2024 年 4 月头号恶意软件:Androxgh0st 攻击激增,LockBit3 肆虐程度所下降

研究人员最近发现,针对 Windows、Mac 及 Linux 平台的 Androxgh0st 木马攻击骤增,使该木马直接跃升至头号恶意软件排行榜第二位。

2024 年 5 月,,领先的云端 AI 网络安全平台提供商 Check Point® 软件技术有限公司(纳斯达克股票代码:CHKP)发布了其 2024 年 4 月《全球威胁指数》报告。上月,研究人员发现使用 Androxgh0st 发起的攻击大幅增加,该恶意软件被用作工具来利用僵尸网络窃取敏感信息。与此同时,尽管自年初以来 LockBit3 的检出率下降了 55%,全球影响范围从 20% 降至 9%,但它仍是 4 月份最猖獗的勒索软件团伙。

自 2022 年 9 月 Androxgh0st 出现以来,研究人员一直在监控其攻击者的活动。攻击者利用 CVE-2021-3129 和 CVE-2024-1709 等漏洞,部署 Web Shell 来实施远程控制,同时着眼于构建僵尸网络以窃取凭证。值得注意的是,该恶意软件运营组织与 Adhublika 勒索软件的传播有关。Androxgh0st 攻击者倾向于利用 Laravel 应用中的漏洞来窃取 AWS、SendGrid 和 Twilio 等云服务的凭证。最近的迹象表明,他们正将重点转向构建僵尸网络,企图更广泛地利用系统漏洞。

与此同时,Check Point 指数报告汇总了从双重勒索勒索软件团伙运营的“羞辱网站”中获得的洞察分析。攻击者在这些网站上公布受害者信息,以向不付款的目标施压。LockBit3 再次位列第一,其攻击数量占已发布攻击的 9%,其次是 Play 和 8Base,分别占 7% 和 6%。再次跃居前三位的 8Base 最近声称,他们已经侵入联合国 IT 系统,并窃取了人力资源和采购信息。虽然 LockBit3 仍然位列榜首,但该团伙已遭到多次打击。今年 2 月,在一场名为“克罗诺斯行动 (Operation Cronos)”的多机构清查活动中,该数据泄露网站被查封。本月,这些国际执法机构公布了新的细节,确认了 194 个使用 LockBit3 勒索软件的成员团伙,并揭露和制裁了 LockBit3 团伙的头目。

Check Point 软件技术公司研究副总裁 Maya Horowitz 表示:“我们的研究表明,国际社会为摧毁 LockBit3 所展开的联合行动整体取得了成功。自 2024 年初以来,LockBit3 的全球影响范围降低了超过 50%。虽然最近的打击行动取得了积极成效,但企业仍必须继续将网络安全放在首位,主动采取措施,加强网络、端点及电子邮件安全防护。提高网络弹性的关键仍然是实施多层防御机制,并创建稳健的备份、恢复程序及事故响应计划。”

头号恶意软件家族

* 箭头表示与上月相比的排名变化。

FakeUpdates 是上个月最猖獗的恶意软件,全球 6% 的机构受到波及,其次是 Androxgh0stQbot,分别影响了全球 4%3% 的机构。

  1. ↔ FakeUpdates – FakeUpdates(又名 SocGholish)是一种使用 JavaScript 编写的下载程序。它会在启动有效载荷之前先将其写入磁盘。FakeUpdates 通过许多其他恶意软件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)引致进一步破坏。
  • ↑ Androxgh0st – Androxgh0st 是一个针对 Windows、Mac 及 Linux 平台的僵尸网络。在感染初始阶段,Androxgh0st 利用多个漏洞,特别是针对 PHPUnit、Laravel 框架和 Apache Web 服务器的漏洞。该恶意软件会窃取 Twilio 账户信息、SMTP 凭证、AWS 密钥等敏感信息,并利用 Laravel 文件收集所需信息。它有不同的变体,可扫描不同的信息。
  • ↓ Qbot – Qbot(又名 Qakbot)是一种多用途恶意软件,于 2008 年首次出现,旨在窃取用户凭证、记录击键次数、从浏览器中窃取 cookie、监视用户的银行业务操作,并部署更多恶意软件。Qbot 通常通过垃圾邮件传播,采用多种反 VM、反调试和反沙盒手段来阻碍分析和逃避检测。从 2022 年开始,它成为最猖獗的木马之一。

