2024年2月份恶意软件之十恶不赦排行榜

研究人员发现了一个利用 FakeUpdates（也称为 SocGolish）的新活动，该活动利用被黑的管理员帐户来瞄准和破坏 WordPress 网站。与此同时，Play 进入了最受通缉的勒索软件组织前三名，而教育仍然是全球受攻击最严重的领域

在最新的 2024 年 2 月全球威胁指数中，研究人员发现了一个新的 FakeUpdates 活动，该活动危害了 WordPress 网站。这些网站是使用被黑的 wp-admin 管理员帐户感染的，恶意软件调整其策略，通过利用真实 WordPress 插件的更改版本来渗透网站，并诱骗个人下载远程访问木马。与此同时，即使在 2 月底被取缔后， Lockbit3 仍然是最流行的勒索软件组织，造成了 20% 的已发布攻击，而教育仍然是全球受影响最严重的行业。

FakeUpdates，也称为 SocGholish，至少从 2017 年开始运营，并使用 JavaScript 恶意软件来攻击网站，尤其是那些具有内容管理系统的网站。FakeUpdates 恶意软件通常被列为威胁指数中最流行的恶意软件，其目的是诱骗用户下载恶意软件，尽管我们努力阻止它，但它仍然对网站安全和用户数据构成重大威胁。这种复杂的恶意软件变体此前曾与名为 Evil Corp 的俄罗斯网络犯罪组织有关。由于其下载器功能，据信该组织通过出售对其感染的系统的访问权限来通过该恶意软件获利，从而导致其他恶意软件感染组提供对多个客户的访问。

网站是我们世界的数字店面，对于沟通、商务和联系至关重要。保护他们免受网络威胁不仅仅是保护代码；还包括保护代码。它是为了保护我们的在线存在以及我们相互联系的社会的基本功能。如果网络犯罪分子选择使用它们作为秘密传播恶意软件的工具，可能会影响组织未来的收入和声誉。采取预防措施并采取零容忍文化至关重要，以确保绝对免受威胁。

来自双重勒索勒索软件团体运营的约 200 个勒索软件“耻辱网站”的洞察，其中 68 个网站今年发布了受害者信息，以向不付费目标施压。Lockbit3 上个月再次领先，占所报告事件的 20%，其次是 Play（占 8%）和 8base（占 7%）。Play 首次进入前三名，声称对奥克兰市最近发生的网络攻击负责。

上个月，最常被利用的漏洞是“Web 服务器恶意 URL 目录遍历”，影响了全球 51% 的组织，其次是“HTTP 命令注入”和“Zyxel ZyWALL 命令注入”，分别影响了 50%。

2024年2月“十恶不赦”

*箭头表示与上个月相比的排名变化

*箭头表示与上个月相比的排名变化。

FakeUpdates是上个月最流行的恶意软件，影响了全球5%的组织，其次是Qbot，影响了3%，其次是Formbook ，影响了2%。

1. ↔ FakeUpdates – FakeUpdates（又名 SocGholish）是一个用 JavaScript 编写的下载器。它在启动有效负载之前将其写入磁盘。FakeUpdates 通过许多其他恶意软件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）导致进一步的危害。

2. ↔ Qbot – Qbot 又称 Qakbot 是一种多用途恶意软件，首次出现于 2008 年。它旨在窃取用户的凭据、记录击键、从浏览器窃取 cookie、监视银行活动以及部署其他恶意软件。Qbot 通常通过垃圾邮件进行分发，它采用多种反虚拟机、反调试和反沙箱技术来阻碍分析和逃避检测。从 2022 年开始，它成为最流行的特洛伊木马之一。

3. ↔ Formbook – Formbook 是一种针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格，它在地下黑客论坛中以恶意软件即服务 (MaaS) 的形式进行销售。Formbook 从各种 Web 浏览器获取凭据、收集屏幕截图、监视和记录击键，并可以根据其 C&C 的命令下载和执行文件。

4. ↑ AsyncRat – AsyncRat 是一个针对 Windows 平台的木马。该恶意软件将有关目标系统的系统信息发送到远程服务器。它从服务器接收命令来下载并执行插件、终止进程、卸载/更新自身以及捕获受感染系统的屏幕截图。

5. ↓ Nanocore – Nanocore 是一种针对 Windows 操作系统用户的远程访问木马，于 2013 年首次在野外观察到。所有版本的RAT都包含基本插件和功能，例如屏幕捕获、加密货币挖掘、远程控制桌面和网络摄像头会话盗窃。

6. ↔ Remcos – Remcos 是一种于 2016 年首次出现的 RAT。Remcos 通过附加到垃圾邮件的恶意 Microsoft Office 文档进行传播，旨在绕过 Microsoft Windows UAC 安全性并以高级权限执行恶意软件。

7. ↑ Tofsee – Tofsee 是一个针对 Windows 平台的 Trickler。该恶意软件尝试在目标系统上下载并执行其他恶意文件。它可能会下载并向用户显示图像文件以隐藏其真实目的。

8. ↑ AgentTesla – AgentTesla 是一种高级 RAT，充当键盘记录器和信息窃取程序，能够监控和收集受害者的键盘输入、截取屏幕截图以及窃取受害者计算机上安装的各种软件的凭据（包括 Google Chrome、Mozilla Firefox）和 Microsoft Outlook 电子邮件客户端）。

