零日攻击在野外被发现,Arkei Stealer 和 LimeRAT 增强了他们的存在,继续进行亲俄DDoS攻击
前言
欢迎阅读最新一期的 Avast 威胁报告,本期涵盖了
2022年第4季度。随著2022年的结束和2023年的开始,我们回顾了去年最后一季度所面临的挑战,以及当中出现的许多新威胁和恶意软体变种。2022年对于网路安全来说是一个具挑战性的年份,而其最后一季度也不例外。威胁情势持续快速演变,各类人员及组织都面临著新型且愈加复杂的攻击。在本报告中,我们将仔细探讨第4季度的趋势和发展,为当前的网路犯罪状态提供宝贵的见解。
在我看来,2022年第4季度 最有趣的事并不直接与恶意软体相关(至少现在是如此)。我指的是 ChatGPT 的发布,这是一个由 OpenAI
开发的聊天机器人。一些人已经开始将其用作
虚拟助手,用于创建短代码序列、解释组合代码,甚至撰写报告前言中的一段文字(眨眼)。无论该工具的准确性如何,它产生了多少通用语句或错误信息,ChatGPT
已经被有恶意意图的网路罪犯分析。钓鱼讯息的创建 和 为小白用户生成简单的代码片段 是易于实现的,但现在下结论说 ChatGPT
的恶意使用将如何在未来一年内持续流行为时尚早。
在更传统的威胁主题中,本报告将重点聚焦于我的同事们所发现、阻止并负责披露了两个在野外被高级威胁行为者使用的零日漏洞 (CVE-2022-3723 和
CVE-2023-21674)。同样重要的是,我们深入报导了在缅甸进行的 Mustang Panda 的重大追踪工作。
此外,我们将重点关注在巴西和欧洲发生的 DealPly 广告软体洪流。类似地,Arkei Stealer 的全球流行度增长了四倍,而
LimeRAT 则增长了三倍,尤其是在亚洲和拉丁美洲。接下来,随著
比特币在2022年第4季度跌至当地低点,恶意矿币挖掘活动的情况则截然不同,巴尔干国家尤为受到攻击。此外,该季度的 技术支援诈骗(TSS)达到峰值。
威胁行为者也表现出了他们的创造力,当他们处理
他们喜爱的感染途径:办公室文件的废止。我们在中已经提及过这个主题,但恶意软体开发者未停下脚步,他们在最新的恶意攻击中采用了如 HTMLsmuggling、SEO毒化及办公室模板注入 等技术。
移动设备的情况同样引人关注,出现了新的 Bully Facestealer 或自动化的诈骗付款的 BrasDex
银行木马。同时,广告软体(Adware) 在移动威胁中仍然保持著其首位地位。
不幸的是,勒索病毒依然没有被根除。但针对它的斗争仍在继续,取得了一些特定的成功;例如,一名 Netwalker 勒索病毒 的联盟成员将享受
应得的监禁时间,而我们还解密了 MafiaWare666 勒索病毒 并为其受害者提供了 免费解密工具。
最后,我也想提到有关 DDosia 的故事,这是一种由亲俄组织开发和使用的攻击工具,这次攻击也试图在2023年1月初
干预捷克总统选举。我们希望你会喜欢接下来对上述威胁和发现的深入探讨。
Jakub Křoustek, 恶意软体研究主管
方法论
本报告分为两个主要部分:与桌面相关的威胁,其中描述了我们对针对Windows、Linux和Mac操作系统进行攻击的情报,包括对网络相关威胁的特别关注;以及与移动设备相关的威胁,其中描述了针对Android和iOS操作系统的攻击。
此外,本报告中使用的术语 风险比 旨在描述特定威胁的严重性,计算方法是“被攻击用户的数量 /
在特定国家活跃用户的数量”的月均值。除非另有说明,计算风险仅适用于每月活跃用户超过10,000的国家。
与桌面相关的威胁
进阶持续威胁(APTs)
ShadowPad/ScatterBee
是最活跃的APT攻击之一,在2022年第4季度于巴基斯坦扩散。然而,我们团队还发现了另一个更重要且影响力更大的APT攻击:Mustang Panda对缅甸政府机构和人权活动家的强烈活动。我们获得了他们活动和攻击的最新见解,但他们的运作方式和目标与往常并无二致。我们最近在 AVAR 会议上发表了我们对
Mustang Panda 的研究报告。
Mustang Panda
我们已经发表了关于缅甸一个间谍行动的报告,该行动被归因于 MustangPanda。我们还在上向安全研究人员展示了我们对这次行动的发现。根据我们的遥测数据,我们发现缅甸的一些政府机构遭受了无情的攻击和突破。MustangPanda 正在外泄敏感文件、录音和邮件数据,包括一些寻求缅甸签证的亚洲、北美和欧洲公民及外交官的护照扫描。
