。毫無戒心的訪問者不可(kě)避免地下載了SocGholish惡意負載，從而導緻大(dà)面積感染。”

Raspberry Robin

排名第三的Raspberry Robin針對Windows系統，由通(tōng)過USB驅動器(qì)傳播的蠕蟲病毒演變而來(lái)。受感染的USB驅動器(qì)包含惡意.lnk文件，在執行(xíng)時(shí)會(huì)與命令和(hé)控制(zhì)服務器(qì)進行(xíng)通(tōng)信，建立持久性，并在受感染的設備上(shàng)執行(xíng)其他惡意軟件——包括勒索軟件。

Raspberry Robin還(hái)被用來(lái)傳播Clop和(hé)LockBit勒索軟件，以及TrueBot數(shù)據竊取惡意軟件、Flawed Grace遠程訪問木馬和(hé)Cobalt Strike，以獲取對受害者環境的訪問權限。

Raspberry Robin與俄羅斯的Evil Corp和(hé)“邪惡蜘蛛“有(yǒu)關聯。在2023年上(shàng)半年，Raspberry Robin主要被用于針對金融機構、電(diàn)信、政府和(hé)制(zhì)造組織的攻擊，主要在歐洲，但(dàn)也有(yǒu)部分在美國。

報告指出：“根據最近的趨勢，上(shàng)述加載程序很(hěn)可(kě)能在2023年剩下的時(shí)間(jiān)裏繼續興風作(zuò)浪，對企業構成嚴重威脅。”

原文來(lái)源：GoUpSec，如侵權請(qǐng)聯系删除