Check Point 軟件技術(shù)公司的最新威脅指數(shù)報告揭示了與 Mozi 整合的僵尸網(wǎng)絡(luò) Androxgh0st 風(fēng)頭正盛，Joker 和 Anubis 威脅持續(xù)存在，網(wǎng)絡(luò)犯罪手段在不斷演進(jìn)。

網(wǎng)絡(luò)安全解決方案先驅(qū)者和全球領(lǐng)導(dǎo)者?Check Point? 軟件技術(shù)有限公司（納斯達(dá)克股票代碼：CHKP）發(fā)布了其 2024 年 11 月《全球威脅指數(shù)》報告，重點指出 Androxgh0st 異軍突起。目前，該惡意軟件已與 Mozi 僵尸網(wǎng)絡(luò)整合，繼續(xù)瞄準(zhǔn)全球關(guān)鍵基礎(chǔ)設(shè)施發(fā)起攻擊。

電網(wǎng)、交通系統(tǒng)、醫(yī)療網(wǎng)絡(luò)等關(guān)鍵基礎(chǔ)設(shè)施仍是網(wǎng)絡(luò)犯罪分子的主要攻擊目標(biāo)，因為它們在日常生活中發(fā)揮著不可或缺的作用。破壞這些系統(tǒng)可能會導(dǎo)致大規(guī)模混亂，造成 經(jīng)濟(jì) 損失，甚至危及公共安全。

研究人員發(fā)現(xiàn)，目前位居惡意軟件排行榜首位的 Androxgh0st 正在利用多個平臺上的漏洞，包括物聯(lián)網(wǎng)設(shè)備和 Web 服務(wù)器這些關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分。它借鑒 Mozi 的攻擊策略，利用遠(yuǎn)程代碼執(zhí)行和憑證竊取方法對系統(tǒng)進(jìn)行攻擊，以保持持續(xù)訪問，從而實施 DDoS 攻擊和數(shù)據(jù)竊取等惡意活動。僵尸網(wǎng)絡(luò) Androxgh0st 通過未修補(bǔ)的漏洞侵入關(guān)鍵基礎(chǔ)設(shè)施，在整合 Mozi 的能后，顯著擴(kuò)大了其攻擊范圍，可以感染更多的物聯(lián)網(wǎng)設(shè)備，并控制更廣泛的目標(biāo)。上述攻擊可跨行業(yè)引發(fā)級聯(lián)效應(yīng)，這充分表明依賴這些基礎(chǔ)設(shè)施的政府、企業(yè)及個人面臨著巨大風(fēng)險。

在主要的移動惡意軟件威脅中，Joker 仍然是最猖獗的惡意軟件，其次是 Anubis 和 Necro。Joker 仍在竊取短消息、聯(lián)系人和設(shè)備信息，同時偷偷地為受害者訂閱付費服務(wù)。與此同時，銀行木馬 Anubis 增加了新功能，包括遠(yuǎn)程訪問、鍵盤記錄和勒索軟件功能。

Check Point 軟件技術(shù)公司研究副總裁 Maya Horowitz 對于不斷演變的威脅形勢評論道：“Androxgh0st 的興起以及與 Mozi 的整合說明了網(wǎng)絡(luò)犯罪分子正不斷翻新花樣。各機(jī)構(gòu)必須迅速做出調(diào)整，并實施強(qiáng)有力的安全防護(hù)措施，以及時發(fā)現(xiàn)并抵御這些高級威脅，防止其造成重大損失。”

頭號惡意軟件家族

* 箭頭表示與上月相比的排名變化。

Androxgh0st ?是本月最猖獗的惡意軟件，全球 ?5% ?的機(jī)構(gòu)受到波及，緊隨其后的是? FakeUpdates ?和? AgentTesla ，分別影響了 ?5% ?和? 3% ?的機(jī)構(gòu)。

1.? ↑ Androxgh0st -? Androxgh0st 是一個針對 Windows、Mac 及 Linux 平臺的僵尸網(wǎng)絡(luò)。在感染初始階段，Androxgh0st 利用多個漏洞，特別是針對 PHPUnit、Laravel 框架和 Apache Web 服務(wù)器的漏洞。該惡意軟件會竊取 Twilio 賬戶信息、SMTP 憑證、AWS 密鑰等敏感信息，并利用 Laravel 文件收集所需信息。它有不同的變體，可掃描不同的信息。