当我们发现与缅甸的一次恶意感染有关的发布伺服器时,我们确定了这起行动。虽然 主要的数据外泄 路径是通过 Google Drive,但从 GoogleDrive 中的文件在后来被转移到发布伺服器。一旦威胁行为者从发布伺服器检索到数据,这些数据就会被删除。这意味著我们只能访问到有限的一部分数据。由于日均
数据吞吐量可达数千兆,我们已经成功建立了一个基本的受害者模型,以便通知受影响方。
虽然所用的工具包含了 Mustang Panda 的标准工具,如 Korplug 或 Delphi USB安装程式,但大多数发现的工具相对简单,且没有复杂的混淆技术。在大多数分析中,DLL侧载 样式的工具仍是一个共同主题。
Luigino Camastra, 恶意软体研究员
Igor Morgenstern, 恶意软体研究员
广告软体
在 2022年第3季度 结尾,我们记录到了广告软体活动的快速增长,该增长持续到了 2022年第4季度 的开始,下图显示了这一点。
保护桌面广告软体的Global Avast用户数从2022年第一季到第四季
季度之交的增长反映了我们在先前的中提到的 DealPly 广告软体。DealPly
家族被归类为不必要的应用程式,因为它可以默默安装在一些其他浏览器扩展和免费软体中,还可以通过恶意软体进行安装。
在 2022年第4季度,DealPly
的风险比在大多数国家中比前一季度有所上升。该广告软体在亚洲的风险比仍然保持不变或略微增加,但有一些例外。DealPly
在南亚和东南亚的风险比增加;如印度、缅甸和印尼等地。有更明显的 DealPly
风险比上升在许多欧洲国家中也得到了观察。根据下图的显示,我们在南美和北美,尤其是巴西,记录到了最显著的增长。
显示DealPly 广告软体在2022年第三季和第四季的全球风险比例的地图
所有广告软体的风险比略高于 2022年第3季度,虽然下图视觉上表明了广告软体的显著扩散。这是由于 DealPly广告软体活动的极端峰值。然而,广告活动并不见得有全年呈现向下的趋势。
显示2022年第3季和第四季的全球风险比例的恶意广告软体的地图
广告软体市场份额
在广告软体中显然的市场领导者是 DealPly,持有30%的市场份额。我们对其他变种的市场份额进行了以下分类:
BrowserAssistant(5%)RelevantKnowledge(4%)DownloadAssistant(3%)ICLoader(2%)
然而,其他未知变种在 2022年第4季度 覆盖了 30%
的市场份额。这些变种有一个共同特点,即等待用户点击任意超链接,再用一个重定向用户至广告网站的链接来取代原始链接。
最常见的广告伺服器及其在野外的比例如下:
naigristoa[.]com(48%)ptuvauthauxa[.]com(35%)oovaufty[.]com(8%)go[.]ad2upapp[.]com(4%)saumeechoa[.]com(2%)
通常,广告软体导致用户访问网站以下载免费软体或提供其他产品。这是在线垃圾邮件发送者的一种商业模式,从安全的角度来看并不特别危险;然而,对用户来说却是完全烦人的。此外,窃取个人数据(包括支付卡情报)可能会带来危险,因为某些广告会说服受害者他们已经赢得了奖品,并要求联络和支付信息。此外,仍有一部分广告软体会加载具有有害脚本的不当内容。广告软体可以接管系统并部署其他恶意软体,比如勒索病毒、间谍软体、远端存取木马等。因此,广告软体的存在应提高注意,并用防毒软体保护自己的系统。
Martin Chlumecký, 恶意软体研究员
机器人
。DDosia 是由俄罗斯黑客组织 NoName057(16) 发起的一个项目,该组织招募志愿者执行 DDoS攻击。这个项目标志著该组织方向的转变,因为它最终将 Bobik 机器人网络 替换为一个依赖志愿者的项目。在12月初,DDosia 的C&C伺服器被摧毁;然而,该组织仍在分享有关其攻击的资讯并宣传其项目。因此,我们推测已经设立了一个新的C&C伺服器。自我们于2022年8月1日开始跟踪该项目以来,我们已经看到
超过2200个DDoS目标 (该组织称390个为成功),成功率为17%,参与者约有1000人。
如果我们考虑到相关的部分共存的 Bobik 机器人网络,那么我们会得出约1400个目标和190个成功的机器人网络,将成功率压缩至13%。
DDosia
还曾,该选举于2023年1月13日至14日举行。总统候选人的网站和其他呈现选举结果的网站都在
