2024年3月份恶意软件之十恶不赦排行榜

2024 年 3 月全球威胁指数显示，研究人员发现黑客利用虚拟硬盘 (VHD) 文件部署远程访问木马 (RAT) Remcos。与此同时，尽管执法部门在 2 月份取缔了Lockbit3，但 Lockbit3 仍然是 3 月份最流行的勒索软件组织，尽管其在 200 个 Check Point 监控的勒索软件“耻辱网站”上的频率从 20% 减少到 12%。

Remcos 是一种已知的恶意软件，自 2016 年以来一直在野外出现。这一最新活动绕过了常见的安全措施，使网络犯罪分子能够未经授权访问受害者的设备。尽管其合法起源是远程管理 Windows 系统，但网络犯罪分子很快就开始利用该工具的能力来感染设备、捕获屏幕截图、记录击键并将收集的数据传输到指定的主机服务器。此外，RAT 具有群发邮件功能，可以发起分发活动，总体而言，其各种功能可用于创建僵尸网络。上个月，它在恶意软件排行榜上的排名从 2 月份的第六位上升到第四位。

攻击策略的演变凸显了网络犯罪策略的不断进步。这强调了组织需要优先考虑主动网络安全措施。通过保持警惕、部署强大的端点保护并培养网络安全意识文化，我们可以共同加强对不断变化的网络威胁的防御。

双重勒索勒索软件团体运行的勒索软件“羞耻网站”。Lockbit3 再次以 12% 的已发布攻击排名第一，其次是 Play（占 10%）和 Blackbasta（占 9%）。Blackbasta 首次进入前三名，声称对苏格兰律师事务所Scullion Law最近遭受的网络攻击负责。

上个月，最常被利用的漏洞是“Web 服务器恶意 URL 目录遍历”，影响了全球 50% 的组织，紧随其后的是“HTTP 命令注入”，占 48%，“HTTP 标头远程代码执行”占 43%。

2024年3月“十恶不赦”

*箭头表示与上个月相比的排名变化

FakeUpdates是上个月最流行的恶意软件，对全球组织的影响达6%，其次是Qbot ，对全球影响达3%， Formbook对全球影响达2%。

1. ↔ FakeUpdates – FakeUpdates（又名 SocGholish）是一个用 JavaScript 编写的下载器。它在启动有效负载之前将其写入磁盘。FakeUpdates 通过许多其他恶意软件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）导致进一步的危害。

2. ↔ Qbot – Qbot 又称 Qakbot 是一种多用途恶意软件，首次出现于 2008 年。它旨在窃取用户的凭据、记录击键、从浏览器窃取 cookie、监视银行活动以及部署其他恶意软件。Qbot 通常通过垃圾邮件进行分发，它采用多种反虚拟机、反调试和反沙箱技术来阻碍分析和逃避检测。从 2022 年开始，它成为最流行的特洛伊木马之一。

3. ↔ Formbook – Formbook 是一种针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格，它在地下黑客论坛中以恶意软件即服务 (MaaS) 的形式进行销售。Formbook 从各种 Web 浏览器获取凭据、收集屏幕截图、监视和记录击键，并可以根据其 C&C 的命令下载和执行文件。

4. ^ Remcos – Remcos 是一种于 2016 年首次出现的 RAT。Remcos 通过附加在垃圾邮件中的恶意 Microsoft Office 文档进行传播，旨在绕过 Microsoft Windows UAC 安全性并以高级权限执行恶意软件。

5. ↑ AgentTesla – AgentTesla 是一种高级 RAT，充当键盘记录器和信息窃取程序，能够监控和收集受害者的键盘输入、截取屏幕截图以及窃取受害者计算机上安装的各种软件的凭据（包括 Google Chrome、Mozilla Firefox）和 Microsoft Outlook 电子邮件客户端）。

6. ↓ AsyncRat – Asyncrat 是一种针对 Windows 平台的木马。该恶意软件将有关目标系统的系统信息发送到远程服务器。它从服务器接收命令来下载并执行插件、终止进程、卸载/更新自身以及捕获受感染系统的屏幕截图。

7. ↑ CloudEyE – CloudEye是一款针对Windows平台的下载器，用于在受害者计算机上下载并安装恶意程序。

8. ↓ Nanocore – NanoCore 是一种针对 Windows 操作系统用户的远程访问木马，于 2013 年首次在野外观察到。所有版本的 RAT 都包含基本插件和功能，例如屏幕捕获、加密货币挖掘、远程控制桌面和网络摄像头会话盗窃。

9. ^ NJRat – NJRat 是一种远程访问木马，主要针对中东的政府机构和组织。该木马首次出现于 2012 年，具有多种功能：捕获击键、访问受害者的摄像头、窃取浏览器中存储的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和偷渡式下载感染受害者，并在命令与控制服务器软件的支持下通过受感染的 USB 密钥或网络驱动器进行传播。

10. ↓Phorpiex – Phorpiex 是一个僵尸网络，以通过垃圾邮件活动分发其他恶意软件系列以及助长大规模性勒索活动而闻名。

最常被利用的漏洞

上个月，“ Web 服务器恶意 URL 目录遍历”是最容易被利用的漏洞，影响了 全球50%的组织，其次是“HTTP 命令注入”（48%）和“HTTP 标头远程代码执行”（43%）。

