2024 年 3 月头号恶意软件:黑客利用新型感染链方法传播 Remcos

研究人员发现了一种部署远程访问木马 (RAT) Remcos 的新方法,该方法会绕过常用安全措施,获得对受害者设备的未授权访问。

2024 年 4 月, 领先的云端 AI 网络安全平台提供商 Check Point® 软件技术有限公司(纳斯达克股票代码:CHKP)发布了其 2024 年 3 月《全球威胁指数》报告。上月,研究人员发现黑客正利用虚拟硬盘 (VHD) 文件部署远程访问木马 (RAT) Remcos。

Remcos 是一种已知的恶意软件,于 2016 年首次现身。在其最新攻击活动中,网络犯罪分子绕过常用安全措施,获得了对受害者设备的未授权访问。尽管该工具的最初合法用途是远程管理 Windows 系统,但很快就被网络犯罪分子用于感染设备、获取截屏、记录击键次数并将收集到的数据传输到指定的主机服务器。此外,远程访问木马 RAT 还具有邮件群发功能,能够实施分发攻击活动。总体而言,其各种功能都可用于创建僵尸网络。上月,它在头号恶意软件排行榜中的排名从 2 月份的第六位上升到了第四位。

Check Point 软件技术公司研究副总裁 Maya Horowitz 表示:“攻击手段的演变说明网络犯罪策略在不断升级。这要求用户尽快采取主动防护措施。通过保持警惕、部署强大的端点保护和开展网络安全教育,我们可以共同加强防御,有效抵御不断变化的网络威胁。”

Check Point 勒索软件指数报告汇总了从双重勒索勒索软件团伙运营的勒索软件“羞辱网站”(攻击者在这些网站上公布受害者信息)获得的洞察分析。Lockbit3 再次位列第一,其攻击数量占已发布攻击的 12%,其次是 Play 和 Blackbasta,分别占 10% 和 9%。首次跃居前三位的 Blackbasta 声称对苏格兰律师事务所 Scullion Law 最近遭受的网络攻击负责。

上月,“Web 服务器恶意 URL 目录遍历漏洞”是最常被利用的漏洞,全球 50% 的机构因此遭殃,紧随其后的是“HTTP 载荷命令行注入”和“HTTP 标头远程代码执行”,分别影响了全球 48% 和 43% 的机构。

头号恶意软件家族

* 箭头表示与上月相比的排名变化。

FakeUpdates 是上月最猖獗的恶意软件,影响了全球 6% 的机构,其次是 Qbot Formbook,影响范围分别为 3%2%

  1. FakeUpdates – FakeUpdates(又名 SocGholish)是一种使用 JavaScript 编写的下载程序。它会在启动有效载荷之前先将其写入磁盘。FakeUpdates 通过许多其他恶意软件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)引致进一步破坏。
  2. Qbot – Qbot(又名 Qakbot)是一种多用途恶意软件,于 2008 年首次出现,旨在窃取用户凭证、记录击键次数、从浏览器中窃取 cookie、监视用户的银行业务操作,并部署更多恶意软件。Qbot 通常通过垃圾邮件传播,采用多种反 VM、反调试和反沙盒手段来阻碍分析和逃避检测。从 2022 年开始,它成为最猖獗的木马之一。
  3. Formbook – Formbook 是针对 Windows 操作系统的信息窃取程序,于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格,它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行出售。Formbook 可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数并按照其 C&C 命令下载和执行文件。

最常被利用的漏洞 

上月,“Web 服务器恶意 URL 目录遍历漏洞”仍是最常被利用的漏洞,全球 50% 的组织因此遭殃。其次是“HTTP 载荷命令行注入”和“HTTP 标头远程代码执行”,分别影响了全球 48%43% 的组织。

  1. Web 服务器恶意 URL 目录遍历漏洞(CVE-2010-4598CVE-2011-2474CVE-2014-0130CVE-2014-0780CVE-2015-0666CVE-2015-4068CVE-2015-7254CVE-2016-4523CVE-2016-8530CVE-2017-11512CVE-2018-3948CVE-2018-3949CVE-2019-18952CVE-2020-5410CVE-2020-8260– 不同 Web 服务器上都存在目录遍历漏洞。这一漏洞是由于 Web 服务器中的输入验证错误所致,没有为目录遍历模式正确清理 URI。未经身份验证的远程攻击者可利用漏洞泄露或访问易受攻击的服务器上的任意文件。
  2. HTTP 载荷命令行注入(CVE-2021-43936CVE-2022-24086– 现已发现一种 HTTP 载荷命令行注入漏洞。远程攻击者可以通过向受害者发送特制的请求来利用此漏洞。攻击者可通过该漏洞在目标计算机上执行任意代码。 
  3. HTTP 标头远程代码执行 CVE-2020-10826CVE-2020-10827CVE-2020-10828CVE-2020-1375 – HTTP 标头允许客户端和服务器传递带 HTTP 请求的其他信息。远程攻击者可能会使用存在漏洞的 HTTP 标头在受感染机器上运行任意代码。