主要移动恶意软件

上月,Anubis 位居最猖獗的移动恶意软件榜首,其次是 AhMyth Hiddad

  1. ↔ Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。 自最初检测到以来,它已经具有一些额外的功能,包括远程访问木马 (RAT) 功能、键盘记录器、录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。
  2. ↔ AhMyth – AhMyth 是一种远程访问木马 (RAT),于 2017 年被发现,可通过应用商店和各种网站上的 Android 应用进行传播。当用户安装这些受感染的应用后,该恶意软件便可从设备收集敏感信息,并执行键盘记录、屏幕截图、发送短信和激活摄像头等操作,这些操作通常用于窃取敏感信息。
  3. ↑ Hiddad — Hiddad 是一种 Android 恶意软件,能够对合法应用进行重新打包,然后将其发布到第三方商店。其主要功能是显示广告,但它也可以访问操作系统内置的关键安全细节。

主要勒索软件团伙
数据基于从双重勒索勒索软件团伙运营的勒索软件“羞辱网站”(攻击者在这些网站上公布受害者信息)获得的洞察分析。上月,LockBit3 是最猖獗的勒索软件团伙,其攻击数量占已发布攻击的 9%,其次是 Play8Base,分别占 7%6%

  1. LockBit3 – LockBit3 是一种以 RaaS 模式运行的勒索软件,于 2019 年 9 月首次发现。它主要瞄准各个国家和地区的大型企业和政府机构。在 2024 年 2 月因执法行动而长期中断之后,LockBit3 现已恢复发布受害者信息。
  1. Play – Play 勒索软件又称为 PlayCrypt,于 2022 年 6 月首次现身。这一勒索软件瞄准北美洲、南美洲和欧洲的众多企业和关键基础设施,到 2023 年 10 月影响了大约 300 家实体。Play 勒索软件通常通过被盗的有效账户或利用未修补的漏洞(如 Fortinet SSL VPN 中的漏洞)侵入网络。得逞后,它会采用离地攻击二进制文件 (LOLBins) 等各种手段来执行数据泄露和凭证窃取等任务。
  1. 8Base – 8Base 威胁组织是一个勒索软件团伙,自 2022 年 3 月以来一直活跃至今。2023 年年中,该团伙攻击活动显著增加。据观察,8Base 团伙使用了多种勒索软件变体,包括常用的 Phobos。8Base 的运作相当复杂,这从他们在勒索软件中使用的高级手法便可见一斑。该团伙的勒索手段包括双重勒索策略。  

关于 Check Point 软件技术有限公司  

Check Point 软件技术有限公司 (www.checkpoint.com.cn) 是一家领先的云端 AI 网络安全平台提供商,为全球超过 10 万家企业与机构提供安全保护。Check Point 利用强大的 AI 技术通过 Infinity 平台提高了网络安全防护效率和准确性,凭借业界领先的捕获率实现了主动式威胁预测和更智能、更快速的响应。该综合型平台集多项云端技术于一身,包括确保工作空间安全的 Check Point Harmony、确保云安全的 Check Point CloudGuard、确保网络安全的 Check Point Quantum,以及支持协同式安全运维和服务的 Check Point Infinity Core Services。

关于 Check Point Research

Check Point Research 能够为 Check Point Software 客户以及整个情报界提供领先的网络威胁情报。Check Point 研究团队负责收集和分析 ThreatCloud 存储的全球网络攻击数据,以便在防范黑客的同时,确保所有 Check Point 产品都享有最新保护措施。此外,该团队由 100 多名分析师和研究人员组成,能够与其他安全厂商、执法机关及各个计算机安全应急响应组展开合作。