1. ↔ Web 服务器恶意 URL 目录遍历 (CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、 CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) –有不同Web服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误导致的，该错误未正确清理目录遍历模式的 URI。成功利用此漏洞允许未经身份验证的远程攻击者披露或访问易受攻击的服务器上的任意文件。

2. ↔ HTTP 命令注入（CVE-2021-43936、CVE-2022-24086） – 已报告 HTTP 命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功利用该漏洞将允许攻击者在目标计算机上执行任意代码。

3. ↑ HTTP 标头远程代码执行 ( CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-1375) – HTTP 标头允许客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能使用易受攻击的 HTTP 标头在受害计算机上运行任意代码。

4. ↓ Zyxel ZyWALL 命令注入 (CVE-2023-28771) – Zyxel ZyWALL 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意操作系统命令。

5. ↔ Apache Struts2 远程执行代码 (CVE-2017-5638) – Apache Struts2 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。

6. ↑ WordPress portable-phpMyAdmin 插件身份验证绕过 (CVE-2012-5469) – WordPress portable-phpMyAdmin 插件中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并对受影响的系统进行未经授权的访问。

7. ↓ PHP 彩蛋信息泄露 (CVE-2015-2051) – PHP 页面中报告了一个信息泄露漏洞。该漏洞是由于不正确的 Web 服务器配置造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。

8. ↑ MVPower CCTV DVR 远程执行代码 (CVE-2016-20016) – MVPower CCTV DVR 中存在远程执行代码漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。

9. ↑ Dasan GPON 路由器身份验证绕过 (CVE-2012-5469) – PHPUnit 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意命令。

10. ↔ OpenSSL TLS DTLS 心跳信息泄露（CVE-2014-0160、CVE-2014-0346） – OpenSSL 中存在信息泄露漏洞。该漏洞又名 Heartbleed，是由于处理 TLS/DTLS 心跳数据包时出现错误造成的。攻击者可以利用此漏洞泄露所连接的客户端或服务器的内存内容。

热门移动恶意软件

上个月，Anubis作为最流行的移动恶意软件排名第一，其次是AhMyth和Cerberus。

1. ↔ Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来，它已获得了额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器、录音功能和各种勒索软件功能。Google 商店中数百个不同的应用程序已检测到该病毒。

2. ↔ AhMyth – AhMyth 是 2017 年发现的远程访问木马 (RAT)。它通过 Android 应用程序分发，可在应用程序商店和各种网站上找到。当用户安装这些受感染的应用程序之一时，恶意软件可以从设备收集敏感信息并执行键盘记录、截图、发送短信和激活摄像头等操作，这些操作通常用于窃取敏感信息。

3. ↑ Cerberus – Cerberus 于 2019 年 6 月首次出现，是一种远程访问木马 (RAT)，具有针对 Android 设备的特定银行屏幕覆盖功能。Cerberus 以恶意软件即服务 (MaaS) 模式运营，取代了 Anubis 和 Exobot 等已停产的银行。其功能包括短信控制、按键记录、录音、位置跟踪器等。

全球受攻击最严重的行业

上个月，教育/研究在全球受攻击最严重的行业中仍然位居榜首，其次是政府/军事和通信。

1. 教育/研究

2. 政府/军队

3. 通讯

顶级勒索软件团体
本节提供来自双重勒索勒索软件团体运营的勒索软件“耻辱网站”的信息，这些勒索软件团体发布了受害者的姓名和信息。这些羞耻网站的数据带有其自身的偏见，但仍然为勒索软件生态系统提供了有价值的见解

Lockbit3是上个月最流行的勒索软件组织，占已发布攻击的12%，其次是Play（占10%）和Blackbasta（占9%）。

1. Lockbit3 – LockBit 是一种勒索软件，以 RaaS 模式运行，于 2019 年 9 月首次报告。LockBit 针对来自不同国家的大型企业和政府实体，不针对俄罗斯或独立国家联合体的个人。尽管由于执法行动，Lockbit 在 2024 年 2 月经历了严重的服务中断，但仍恢复发布有关受害者的信息。

2. Play – Play 勒索软件，也称为 PlayCrypt，是一种于 2022 年 6 月首次出现的勒索软件。该勒索软件针对北美、南美和欧洲的广泛企业和关键基础设施，到 2023 年 10 月影响约 300 个实体Play 勒索软件通常通过受损的有效帐户或利用未修补的漏洞（例如 Fortinet SSL VPN 中的漏洞）来访问网络。一旦进入内部，它就会采用诸如使用 live-off-the-land 二进制文件 (LOLBins) 等技术来执行数据泄露和凭证盗窃等任务。

3. Blackbasta – BlackBasta 勒索软件于 2022 年首次观察到，并以勒索软件即服务 (RaaS) 的形式运行。其背后的威胁行为者主要针对组织和个人，通过利用 RDP 漏洞和网络钓鱼电子邮件来传播勒索软件。