安全公司ReliaQuest在上周報(bào)告稱，應(yīng)該由IT防御系統(tǒng)檢測(cè)和阻止的頂級(jí)惡意軟件是QBot（也稱為QakBot、QuackBot和Pinkslipbot），它是1月1日至7月31日期間最常見的加載器，負(fù)責(zé)記錄的入侵嘗試的30%。SocGholish排名第二，占27%，Raspberry Robin占23%。排名后的七個(gè)加載器遠(yuǎn)遠(yuǎn)落后于這三個(gè)領(lǐng)導(dǎo)者：Gootloader占3%，Guloader、Chromeloader和Ursnif占2%。

顧名思義，加載器是惡意軟件感染的中間階段。例如，黑客利用某些漏洞或向目標(biāo)發(fā)送帶有惡意附件的電子郵件來在受害者的計(jì)算機(jī)上運(yùn)行加載器。當(dāng)加載器運(yùn)行時(shí)，通常會(huì)在系統(tǒng)中確保其立足點(diǎn)，采取措施維持持久性，并獲取執(zhí)行主要惡意軟件負(fù)載，可能是勒索軟件、后門或其他類似的東西。

這使得攻擊者在入侵后有一定的靈活性，并且還有助于隱藏部署在計(jì)算機(jī)上的惡意軟件。能夠發(fā)現(xiàn)和停止加載器可以在您的組織內(nèi)阻止重大的惡意軟件感染。

然而，對(duì)于安全團(tuán)隊(duì)來說，這些加載器令人頭疼，因?yàn)檎鏡eliaQuest指出的那樣，“對(duì)一個(gè)加載器的緩解措施可能對(duì)另一個(gè)加載器無效，即使它們加載相同的惡意軟件?！?/p>

根據(jù)分析，ReliaQuest將QBot描述為“靈活的”銀行木馬，它已經(jīng)發(fā)展成為傳遞勒索軟件、竊取敏感數(shù)據(jù)、在組織環(huán)境中實(shí)現(xiàn)橫向移動(dòng)以及部署遠(yuǎn)程代碼執(zhí)行軟件的16年老木馬。

去年6月，Lumen的黑蓮花實(shí)驗(yàn)室威脅情報(bào)組發(fā)現(xiàn)該加載器使用了新的惡意軟件傳遞方法和命令與控制基礎(chǔ)設(shè)施，其中四分之一的基礎(chǔ)設(shè)施僅活躍了一天。根據(jù)安全研究人員的說法，這種演變很可能是對(duì)微軟去年默認(rèn)阻止Office用戶從互聯(lián)網(wǎng)獲取的宏的回應(yīng)。

ReliaQuest表示：“QakBot的靈活性在其運(yùn)營(yíng)商對(duì)微軟的Web標(biāo)記（MOTW）的回應(yīng)中表現(xiàn)出來：它們改變了交付策略，選擇使用HTML走私。在其他情況下，QakBot運(yùn)營(yíng)商嘗試使用不同的文件類型作為其負(fù)載，以逃避緩解措施。”

這包括在釣魚郵件中使用惡意的OneNote文件，正如2023年2月針對(duì)美國(guó)組織的一次活動(dòng)中所發(fā)生的情況。

不要相信那個(gè)下載

SocGholish通常通過驅(qū)動(dòng)器損壞和社交工程活動(dòng)部署，偽裝成一個(gè)假的更新，當(dāng)被下載時(shí)，在受害者設(shè)備上釋放惡意代碼。根據(jù)谷歌的威脅分析小組的說法，Exotic Lily曾一度每天向650個(gè)目標(biāo)全球組織發(fā)送超過5000封電子郵件。

去年秋天，一個(gè)被追蹤為TA569的犯罪團(tuán)伙入侵了250多個(gè)美國(guó)報(bào)紙網(wǎng)站，然后利用這個(gè)訪問權(quán)限通過惡意的JavaScript廣告和視頻向這些出版物的讀者提供SocGholish惡意軟件。

最近，在2023年上半年，ReliaQuest追蹤到SocGholish運(yùn)營(yíng)商進(jìn)行了“積極的飲水源攻擊”。

威脅研究人員表示：“他們?nèi)肭趾透腥玖藦氖戮哂欣麧?rùn)潛力的常規(guī)業(yè)務(wù)的大型組織的網(wǎng)站，不知情的訪問者不可避免地下載了SocGholish的負(fù)載，導(dǎo)致廣泛感染。”

早起的鳥兒得到了（Windows）蠕蟲

排名前三的是Raspberry Robin，它也針對(duì)Windows系統(tǒng)，并已經(jīng)從通過USB驅(qū)動(dòng)器傳播的蠕蟲進(jìn)化而來。

這些被感染的USB驅(qū)動(dòng)器包含惡意的.lnk文件，當(dāng)執(zhí)行時(shí)，與命令與控制服務(wù)器通信，建立持久性，并在受感染設(shè)備上執(zhí)行其他惡意軟件，越來越多地是勒索軟件。

Raspberry Robin還被用于傳遞Clop和LockBit勒索軟件，以及TrueBot數(shù)據(jù)竊取惡意軟件、Flawed Grace遠(yuǎn)程訪問木馬和Cobalt Strike以獲取對(duì)受害者環(huán)境的訪問權(quán)限。

它與Evil Corp和另一個(gè)俄羅斯犯罪團(tuán)伙Whisper Spider有關(guān)。在2023年上半年，它曾被用于針對(duì)金融機(jī)構(gòu)、電信、政府和制造業(yè)組織的攻擊，主要在歐洲，但也在美國(guó)。

研究人員寫道：“根據(jù)最近的趨勢(shì)，這些加載器在中期未來（3-6個(gè)月）以及之后很可能繼續(xù)對(duì)組織構(gòu)成威脅?！?/p>