最新威脅指數(shù)強(qiáng)調(diào)，F(xiàn)akeUpdates 繼續(xù)對(duì)網(wǎng)絡(luò)環(huán)境構(gòu)成重大威脅，在促進(jìn)勒索軟件攻擊方面發(fā)揮著關(guān)鍵作用。安全研究人員最近的一項(xiàng)調(diào)查顯示，RansomHub 的一個(gè)附屬機(jī)構(gòu)利用基于 Python 的后門(mén)來(lái)維持持續(xù)訪問(wèn)并在各種網(wǎng)絡(luò)上部署勒索軟件。這個(gè)后門(mén)是在 FakeUpdates 獲得初始訪問(wèn)權(quán)限后不久安裝的，其展示了高級(jí)混淆技術(shù)以及人工智能輔助編碼模式。該攻擊涉及通過(guò)遠(yuǎn)程桌面協(xié)議 (RDP) 進(jìn)行橫向移動(dòng)，并通過(guò)創(chuàng)建計(jì)劃任務(wù)建立持續(xù)訪問(wèn)。

這些先進(jìn)技術(shù)凸顯了一個(gè)日益嚴(yán)重的現(xiàn)實(shí)：網(wǎng)絡(luò)犯罪分子正在通過(guò)人工智能改進(jìn)其方法并增強(qiáng)其能力。組織需要超越傳統(tǒng)防御措施，采取主動(dòng)、自適應(yīng)的安全措施來(lái)預(yù)測(cè)新出現(xiàn)的威脅。這種方法將使他們能夠有效應(yīng)對(duì)這些持續(xù)存在的挑戰(zhàn)。

2025年1月“十惡不赦”