2.? ↓ FakeUpdates? – FakeUpdates（又名 SocGholish）是一種使用 JavaScript 編寫的下載程序。它會在啟動有效載荷之前先將其寫入磁盤。FakeUpdates 通過許多其他惡意軟件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）引致進(jìn)一步破壞。

3.?? AgentTesla ?– AgentTesla 是一種用作鍵盤記錄器和信息竊取程序的高級 RAT，能夠監(jiān)控和收集受害者的鍵盤輸入與系統(tǒng)剪貼板、截圖并盜取受害者電腦上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）的證書。

4.? ↑ Formbook? – Formbook 是針對 Windows 操作系統(tǒng)的信息竊取程序，于 2016 年首次被發(fā)現(xiàn)。由于其強(qiáng)大的規(guī)避技術(shù)和相對較低的價格，它在地下黑客論壇中作為惡意軟件即服務(wù) (MaaS) 進(jìn)行出售。FormBook 可從各種 Web 瀏覽器中獲取憑證、收集截圖、監(jiān)控和記錄擊鍵次數(shù)并按照其 C&C 命令下載和執(zhí)行文件。

5.? ↑ Remcos ?- Remcos 是一種遠(yuǎn)程訪問木馬，于 2016 年首次現(xiàn)身。Remcos 通過垃圾電子郵件隨附的惡意 Microsoft Office 文檔自行傳播，旨在繞過 Microsoft Windows UAC 安全保護(hù)并以高級權(quán)限執(zhí)行惡意軟件。

6.? ?AsyncRat? - Asyncrat 是一種針對 Windows 平臺的木馬程序。該惡意軟件會向遠(yuǎn)程服務(wù)器發(fā)送目標(biāo)系統(tǒng)的系統(tǒng)信息。它從服務(wù)器接收命令，以下載和執(zhí)行插件、終止進(jìn)程、進(jìn)行自我卸載/更新，并截取受感染系統(tǒng)的屏幕截圖。

7.? ↓ ? NJRat? - NJRat 是一種遠(yuǎn)程訪問木馬，主要針對中東地區(qū)的政府機(jī)構(gòu)和組織。該木馬于 2012 年首次出現(xiàn)，具有多項功能：捕獲擊鍵記錄、訪問受害者的攝像頭、竊取瀏覽器中存儲的憑證、上傳和下載文件、操縱進(jìn)程和文件以及查看受害者的桌面。NJRat 通過網(wǎng)絡(luò)釣魚攻擊和偷渡式下載感染受害者設(shè)備，并在命令與控制服務(wù)器軟件的支持下，通過受感染的 USB 密鑰或網(wǎng)盤進(jìn)行傳播。

8.? ↑ Phorpiex -? Phorpiex 僵尸網(wǎng)絡(luò)（又名 Trik）自 2010 年以來一直活躍至今，并在其巔峰時期控制了超過一百萬臺受感染主機(jī)。它因通過垃圾郵件攻擊活動分發(fā)其他惡意軟件家族并助長大規(guī)模垃圾郵件和性勒索攻擊活動而廣為人知。

9.? ↑ Cloud Eye -? CloudEye 是一種針對 Windows 平臺的下載程序，用于在受害者計算機(jī)上下載并安裝惡意程序。

10.? ↑ Rilide - ?一種針對 Chromium 瀏覽器的惡意瀏覽器擴(kuò)展插件，可模仿合法軟件侵入系統(tǒng)。它利用瀏覽器功能執(zhí)行惡意活動，例如監(jiān)控 Web 瀏覽、截取屏幕截圖和注入腳本以竊取加密貨幣。Rilide 會下載其他惡意軟件、記錄用戶活動，甚至能夠操縱 Web 內(nèi)容，以誘騙用戶進(jìn)行未經(jīng)授權(quán)的操作。

最常被利用的漏洞 ?

1.? ↑ HTTP 載荷命令行注入（CVE-2021-43936，CVE-2022-24086） – 現(xiàn)已發(fā)現(xiàn)一種 HTTP 載荷命令行注入漏洞。遠(yuǎn)程攻擊者可以通過向受害者發(fā)送特制的請求來利用此漏洞。攻擊者可通過該漏洞在目標(biāo)計算機(jī)上執(zhí)行任意代碼。?