主要移动恶意软件

上月,Anubis 位居最猖獗的移动恶意软件榜首,其次是 AhMyth Cerberus

  1. Anubis Anubis 是一种专为 Android 手机设计的银行木马恶意软件。 自最初检测到以来,它已经具有一些额外的功能,包括远程访问木马 (RAT) 功能、键盘记录器、录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。
  2. AhMyth – AhMyth 是一种远程访问木马 (RAT),于 2017 年被发现,可通过应用商店和各种网站上的 Android 应用进行传播。当用户安装这些受感染的应用后,该恶意软件便可从设备收集敏感信息,并执行键盘记录、屏幕截图、发送短信和激活摄像头等操作,这些操作通常用于窃取敏感信息。
  3. Cerberus – Cerberus 是一种远程访问木马 (RAT),于 2019 年 6 月首次现身,具有针对 Android 设备的特定银行界面覆盖功能。它以恶意软件即服务 (MaaS) 模式运行,可替代 Anubis 和 Exobot 等停止使用的银行木马,具有短消息控制、按键记录、录音、位置跟踪器等功能。

主要勒索软件团伙
本节提供的信息来自由双重勒索软件团伙运营的勒索软件“羞辱网站”,这些网站公布了受害者名称和信息。来自这些羞辱网站的数据本身存在偏差,但仍可提供有关勒索软件生态系统的宝贵信息。

上月,LockBit3 是最猖獗的勒索软件团伙,其攻击数量占已发布攻击的 12%,其次是 PlayBlackbasta,分别占 10%9%

  1. – LockBit3 是一种以 RaaS 模式运行的勒索软件,于 2019 年 9 月首次发现。它主要瞄准各个国家和地区的大型企业和政府机构。在 2024 年 2 月因执法行动而被查封之后,LockBit3 现已恢复发布受害者信息。
  1. Play – Play 勒索软件又称为 PlayCrypt,该勒索软件团伙于 2022 年 6 月首次现身。这一勒索软件瞄准北美洲、南美洲和欧洲的众多企业和关键基础设施,到 2023 年 10 月影响了大约 300 家实体。Play 勒索软件通常通过被盗的有效账户或利用未修补的漏洞(如 Fortinet SSL VPN 中的漏洞)侵入网络。得逞后,它会采用离地攻击二进制文件 (LOLBins) 等各种手段来执行数据泄露和凭证窃取等任务。
  2. Blackbasta – BlackBasta 勒索软件于 2022 年首次被发现,以勒索软件即服务 (RaaS) 模式运行。幕后攻击者大多利用 RDP 漏洞和网络钓鱼电子邮件向组织和个人散播勒索软件。

 关于 Check Point 软件技术有限公司  

Check Point 软件技术有限公司 (www.checkpoint.com) 是一家领先的云端 AI 网络安全平台提供商,为全球超过 10 万家组织提供安全保护。Check Point 利用强大的 AI 技术通过 Infinity 平台提高了网络安全防护效率和准确性,凭借业界领先的捕获率实现了主动式威胁预测和更智能、更快速的响应。该综合型平台集多项云端技术于一身,包括确保工作空间安全的 Check Point Harmony、确保云安全的 Check Point CloudGuard、确保网络安全的 Check Point Quantum,以及支持协同式安全运维和服务的 Check Point Infinity Core Services。

关于 Check Point Research

Check Point Research 能够为 Check Point Software 客户以及整个情报界提供领先的网络威胁情报。Check Point 研究团队负责收集和分析 ThreatCloud 存储的全球网络攻击数据,以便在防范黑客的同时,确保所有 Check Point 产品都享有最新保护措施。此外,该团队由 100 多名分析师和研究人员组成,能够与其他安全厂商、执法机关及各个计算机安全应急响应组展开合作。