*箭頭表示與上個(gè)月相比的排名變化

最流行的惡意軟件 FakeUpdates 影響了全球 4% 的組織，其次是 Formbook，占 3%，Remcos 占 3%。

• ? FakeUpdates —Fakeupdates（又名 SocGholish）是一種下載器惡意軟件，最初于 2018 年發(fā)現(xiàn)。它通過(guò)受感染或惡意網(wǎng)站上的驅(qū)動(dòng)下載進(jìn)行傳播，提示用戶(hù)安裝虛假的瀏覽器更新。FakeUpdates 惡意軟件與俄羅斯黑客組織 Evil Corp 有關(guān)，用于在初次感染后傳遞二次有效載荷。
• ↑ Formbook - Formbook 于 2016 年首次被發(fā)現(xiàn)，是一種主要針對(duì) Windows 系統(tǒng)的信息竊取惡意軟件。該惡意軟件從各種 Web 瀏覽器收集憑據(jù)、收集屏幕截圖、監(jiān)視和記錄擊鍵，并可以下載和執(zhí)行其他有效負(fù)載。該惡意軟件通過(guò)網(wǎng)絡(luò)釣魚(yú)活動(dòng)、惡意電子郵件附件和受感染的網(wǎng)站進(jìn)行傳播，通常偽裝成合法文件。
• ↑ Remcos — Remcos 是一種遠(yuǎn)程訪問(wèn)木馬 (RAT)，于 2016 年首次被發(fā)現(xiàn)。它通常通過(guò)網(wǎng)絡(luò)釣魚(yú)活動(dòng)中的惡意文檔進(jìn)行傳播。它旨在繞過(guò) Windows 安全機(jī)制（例如 UAC），并以提升的權(quán)限執(zhí)行惡意軟件，使其成為威脅行為者的多功能工具。
• ↓ Androxgh0st —AndroxGh0st 是一種基于 Python 的惡意軟件，它通過(guò)掃描包含敏感信息（例如 AWS、Twilio、Office 365 和 SendGrid 等服務(wù)的登錄憑據(jù)）的公開(kāi) .env 文件來(lái)攻擊使用 Laravel PHP 框架的應(yīng)用程序。它通過(guò)利用僵尸網(wǎng)絡(luò)來(lái)識(shí)別運(yùn)行 Laravel 的網(wǎng)站并提取機(jī)密數(shù)據(jù)。一旦獲得訪問(wèn)權(quán)限，攻擊者就可以部署其他惡意軟件，建立后門(mén)連接，并利用云資源進(jìn)行加密貨幣挖掘等活動(dòng)。
• ? AsyncRat – AsyncRAT 是一種針對(duì) Windows 系統(tǒng)的遠(yuǎn)程訪問(wèn)木馬 (RAT)，于 2019 年首次被發(fā)現(xiàn)。它會(huì)將系統(tǒng)信息泄露到命令和控制服務(wù)器，并執(zhí)行下載插件、終止進(jìn)程、捕獲屏幕截圖和更新自身等命令。它通常通過(guò)網(wǎng)絡(luò)釣魚(yú)活動(dòng)進(jìn)行傳播，用于數(shù)據(jù)竊取和系統(tǒng)入侵。
• ↑ SnakeKeylogger —Snake 是一種模塊化 .NET 鍵盤(pán)記錄器和憑證竊取程序，于 2020 年 11 月下旬首次發(fā)現(xiàn)。其主要功能是記錄用戶(hù)的擊鍵并將收集到的數(shù)據(jù)傳輸給威脅行為者。Snake 感染對(duì)用戶(hù)的隱私和在線(xiàn)安全構(gòu)成重大威脅，因?yàn)樵搻阂廛浖梢愿`取各種敏感信息，并且特別具有逃避性和持久性。
• ↑ Phorpiex —Phorpiex 又名 Trik，是一個(gè)自 2010 年以來(lái)一直活躍的僵尸網(wǎng)絡(luò)，主要針對(duì) Windows 系統(tǒng)。在巔峰時(shí)期，Phorpiex 控制了超過(guò)一百萬(wàn)臺(tái)受感染的主機(jī)。Phorpiex 因通過(guò)垃圾郵件活動(dòng)傳播其他惡意軟件系列（包括勒索軟件和加密貨幣挖礦程序）而臭名昭著，并參與了大規(guī)模的性勒索活動(dòng)。
• ↓ Rilide - Rilide 是一款?lèi)阂鉃g覽器擴(kuò)展程序，針對(duì)基于 Chromium 的瀏覽器，如 Chrome、Edge、Brave 和 Opera。它偽裝成合法的 Google Drive 擴(kuò)展程序，使威脅行為者能夠監(jiān)視瀏覽歷史記錄、截取屏幕截圖并注入惡意腳本以從加密貨幣交易所提取資金。值得注意的是，Rilide 可以模擬對(duì)話(huà)框，誘騙用戶(hù)泄露雙因素身份驗(yàn)證 (2FA) 詳細(xì)信息，從而促進(jìn)未經(jīng)授權(quán)的加密貨幣交易。它的分發(fā)方法包括惡意的 Microsoft Publisher 文件和欺騙性的 Google 廣告，以推廣虛假的軟件安裝程序。
• ↑ Amadey – Amadey 是一個(gè)模塊化僵尸網(wǎng)絡(luò)，于 2018 年出現(xiàn)，主要針對(duì) Windows 系統(tǒng)。它既是信息竊取者，又是惡意軟件加載器，能夠進(jìn)行偵察、數(shù)據(jù)泄露和部署其他有效載荷，包括銀行木馬和 DDoS 工具。Amadey 主要通過(guò) RigEK 和 Fallout EK 等漏洞利用工具包以及網(wǎng)絡(luò)釣魚(yú)電子郵件和其他惡意軟件（如 SmokeLoader）進(jìn)行傳播。
• ↓ AgentTesla —AgentTesla 是一種高級(jí) RAT（遠(yuǎn)程訪問(wèn)木馬），可用作鍵盤(pán)記錄器和密碼竊取程序。AgentTesla 自 2014 年以來(lái)一直活躍，可以監(jiān)控和收集受害者的鍵盤(pán)輸入和系統(tǒng)剪貼板、記錄屏幕截圖并竊取受害者機(jī)器上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶(hù)端）的輸入憑據(jù)。AgentTesla 公開(kāi)作為合法 RAT 出售，客戶(hù)需要支付 15 至 69 美元才能獲得用戶(hù)許可證。