2.? ↑ Web Server Exposed Git 存儲庫信息泄露 -? Git 存儲庫報告的一個信息泄露漏洞。攻擊者一旦成功利用該漏洞，便會造成帳戶信息的無意泄露。

3.? ↑ Zmap 安全掃描工具 (CVE-2024-3378) -? Zmap 是一款漏洞掃描產(chǎn)品。遠(yuǎn)程攻擊者可使用 ZMap 檢測目標(biāo)服務(wù)器上的漏洞。

主要移動惡意軟件

本月， Joker ?位列最猖獗的移動惡意軟件榜首，其次是? Anubis ?和? Necro 。

1.?? Joker? – 一種存在于 Google Play 中的 Android 間諜軟件，可竊取短消息、聯(lián)系人列表及設(shè)備信息。此外，該惡意軟件還能夠在廣告網(wǎng)站上偷偷地為受害者注冊付費服務(wù)。

2.? ↑ Anubis ?– Anubis 是一種專為 Android 手機(jī) 設(shè)計的銀行木馬惡意軟件。自最初檢測到以來，它已經(jīng)具有一些額外的功能，包括遠(yuǎn)程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數(shù)百款不同應(yīng)用中均已檢測到該銀行木馬。

3.? ↓ Necro? - Necro 是一種木馬植入程序，可下載其他惡意軟件、顯示侵入性廣告，并通過收取付費訂閱費用騙取錢財。

主要勒索軟件團(tuán)伙 ?

這些數(shù)據(jù)基于從雙重勒索勒索軟件團(tuán)伙運營的勒索軟件“羞辱網(wǎng)站”（攻擊者在這些網(wǎng)站上公布受害者信息）獲得的洞察分析。本月， RansomHub ?是最猖獗的勒索軟件團(tuán)伙，其攻擊數(shù)量占已發(fā)布攻擊的? 16% ，其次是? Akira ?和? Killsec3 ，分別占? 6% 。

1.? RansomHub? – RansomHub 是一種勒索軟件即服務(wù) (RaaS) 操作，據(jù)稱是已知 Knight 勒索軟件的翻版。2024 年初，RansomHub 在地下網(wǎng)絡(luò)犯罪論壇上初露鋒芒，因其針對各種系統(tǒng)（包括 Windows、macOS、Linux，尤其是 VMware ESXi 環(huán)境）發(fā)起的破壞性攻擊活動，以及采用的復(fù)雜加密方法而臭名昭著。

2.? Akira ?– Akira 勒索軟件于 2023 年初首次發(fā)現(xiàn)，主要針對 Windows 和 Linux 系統(tǒng)。它使用 CryptGenRandom() 和 Chacha 2008 對文件進(jìn)行對稱加密，類似于曝光的 Conti v2 勒索軟件。Akira 通過多種途徑傳播，包括受感染的電子郵件附件和 VPN 端點漏洞。感染后，它會加密數(shù)據(jù)，并在文件名后添加“.akira”擴(kuò)展名，然后留下勒索信，要求支付解密費用。

3.? KillSec3? - KillSec 于 2023 年 10 月嶄露頭角。該團(tuán)伙不僅運營著一個勒索軟件即服務(wù) (RaaS) 平臺，而且還提供一系列其他攻擊性網(wǎng)絡(luò)犯罪服務(wù)，包括 DDoS 攻擊和所謂的“滲透測試服務(wù)”。

關(guān)于 Check Point 軟件技術(shù)有限公司?

Check Point 軟件技術(shù)有限公司是一家領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺提供商，為全球超過 10 萬家用戶提供安全保護(hù)。Check Point 利用強(qiáng)大的 AI 技術(shù)通過 Infinity 平臺提高了網(wǎng)絡(luò)安全防護(hù)效率和準(zhǔn)確性，憑借業(yè)界領(lǐng)先的捕獲率實現(xiàn)了主動式威脅預(yù)測和更智能、更快速的響應(yīng)。該綜合型平臺集多項云端技術(shù)于一身，包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網(wǎng)絡(luò)安全的 Check Point Quantum，以及支持協(xié)同式安全運維和服務(wù)的 Check Point Infinity Core Services。

關(guān)于 ? Check Point Research

Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報。Check Point 研究團(tuán)隊負(fù)責(zé)收集和分析 ThreatCloud 存儲的全球網(wǎng)絡(luò)攻擊數(shù)據(jù)，以便在防范黑客的同時，確保所有 Check Point 產(chǎn)品都享有最新保護(hù)措施。此外，該團(tuán)隊由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機(jī)關(guān)及各個計算機(jī)安全應(yīng)急響應(yīng)組展開合作。