本文來自微信公眾號(hào)“安信安全”。
根據(jù)ReliaQuest最新發(fā)布的報(bào)告,2023年迄今為止觀察到的計(jì)算機(jī)和網(wǎng)絡(luò)攻擊80%都涉及三種惡意軟件加載程序(木馬程序),分別是:QBot、SocGholish和Raspberry Robin。
ReliaQuest的報(bào)告稱,網(wǎng)絡(luò)安全團(tuán)隊(duì)?wèi)?yīng)檢測和阻止的首要惡意軟件是近期被FBI搗毀的QBot(也稱為QakBot、QuackBot和Pinkslipbot),QBot是2023年1月1日至7月31日期間最常見的惡意軟件加載程序,占檢測到的網(wǎng)絡(luò)攻擊的30%。SocGholish以27%位居第二,RaspberryRobin則以23%排名第三。三者遙遙領(lǐng)先于TOP10中的其他七個(gè)加載器,其中Gootloader占3%,Guloader、Chromeloader和Ursnif分別占2%。
在受害者的計(jì)算機(jī)上運(yùn)行的加載程序是惡意軟件感染的中間階段。不法分子通常利用某些漏洞或發(fā)送帶有惡意附件的電子郵件來傳播加載程序。加載程序運(yùn)行時(shí),通常會(huì)確保其在系統(tǒng)中的立足點(diǎn),采取措施長期駐留,并嘗試獲取要執(zhí)行的惡意軟件負(fù)載,例如勒索軟件或后門程序。
加載程序是安全團(tuán)隊(duì)的噩夢,正如報(bào)告所指出的:“一個(gè)加載程序的緩解措施可能對另一個(gè)加載程序不起作用,即使它們加載了相同的惡意軟件。”
以下是對三大惡意軟件加載程序近期動(dòng)態(tài)的介紹:
QBot
QBot是一款已有16年歷史的銀行木馬,近年來功能迭代迅速,屬于所謂的“敏捷木馬”,現(xiàn)已發(fā)展到能夠傳播勒索軟件、竊取敏感數(shù)據(jù)、在企業(yè)IT環(huán)境中實(shí)現(xiàn)橫向移動(dòng)以及部署遠(yuǎn)程代碼執(zhí)行軟件。
6月,Lumen的Black Lotus Labs威脅情報(bào)小組發(fā)現(xiàn)QBot使用新的惡意軟件交付方法和命令與控制基礎(chǔ)設(shè)施,其中四分之一的活動(dòng)時(shí)間僅為一天。安全研究人員表示,這種演變可能是為了應(yīng)對微軟去年默認(rèn)阻止Office用戶使用互聯(lián)網(wǎng)來源的宏的措施。
SocGholish
排名第二的加載程序SocGholish是一個(gè)面向Windows的基于JavaScript的代碼塊。它與俄羅斯的Evil Corp和初始訪問經(jīng)紀(jì)人Exotic Lily有聯(lián)系,后者擅長入侵企業(yè)網(wǎng)絡(luò),然后將訪問權(quán)限出售給其他犯罪分子。
SocGholish通常通過偷渡式攻擊和社會(huì)工程活動(dòng)進(jìn)行部署,偽裝成軟件更新,下載后會(huì)將惡意代碼投放到受害者的設(shè)備上。據(jù)Google威脅分析小組稱,Exotic Lily曾一度每天向全球約650個(gè)目標(biāo)組織發(fā)送超過5000封電子郵件。
去年秋天,一個(gè)被追蹤為TA569的犯罪組織入侵了250多家美國報(bào)紙網(wǎng)站,然后利用該訪問權(quán)限通過基于JavaScript的惡意廣告和視頻向出版物讀者分發(fā)SocGholish惡意軟件。
2023年上半年,ReliaQuest追蹤到SocGholish運(yùn)營商實(shí)施了“激進(jìn)的水坑攻擊”。
威脅研究人員表示:“他們破壞并感染了大型企業(yè)的網(wǎng)站。毫無戒心的訪問者不可避免地下載了SocGholish惡意負(fù)載,從而導(dǎo)致大面積感染。”
Raspberry Robin
排名第三的Raspberry Robin針對Windows系統(tǒng),由通過USB驅(qū)動(dòng)器傳播的蠕蟲病毒演變而來。受感染的USB驅(qū)動(dòng)器包含惡意.lnk文件,在執(zhí)行時(shí)會(huì)與命令和控制服務(wù)器進(jìn)行通信,建立持久性,并在受感染的設(shè)備上執(zhí)行其他惡意軟件——包括勒索軟件。
Raspberry Robin還被用來傳播Clop和LockBit勒索軟件,以及TrueBot數(shù)據(jù)竊取惡意軟件、Flawed Grace遠(yuǎn)程訪問木馬和Cobalt Strike,以獲取對受害者環(huán)境的訪問權(quán)限。
Raspberry Robin與俄羅斯的Evil Corp和“邪惡蜘蛛“有關(guān)聯(lián)。在2023年上半年,Raspberry Robin主要被用于針對金融機(jī)構(gòu)、電信、政府和制造組織的攻擊,主要在歐洲,但也有部分在美國。
報(bào)告指出:“根據(jù)最近的趨勢,上述加載程序很可能在2023年剩下的時(shí)間里繼續(xù)興風(fēng)作浪,對企業(yè)構(gòu)成嚴(yán)重威脅。”