2023年80%的網(wǎng)絡攻擊來自三大木馬程序

根據(jù)ReliaQuest最新發(fā)布的報告，2023年迄今為止觀察到的計算機和網(wǎng)絡攻擊80%都涉及三種惡意軟件加載程序（木馬程序），分別是：QBot、SocGholish和Raspberry Robin。

ReliaQuest的報告稱，網(wǎng)絡安全團隊應檢測和阻止的首要惡意軟件是近期被FBI搗毀的QBot（也稱為QakBot、QuackBot和Pinkslipbot），QBot是2023年1月1日至7月31日期間最常見的惡意軟件加載程序，占檢測到的網(wǎng)絡攻擊的30%。SocGholish以27%位居第二，RaspberryRobin則以23%排名第三。三者遙遙領先于TOP10中的其他七個加載器，其中Gootloader占3%，Guloader、Chromeloader和Ursnif分別占2%。

在受害者的計算機上運行的加載程序是惡意軟件感染的中間階段。不法分子通常利用某些漏洞或發(fā)送帶有惡意附件的電子郵件來傳播加載程序。加載程序運行時，通常會確保其在系統(tǒng)中的立足點，采取措施長期駐留，并嘗試獲取要執(zhí)行的惡意軟件負載，例如勒索軟件或后門程序。

加載程序是安全團隊的噩夢，正如報告所指出的：“一個加載程序的緩解措施可能對另一個加載程序不起作用，即使它們加載了相同的惡意軟件。”

以下是對三大惡意軟件加載程序近期動態(tài)的介紹：

QBot

QBot是一款已有16年歷史的銀行木馬，近年來功能迭代迅速，屬于所謂的“敏捷木馬”，現(xiàn)已發(fā)展到能夠傳播勒索軟件、竊取敏感數(shù)據(jù)、在企業(yè)IT環(huán)境中實現(xiàn)橫向移動以及部署遠程代碼執(zhí)行軟件。

6月，Lumen的Black Lotus Labs威脅情報小組發(fā)現(xiàn)QBot使用新的惡意軟件交付方法和命令與控制基礎設施，其中四分之一的活動時間僅為一天。安全研究人員表示，這種演變可能是為了應對微軟去年默認阻止Office用戶使用互聯(lián)網(wǎng)來源的宏的措施。

SocGholish

排名第二的加載程序SocGholish是一個面向Windows的基于JavaScript的代碼塊。它與俄羅斯的Evil Corp和初始訪問經(jīng)紀人Exotic Lily有聯(lián)系，后者擅長入侵企業(yè)網(wǎng)絡，然后將訪問權(quán)限出售給其他犯罪分子。

SocGholish通常通過偷渡式攻擊和社會工程活動進行部署，偽裝成軟件更新，下載后會將惡意代碼投放到受害者的設備上。據(jù)Google威脅分析小組稱，Exotic Lily曾一度每天向全球約650個目標組織發(fā)送超過5000封電子郵件。

去年秋天，一個被追蹤為TA569的犯罪組織入侵了250多家美國報紙網(wǎng)站，然后利用該訪問權(quán)限通過基于JavaScript的惡意廣告和視頻向出版物讀者分發(fā)SocGholish惡意軟件。

2023年上半年，ReliaQuest追蹤到SocGholish運營商實施了“激進的水坑攻擊”。

威脅研究人員表示：“他們破壞并感染了大型企業(yè)的網(wǎng)站。毫無戒心的訪問者不可避免地下載了SocGholish惡意負載，從而導致大面積感染?！?/span>

Raspberry Robin

排名第三的Raspberry Robin針對Windows系統(tǒng)，由通過USB驅(qū)動器傳播的蠕蟲病毒演變而來。受感染的USB驅(qū)動器包含惡意.lnk文件，在執(zhí)行時會與命令和控制服務器進行通信，建立持久性，并在受感染的設備上執(zhí)行其他惡意軟件——包括勒索軟件。

Raspberry Robin還被用來傳播Clop和LockBit勒索軟件，以及TrueBot數(shù)據(jù)竊取惡意軟件、Flawed Grace遠程訪問木馬和Cobalt Strike，以獲取對受害者環(huán)境的訪問權(quán)限。

Raspberry Robin與俄羅斯的Evil Corp和“邪惡蜘蛛“有關聯(lián)。在2023年上半年，Raspberry Robin主要被用于針對金融機構(gòu)、電信、政府和制造組織的攻擊，主要在歐洲，但也有部分在美國。

報告指出：“根據(jù)最近的趨勢，上述加載程序很可能在2023年剩下的時間里繼續(xù)興風作浪，對企業(yè)構(gòu)成嚴重威脅?！?/span>

原文來源：GoUpSec，如侵權(quán)請聯(lián)系刪除