頂級(jí)移動(dòng)惡意軟件

本月，Anubis 在最流行的移動(dòng)惡意軟件中排名第一，其次是 AhMyth 和 Necro。

• ? Anubis – Anubis 是一種多功能銀行木馬，起源于 Android 設(shè)備，現(xiàn)已發(fā)展到包括高級(jí)功能，例如通過(guò)攔截基于短信的一次性密碼 (OTP) 繞過(guò)多因素身份驗(yàn)證 (MFA)、鍵盤(pán)記錄、錄音和勒索軟件功能。它通常通過(guò) Google Play 商店中的惡意應(yīng)用程序進(jìn)行傳播，已成為最流行的移動(dòng)惡意軟件家族之一。此外，Anubis 還包含遠(yuǎn)程訪問(wèn)木馬 (RAT) 功能，可對(duì)受感染的系統(tǒng)進(jìn)行廣泛的監(jiān)視和控制。
• ↑ AhMyth – AhMyth 是一種針對(duì) Android 設(shè)備的遠(yuǎn)程訪問(wèn)木馬 (RAT)，通常偽裝成合法應(yīng)用程序，如屏幕錄像機(jī)、游戲或加密貨幣工具。安裝后，它會(huì)獲得大量權(quán)限，在重啟后仍能存活，并竊取敏感信息，如銀行憑證、加密貨幣錢(qián)包詳細(xì)信息、多因素身份驗(yàn)證 (MFA) 代碼和密碼。AhMyth 還支持鍵盤(pán)記錄、屏幕捕獲、攝像頭和麥克風(fēng)訪問(wèn)以及短信攔截，使其成為一種用于數(shù)據(jù)盜竊和其他惡意活動(dòng)的多功能工具。
• ↓ Necro – Necro 是一種惡意 Android 下載程序，它會(huì)根據(jù)其創(chuàng)建者的命令檢索受感染設(shè)備上的有害組件并執(zhí)行。它已在 Google Play 上的幾款熱門(mén)應(yīng)用程序以及 Spotify、WhatsApp 和 Minecraft 等非官方平臺(tái)上應(yīng)用程序的修改版本中被發(fā)現(xiàn)。Necro 可以將危險(xiǎn)模塊下載到智能手機(jī)上，從而允許執(zhí)行諸如顯示和點(diǎn)擊隱形廣告、下載可執(zhí)行文件以及安裝第三方應(yīng)用程序等操作。它還可以打開(kāi)隱藏窗口來(lái)運(yùn)行 JavaScript，從而可能讓用戶(hù)訂閱不需要的付費(fèi)服務(wù)。此外，Necro 還可以通過(guò)受感染的設(shè)備重新路由互聯(lián)網(wǎng)流量，將它們變成網(wǎng)絡(luò)犯罪分子代理僵尸網(wǎng)絡(luò)的一部分。

全球最受攻擊的行業(yè)

本月，教育行業(yè)在全球遭受攻擊的行業(yè)中位居第一位，其次是政府和電信行業(yè)。

• 教育
• 政府
• 電信

頂級(jí)勒索軟件組織

這些數(shù)據(jù)基于雙重勒索軟件組織運(yùn)營(yíng)的勒索軟件“恥辱網(wǎng)站”的洞察，這些網(wǎng)站發(fā)布了受害者信息。本月，clop 是最流行的勒索軟件組織，占已發(fā)布攻擊的 10%，其次是 FunkSec，占 8%，RansomHub 占 7%。

• Clop – Clop 是一種勒索軟件，自 2019 年以來(lái)一直活躍，針對(duì)全球各個(gè)行業(yè)，包括醫(yī)療保健、金融和制造業(yè)。Clop 源自 CryptoMix，使用 .clop 擴(kuò)展名加密受害者的文件，并采用“雙重勒索”，威脅除非支付贖金，否則泄露被盜數(shù)據(jù)。Clop 采用勒索軟件即服務(wù) (RaaS) 模式運(yùn)營(yíng)，利用漏洞、網(wǎng)絡(luò)釣魚(yú)和其他方法滲透系統(tǒng)，關(guān)閉 Windows Defender 等安全防御措施，并與一些備受關(guān)注的攻擊有關(guān)，例如 2023 年利用 MOVEit 文件傳輸軟件漏洞。
• FunkSec – FunkSec 是一個(gè)新興的勒索軟件組織，于 2024 年 12 月首次出現(xiàn)。他們的數(shù)據(jù)泄露網(wǎng)站 (DLS) 將勒索軟件事件報(bào)告與數(shù)據(jù)泄露混合在一起，導(dǎo)致報(bào)告的受害者數(shù)量異常高。然而，這些報(bào)告的準(zhǔn)確性仍未得到證實(shí)，他們的受害者名單中有大量來(lái)自其他威脅行為者出版物的重復(fù)內(nèi)容。
• RansomHub – RansomHub 是一種勒索軟件即服務(wù) (RaaS) 操作，是之前已知的 Knight 勒索軟件的改名版本。RansomHub 于 2024 年初在地下網(wǎng)絡(luò)犯罪論壇上引人注目，因其針對(duì)各種系統(tǒng)（包括 Windows、macOS、Linux 和 VMware ESXi 環(huán)境）的積極活動(dòng)而迅速聲名狼藉。該惡意軟件以采用復(fù)雜的加密方法而聞名。

本月，我們觀察到一個(gè)新組織 Babuk Bjorka 的出現(xiàn)，該組織建立了一個(gè)數(shù)據(jù)泄露網(wǎng)站 (DLS)。該組織列出了多個(gè)受害者；但是，他們的可靠性值得懷疑。由于對(duì)可信度的擔(dān)憂(yōu)，我們暫時(shí)將該組織排除在我們的名單之外。我們將繼續(xù)監(jiān)控，并在能夠驗(yàn)證其活動(dòng)時(shí)提供更新。