imageportofolio

2023年80%的網絡攻擊來自三大木(mù)馬程序

2023-11-17 336

2023年80%的網絡攻擊來自三大木(mù)馬程序

 圖片1.png

根據ReliaQuest最新(xīn)發布的報告,2023年迄今為(wèi)止觀察到的計算機和網絡攻擊80%都涉及三種惡意軟件加載程序(木(mù)馬程序),分(fēn)别是:QBot、SocGholish和Raspberry Robin。

ReliaQuest的報告稱,網絡安(ān)全團隊應檢測和阻止的首要惡意軟件是近期被FBI搗毀的QBot(也稱為(wèi)QakBot、QuackBot和Pinkslipbot),QBot是2023年1月1日至7月31日期間最常見的惡意軟件加載程序,占檢測到的網絡攻擊的30%。SocGholish以27%位居第二,RaspberryRobin則以23%排名(míng)第三。三者遙遙領先于TOP10中(zhōng)的其他(tā)七個加載器,其中(zhōng)Gootloader占3%,Guloader、Chromeloader和Ursnif分(fēn)别占2%。

圖片2.png

在受害者的計算機上運行的加載程序是惡意軟件感染的中(zhōng)間階段。不法分(fēn)子通常利用(yòng)某些漏洞或發送帶有(yǒu)惡意附件的電(diàn)子郵件來傳播加載程序。加載程序運行時,通常會确保其在系統中(zhōng)的立足點,采取措施長(cháng)期駐留,并嘗試獲取要執行的惡意軟件負載,例如勒索軟件或後門程序。

加載程序是安(ān)全團隊的噩夢,正如報告所指出的:“一個加載程序的緩解措施可(kě)能(néng)對另一個加載程序不起作(zuò)用(yòng),即使它們加載了相同的惡意軟件。”

以下是對三大惡意軟件加載程序近期動态的介紹:

QBot

QBot是一款已有(yǒu)16年曆史的銀行木(mù)馬,近年來功能(néng)叠代迅速,屬于所謂的“敏捷木(mù)馬”,現已發展到能(néng)夠傳播勒索軟件、竊取敏感數據、在企業IT環境中(zhōng)實現橫向移動以及部署遠(yuǎn)程代碼執行軟件。

6月,Lumen的Black Lotus Labs威脅情報小(xiǎo)組發現QBot使用(yòng)新(xīn)的惡意軟件交付方法和命令與控制基礎設施,其中(zhōng)四分(fēn)之一的活動時間僅為(wèi)一天。安(ān)全研究人員表示,這種演變可(kě)能(néng)是為(wèi)了應對微軟去年默認阻止Office用(yòng)戶使用(yòng)互聯網來源的宏的措施。

SocGholish

排名(míng)第二的加載程序SocGholish是一個面向Windows的基于JavaScript的代碼塊。它與俄羅斯的Evil Corp和初始訪問經紀人Exotic Lily有(yǒu)聯系,後者擅長(cháng)入侵企業網絡,然後将訪問權限出售給其他(tā)犯罪分(fēn)子。

SocGholish通常通過偷渡式攻擊和社會工(gōng)程活動進行部署,僞裝(zhuāng)成軟件更新(xīn),下載後會将惡意代碼投放到受害者的設備上。據Google威脅分(fēn)析小(xiǎo)組稱,Exotic Lily曾一度每天向全球約650個目标組織發送超過5000封電(diàn)子郵件。

去年秋天,一個被追蹤為(wèi)TA569的犯罪組織入侵了250多(duō)家美國(guó)報紙網站,然後利用(yòng)該訪問權限通過基于JavaScript的惡意廣告和視頻向出版物(wù)讀者分(fēn)發SocGholish惡意軟件。

2023年上半年,ReliaQuest追蹤到SocGholish運營商(shāng)實施了“激進的水坑攻擊”。

威脅研究人員表示:“他(tā)們破壞并感染了大型企業的網站。毫無戒心的訪問者不可(kě)避免地下載了SocGholish惡意負載,從而導緻大面積感染。”

Raspberry Robin

排名(míng)第三的Raspberry Robin針對Windows系統,由通過USB驅動器傳播的蠕蟲病毒演變而來。受感染的USB驅動器包含惡意.lnk文(wén)件,在執行時會與命令和控制服務(wù)器進行通信,建立持久性,并在受感染的設備上執行其他(tā)惡意軟件——包括勒索軟件。

Raspberry Robin還被用(yòng)來傳播Clop和LockBit勒索軟件,以及TrueBot數據竊取惡意軟件、Flawed Grace遠(yuǎn)程訪問木(mù)馬和Cobalt Strike,以獲取對受害者環境的訪問權限。

Raspberry Robin與俄羅斯的Evil Corp和“邪惡蜘蛛“有(yǒu)關聯。在2023年上半年,Raspberry Robin主要被用(yòng)于針對金融機構、電(diàn)信、政府和制造組織的攻擊,主要在歐洲,但也有(yǒu)部分(fēn)在美國(guó)。

報告指出:“根據最近的趨勢,上述加載程序很(hěn)可(kě)能(néng)在2023年剩下的時間裏繼續興風作(zuò)浪,對企業構成嚴重威脅。”

原文(wén)來源:GoUpSec,如侵權請聯系删除