9. ↓ Phorpiex – Phorpiex 是一个僵尸网络（又名 Trik），自 2010 年以来一直活跃，在鼎盛时期控制了超过 100 万受感染主机。它以通过垃圾邮件活动分发其他恶意软件系列以及助长大规模垃圾邮件和性勒索活动而闻名。

10. ↑ CloudEye – CloudEye 是一款针对 Windows 平台的下载器，用于在受害者计算机上下载并安装恶意程序。

最常被利用的漏洞 

上个月，“ Web 服务器恶意 URL 目录遍历”是被利用最多的漏洞，影响了 全球51%的组织，其次是“ HTTP 命令注入”和“ Zyxel ZyWALL 命令注入”，全球影响分别为50 % 。

1. ↑ Web 服务器恶意 URL 目录遍历（CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、 CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) –有是不同Web服务器上的目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误导致的，该错误未正确清理目录遍历模式的 URI。成功利用此漏洞允许未经身份验证的远程攻击者披露或访问易受攻击的服务器上的任意文件。

2. ↓ 通过 HTTP 进行命令注入（CVE-2021-43936、CVE-2022-24086） ——已报告通过 HTTP 进行命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功利用该漏洞将允许攻击者在目标计算机上执行任意代码。

3. ↑ Zyxel ZyWALL 命令注入 (CVE-2023-28771) – Zyxel ZyWALL 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意操作系统命令。

4. ↓ HTTP 标头远程代码执行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-1375）- HTTP 标头允许客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能使用易受攻击的 HTTP 标头在受害计算机上运行任意代码。

5. ↑ Apache Struts2 远程代码执行 (CVE-2017-5638) – Apache Struts2 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。

6. ↑ PHP 复活节彩蛋信息泄露 (CVE-2015-2051) – PHP 页面中报告了一个信息泄露漏洞。该漏洞是由于不正确的 Web 服务器配置造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。

7. ↑ Apache Log4j 远程代码执行 (CVE-2021-44228) – Apache Log4j 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。

8. ↑ WordPress portable-phpMyAdmin 插件身份验证绕过 (CVE-2012-5469) – WordPress portable-phpMyAdmin 插件中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并对受影响的系统进行未经授权的访问。

9. ↑ D-Link 多个产品远程执行代码 (CVE-2015-2051) – 多个 D-Link 产品中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。

10. ^ OpenSSL TLS DTLS 心跳信息泄露（CVE-2014-0160、CVE-2014-0346） - OpenSSL 中存在信息泄露漏洞。该漏洞又名 Heartbleed，是由于处理 TLS/DTLS 心跳数据包时出现错误造成的。攻击者可以利用此漏洞泄露所连接的客户端或服务器的内存内容。

热门移动恶意软件

上个月，Anubis仍然位居最流行的移动恶意软件榜首，其次是AhMyth和Hydra。

1. Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来，它已获得了额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器、录音功能和各种勒索软件功能。Google 商店中数百个不同的应用程序已检测到该病毒。

2. AhMyth – AhMyth 是 2017 年发现的远程访问木马 (RAT)。它通过 Android 应用程序分发，可在应用程序商店和各种网站上找到。当用户安装这些受感染的应用程序之一时，恶意软件可以从设备收集敏感信息并执行键盘记录、截图、发送短信和激活摄像头等操作，这些操作通常用于窃取敏感信息。

3. Hydra – Hydra 是一种针对 Android 设备的银行木马，于 2019 年首次发现。Hydra 通过诱骗用户在移动设备上启用危险权限，窃取财务凭据。

全球受攻击最严重的行业

本月，教育/研究在全球受攻击行业中仍位居第一，其次是政府/军事和医疗保健。

1. 教育/研究

2. 政府/军队

3. 卫生保健

主要勒索软件团体
本节包含来自双重勒索勒索软件团体运营的近 200 个勒索软件“耻辱网站”的信息，其中 68 个今年发布了受害者的姓名和信息。网络犯罪分子利用这些网站来加大对不立即支付赎金的受害者的压力。这些羞耻网站的数据带有其自身的偏见，但仍然为勒索软件生态系统提供了有价值的见解，而勒索软件生态系统目前是企业面临的第一大风险。

Lockbit3是本月最流行的勒索软件组织，占已发布攻击的 20%，其次是Play（占 8%）和8base（占 7%）。

1. Lockbit3 – LockBit3 是一种勒索软件，以RaaS模式运行，于 2019 年 9 月首次报告。LockBit 针对来自不同国家的大型企业和政府实体，不针对俄罗斯或独立国家联合体的个人。

2. Play – Play 是勒索软件类型程序的名称。此类恶意软件通过加密数据并要求解密赎金来进行操作。

3. 8base – 8Base 威胁组织是一个勒索软件团伙，至少自 2022 年 3 月起就一直活跃。由于其活动显着增加，该团伙在 2023 年中期声名狼藉。据观察，该组织使用了多种勒索软件变体，其中 Phobos 是常见的元素。8Base 的运作相当复杂，他们在勒索软件中使用了先进技术就证明了这一点。该组织的手段包括双重勒索策略。