2023年(nián)80%的(de)網絡攻擊來(lái)自(zì)三大木馬程序

根據ReliaQuest最新發布的(de)報告，2023年(nián)迄今為(wèi)止觀察到的(de)計(jì)算(suàn)機(jī)和(hé)網絡攻擊80%都(dōu)涉及三種惡意軟件(jiàn)加載程序（木馬程序），分别是：QBot、SocGholish和(hé)Raspberry Robin。

ReliaQuest的(de)報告稱，網絡安全團隊應檢測和(hé)阻止的(de)首要惡意軟件(jiàn)是近(jìn)期被FBI搗毀的(de)QBot（也稱為(wèi)QakBot、QuackBot和(hé)Pinkslipbot），QBot是2023年(nián)1月(yuè)1日(rì)至7月(yuè)31日(rì)期間(jiān)最常見的(de)惡意軟件(jiàn)加載程序，占檢測到的(de)網絡攻擊的(de)30%。SocGholish以27%位居第二，RaspberryRobin則以23%排名第三。三者遙遙領先于TOP10中的(de)其他(tā)七個(gè)加載器(qì)，其中Gootloader占3%，Guloader、Chromeloader和(hé)Ursnif分别占2%。

在受害者的(de)計(jì)算(suàn)機(jī)上(shàng)運行的(de)加載程序是惡意軟件(jiàn)感染的(de)中間(jiān)階段。不法分子(zǐ)通(tōng)常利用某些漏洞或發送帶有(yǒu)惡意附件(jiàn)的(de)電(diàn)子(zǐ)郵件(jiàn)來(lái)傳播加載程序。加載程序運行時(shí)，通(tōng)常會确保其在系統中的(de)立足點，采取措施長(cháng)期駐留，并嘗試獲取要執行的(de)惡意軟件(jiàn)負載，例如勒索軟件(jiàn)或後門程序。

加載程序是安全團隊的(de)噩夢，正如報告所指出的(de)：“一個(gè)加載程序的(de)緩解措施可能對(duì)另一個(gè)加載程序不起作(zuò)用，即使它們加載了相(xiàng)同的(de)惡意軟件(jiàn)。”

以下(xià)是對(duì)三大惡意軟件(jiàn)加載程序近(jìn)期動态的(de)介紹：

QBot

QBot是一款已有(yǒu)16年(nián)曆史的(de)銀行木馬，近(jìn)年(nián)來(lái)功能叠代迅速，屬于所謂的(de)“敏捷木馬”，現(xiàn)已發展到能夠傳播勒索軟件(jiàn)、竊取敏感數據、在企業(yè)IT環境中實現(xiàn)橫向移動以及部署遠(yuǎn)程代碼執行軟件(jiàn)。

6月(yuè)，Lumen的(de)Black Lotus Labs威脅情報小(xiǎo)組發現(xiàn)QBot使用新的(de)惡意軟件(jiàn)交付方法和(hé)命令與控制基礎設施，其中四分之一的(de)活動時(shí)間(jiān)僅為(wèi)一天。安全研究人(rén)員(yuán)表示，這(zhè)種演變可能是為(wèi)了應對(duì)微(wēi)軟去(qù)年(nián)默認阻止Office用戶使用互聯網來(lái)源的(de)宏的(de)措施。

SocGholish

排名第二的(de)加載程序SocGholish是一個(gè)面向Windows的(de)基于JavaScript的(de)代碼塊。它與俄羅斯的(de)Evil Corp和(hé)初始訪問(wèn)經紀人(rén)Exotic Lily有(yǒu)聯系，後者擅長(cháng)入侵企業(yè)網絡，然後将訪問(wèn)權限出售給其他(tā)犯罪分子(zǐ)。

SocGholish通(tōng)常通(tōng)過偷渡式攻擊和(hé)社會工(gōng)程活動進行部署，僞裝成軟件(jiàn)更新，下(xià)載後會将惡意代碼投放(fàng)到受害者的(de)設備上(shàng)。據Google威脅分析小(xiǎo)組稱，Exotic Lily曾一度每天向全球約650個(gè)目标組織發送超過5000封電(diàn)子(zǐ)郵件(jiàn)。

去(qù)年(nián)秋天，一個(gè)被追蹤為(wèi)TA569的(de)犯罪組織入侵了250多家(jiā)美(měi)國(guó)報紙網站，然後利用該訪問(wèn)權限通(tōng)過基于JavaScript的(de)惡意廣告和(hé)視(shì)頻(pín)向出版物(wù)讀者分發SocGholish惡意軟件(jiàn)。

2023年(nián)上(shàng)半年(nián)，ReliaQuest追蹤到SocGholish運營商實施了“激進的(de)水(shuǐ)坑攻擊”。

威脅研究人(rén)員(yuán)表示：“他(tā)們破壞并感染了大型企業(yè)的(de)網站。毫無戒心的(de)訪問(wèn)者不可避免地(dì)下(xià)載了SocGholish惡意負載，從(cóng)而導緻大面積感染。”

Raspberry Robin

排名第三的(de)Raspberry Robin針對(duì)Windows系統，由通(tōng)過USB驅動器(qì)傳播的(de)蠕蟲病毒演變而來(lái)。受感染的(de)USB驅動器(qì)包含惡意.lnk文(wén)件(jiàn)，在執行時(shí)會與命令和(hé)控制服務器(qì)進行通(tōng)信，建立持久性，并在受感染的(de)設備上(shàng)執行其他(tā)惡意軟件(jiàn)——包括勒索軟件(jiàn)。

Raspberry Robin還(hái)被用來(lái)傳播Clop和(hé)LockBit勒索軟件(jiàn)，以及TrueBot數據竊取惡意軟件(jiàn)、Flawed Grace遠(yuǎn)程訪問(wèn)木馬和(hé)Cobalt Strike，以獲取對(duì)受害者環境的(de)訪問(wèn)權限。

Raspberry Robin與俄羅斯的(de)Evil Corp和(hé)“邪惡蜘蛛“有(yǒu)關聯。在2023年(nián)上(shàng)半年(nián)，Raspberry Robin主要被用于針對(duì)金(jīn)融機(jī)構、電(diàn)信、政府和(hé)制造組織的(de)攻擊，主要在歐洲，但(dàn)也有(yǒu)部分在美(měi)國(guó)。

報告指出：“根據最近(jìn)的(de)趨勢，上(shàng)述加載程序很(hěn)可能在2023年(nián)剩下(xià)的(de)時(shí)間(jiān)裏繼續興風(fēng)作(zuò)浪，對(duì)企業(yè)構成嚴重威脅。”

原文(wén)來(lái)源：GoUpSec，如侵權請聯系删除