研究人员发现了一起瞄准 WordPress 网站的新型 FakeUpdates(又称 SocGolish)攻击活动,该活动利用被盗管理员账户发起攻击。与此同时,Play 跃居头号勒索软件团伙前三名,教育行业仍是全球首要攻击目标
2024 年 3 月, 领先的云端 AI 网络安全平台提供商 Check Point® 软件技术有限公司(纳斯达克股票代码:CHKP)发布了其 2024 年 2 月《全球威胁指数》报告。上月,研究人员发现了一起新型 FakeUpdates 攻击活动,攻击者利用被盗 wp-admin 管理员账户感染了 WordPress 网站。在该活动中,FakeUpdates 恶意软件调整了其攻击手段,利用篡改过的 WordPress 插件入侵网站,并诱骗个人下载远程访问木马。与此同时, Lockbit3 仍是最猖獗的勒索软件团伙,其攻击数量占已发布攻击的 20%;教育行业仍然是全球受影响最大的行业。
FakeUpdates(又称 SocGholish)的出现起码可追溯到 2017 年,之后一直活跃至今。它使用 JavaScript 恶意软件来攻击网站,尤其是采用内容管理系统的网站。FakeUpdates 恶意软件通常是威胁指数排行榜中最猖獗的恶意软件,意在诱骗用户下载恶意软件。尽管业界竭力应对,但它仍对网站安全和用户数据构成重大威胁。这一复杂的恶意软件变体以前与网络犯罪团伙 Evil Corp 有关。该团伙利用 FakeUpdates 恶意软件的下载程序功能,通过兜售对已遭感染系统的访问权限来牟利。如果 Evil Corp 团伙向多个客户提供访问权限,就会引致其他恶意软件感染。
Check Point 软件技术公司研究副总裁 Maya Horowitz 表示:“网站是整个世界的数字门面,对于通信、商业和连接至关重要。保护网站免受网络威胁不仅仅是保护代码,还关系到保护我们的在线业务乃至整个互联社会的正常运转。如果网站被网络犯罪分子用作暗地传播恶意软件的渠道,那么企业未来的营收和声誉可能会受到重创。因此,必须采取预防措施和零容忍策略,以确保有效防御威胁。”
Check Point 的威胁指数报告还包含从近 200 个由双重勒索软件团伙运营的勒索软件网站生成的情报,其中 68 个网站今年公布了受害者信息,以向不付款的目标施压。在上月报告的此类事件中,Lockbit3 再次位居首位,占 20%,其次是 Play 和 8base,分别占 8% 和 7%。首次跃居前三位的 Play 声称对奥克兰市最近遭受的网络攻击负责。
上月,“Web 服务器恶意 URL 目录遍历漏洞”是最常被利用的漏洞,全球 51% 的机构因此遭殃,其次是“HTTP 载荷命令行注入”和“Zyxel ZyWALL 命令注入”,分别影响了全球 50% 的机构。
头号恶意软件家族
* 箭头表示与上月相比的排名变化。
FakeUpdates 是上个月最猖獗的恶意软件,全球 5% 的组织受到波及,其次是 Qbot 和 Formbook,分别影响了全球 3% 和 2% 的机构。
- ↔ FakeUpdates – FakeUpdates(又名 SocGholish)是一种使用 JavaScript 编写的下载程序。它会在启动有效载荷之前先将其写入磁盘。FakeUpdates 通过许多其他恶意软件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)引致进一步破坏。
- ↔ Qbot – Qbot(又名 Qakbot)是一种多用途恶意软件,于 2008 年首次出现,旨在窃取用户凭证、记录击键次数、从浏览器中窃取 cookie、监视用户的银行业务操作,并部署更多恶意软件。Qbot 通常通过垃圾邮件传播,采用多种反 VM、反调试和反沙盒手段来阻碍分析和逃避检测。从 2022 年开始,它成为最猖獗的木马之一。
- ↔ Formbook – Formbook 是针对 Windows 操作系统的信息窃取程序,于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格,它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行出售。Formbook 可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数并按照其 C&C 命令下载和执行文件。
主要移动恶意软件
上月,Anubis 仍然位居最猖獗的移动恶意软件榜首,其次是 AhMyth 和 Hiddad。
- Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来,它已经具有一些额外的功能,包括远程访问木马 (RAT) 功能、键盘记录器、录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。
- AhMyth – AhMyth 是一种远程访问木马 (RAT),于 2017 年被发现,可通过应用商店和各种网站上的 Android 应用进行传播。当用户安装这些受感染的应用后,该恶意软件便可从设备收集敏感信息,并执行键盘记录、屏幕截图、发送短信和激活摄像头等操作,这些操作通常用于窃取敏感信息。
- Hiddad — Hiddad 是一种 Android 恶意软件,能够对合法应用进行重新打包,然后将其发布到第三方商店。其主要功能是显示广告,但它也可以访问操作系统内置的关键安全细节。
关于 Check Point 软件技术有限公司
Check Point 软件技术有限公司 (www.checkpoint.com.cn) 是一家领先的云端 AI 网络安全平台提供商,为全球超过 10 万家组织提供安全保护。Check Point 利用强大的 AI 技术通过 Infinity 平台提高了网络安全防护效率和准确性,凭借业界领先的捕获率实现了主动式威胁预测和更智能、更快速的响应。该综合型平台集多项云端技术于一身,包括确保工作空间安全的 Check Point Harmony、确保云安全的 Check Point CloudGuard、确保网络安全的 Check Point Quantum,以及支持协同式安全运维和服务的 Check Point Infinity Core Services。
关于 Check Point Research Check Point Research 能够为 Check Point Software 客户以及整个情报界提供领先的网络威胁情报。Check Point 研究团队负责收集和分析 ThreatCloud 存储的全球网络攻击数据,以便在防范黑客的同时,确保所有 Check Point 产品都享有最新保护措施。此外,该团队由 100 多名分析师和研究人员组成,能够与其他安全厂商、执法机关及各个计算机安全应急响应组展开合作。