2023年80%的网络攻击来自三大木马程序
根据ReliaQuest最新发布的报告,2023年迄今为止观察到的计算机和网络攻击80%都涉及三种恶意软件加载程序(木马程序),分别是:QBot、SocGholish和Raspberry Robin。
ReliaQuest的报告称,网络安全团队应检测和阻止的首要恶意软件是近期被FBI捣毁的QBot(也称为QakBot、QuackBot和Pinkslipbot),QBot是2023年1月1日至7月31日期间最常见的恶意软件加载程序,占检测到的网络攻击的30%。SocGholish以27%位居第二,RaspberryRobin则以23%排名第三。三者遥遥领先于TOP10中的其他七个加载器,其中Gootloader占3%,Guloader、Chromeloader和Ursnif分别占2%。
在受害者的计算机上运行的加载程序是恶意软件感染的中间阶段。不法分子通常利用某些漏洞或发送带有恶意附件的电子邮件来传播加载程序。加载程序运行时,通常会确保其在系统中的立足点,采取措施长期驻留,并尝试获取要执行的恶意软件负载,例如勒索软件或后门程序。
加载程序是安全团队的噩梦,正如报告所指出的:“一个加载程序的缓解措施可能对另一个加载程序不起作用,即使它们加载了相同的恶意软件。”
以下是对三大恶意软件加载程序近期动态的介绍:
QBot
QBot是一款已有16年历史的银行木马,近年来功能迭代迅速,属于所谓的“敏捷木马”,现已发展到能够传播勒索软件、窃取敏感数据、在企业IT环境中实现横向移动以及部署远程代码执行软件。
6月,Lumen的Black Lotus Labs威胁情报小组发现QBot使用新的恶意软件交付方法和命令与控制基础设施,其中四分之一的活动时间仅为一天。安全研究人员表示,这种演变可能是为了应对微软去年默认阻止Office用户使用互联网来源的宏的措施。
SocGholish
排名第二的加载程序SocGholish是一个面向Windows的基于JavaScript的代码块。它与俄罗斯的Evil Corp和初始访问经纪人Exotic Lily有联系,后者擅长入侵企业网络,然后将访问权限出售给其他犯罪分子。
SocGholish通常通过偷渡式攻击和社会工程活动进行部署,伪装成软件更新,下载后会将恶意代码投放到受害者的设备上。据Google威胁分析小组称,Exotic Lily曾一度每天向全球约650个目标组织发送超过5000封电子邮件。
去年秋天,一个被追踪为TA569的犯罪组织入侵了250多家美国报纸网站,然后利用该访问权限通过基于JavaScript的恶意广告和视频向出版物读者分发SocGholish恶意软件。
2023年上半年,ReliaQuest追踪到SocGholish运营商实施了“激进的水坑攻击”。
威胁研究人员表示:“他们破坏并感染了大型企业的网站。毫无戒心的访问者不可避免地下载了SocGholish恶意负载,从而导致大面积感染。”
Raspberry Robin
排名第三的Raspberry Robin针对Windows系统,由通过USB驱动器传播的蠕虫病毒演变而来。受感染的USB驱动器包含恶意.lnk文件,在执行时会与命令和控制服务器进行通信,建立持久性,并在受感染的设备上执行其他恶意软件——包括勒索软件。
Raspberry Robin还被用来传播Clop和LockBit勒索软件,以及TrueBot数据窃取恶意软件、Flawed Grace远程访问木马和Cobalt Strike,以获取对受害者环境的访问权限。
Raspberry Robin与俄罗斯的Evil Corp和“邪恶蜘蛛“有关联。在2023年上半年,Raspberry Robin主要被用于针对金融机构、电信、政府和制造组织的攻击,主要在欧洲,但也有部分在美国。
报告指出:“根据最近的趋势,上述加载程序很可能在2023年剩下的时间里继续兴风作浪,对企业构成严重威胁。”