DDosia 项目中被列入目标。幸运的是,根据选举结果的计算和分发方式,即使这些网站长期无法访问也不会影响选举结果。
我们在恶意文件的世界中见到了一些新招数。如果我们将 Emotet 作为一个例子,该恶意软体使用恶意文件来欺骗用户手动将该文件复制到 MicrosoftOffice 模板夹 中,然后从那里启动。由于该文件夹是被信任的位置,因此通常的 执行保护功能会关闭;因此,从此文件夹开启该文件会触发内部的宏执行。
Emotet 也一直在 逃避技术 开发上积极进取。它开始 使用计时器
逐步执行有效载荷。我们还观察到了其通讯协议的变化,其中一些不与先前的版本向后相容。若这还不够,Emotet
还导致了(见下图)机器人网络风险比在11月初的显著峰值,当时它启动了一个主要利用 Microsoft Excel 文件(XLS)变种的
大规模垃圾邮件活动。
Qakbot 在本季度也很忙。该机器人网络开始使用所谓的 HTML smuggling 隐藏编码的恶意脚本在电子邮件附件中。更具体地说,他们开始利用
SVG 图像隐藏恶意有效载荷,并用于其重组的代码。一旦用户在浏览器中打开附件,浏览器就会触发隐藏在 SVG 图像中的代码,进而重组隐藏在 SVG图像中的有效载荷。随后,用户将被提示在浏览器中保存一个文件,并依据“遮盖”的数据指引来打开该文件。由于恶意有效载荷是在设备上重建,因此该技术可能旨在避开依赖于网络流量分析的安全解决方案。
全球范围内在Avast用户基础上与机器人网络有关的风险比
至于一般趋势,我们观察到了 Qakbot 和 Amadey 活动的显著增加,其活动已超过了一倍。尽管其大规模的垃圾邮件活动,Emotet
的活动略有下降。有趣的是,较老的 .NET 开源机器人网络 BlackNET 也见证了其活动的 显著上升,与前一季度相比活动翻了一倍。
Adolf Středa, 恶意软体研究员
矿工
加密货币正经受艰难时期。在经历了如 FTX 破产 等骚动事件后,价格再次标记类似于2020年底的低值。这同样影响了矿工的活动,我们发现于
2022年第4季度 整体活跃度轻微下降(-4%)。
_全球范围内在Avast用户基础上与矿工有关的风险比`
在上个季度的基础上,用户在塞尔维亚再次面临遇到矿工的最高风险,该州的风险比为 7.44%。蒙特内哥罗用户的风险比为 5.99%,接下来是波斯尼亚和黑塞哥维那
3.96%,以及马达加斯加 3.90%。在 2022年第4季度,Avast 在印尼看到矿工活动的高增长,受保护用户数增长46%。
2022年第4季度矿工的全球风险比地图
传统上,Web矿工 仍然位于矿工食物链的顶端,占据市场份额的66%,其次是 XMRig,其市场份额为
18.42%,与前一季度相比增长了18%。KingMfcMiner 仍在增长, Q4/2022 市场份额增加了47%(这使受保护用户数增长44%)。
在 2022年第4季度 最常见的矿工包括: * Web矿工(各种变种) * XMRig * CoinBitMiner * VMiner *
SilentCryptoMiner * CoinHelper * NeoScrypt
Jan Rubín, 恶意软体研究员
信息窃取者
2022年第4季度 带来了 Arkei 信息窃取者(也称为其分支
Vidar)的显著增长,我们对该威胁保护的用户数达到了令人惊讶的437%。我们还注意到对 AgentTesla 和 RedLine 杀手
保护的用户分别增加了57%和37%。值得庆幸的是,由于 FormBook 活动的减少,整体信息窃取者的活动下降了6%。
全球范围内在Avast用户基础上与信息窃取者有关的风险比
就被信息窃取者感染的风险而言,受影响最严重的国家是也门、阿富汗和马利。我们还在也门和阿富汗分别保护了21%和15%的用户。在蒙古(41%)和波兰(40%)的受保护用户增长最为显著。
在2022年第4季度信息窃取者的全球风险比地图
在 2022年第4季度,AgentTesla 和 RedLine 是两种流行的变种,争夺市场份额的第二和第三名。AgentTesla
占有15%的市场份额,而 RedLine 则录得13%。FormBook
仍然保持第一名,市场份额为18%,比前一季度减少了28%。随著活动的增加,Arkei 现在的市场份额为5.21%。尽管 RaccoonStealer 仍然受欢迎,市场份额为6.26%,但我们观察到其活动在本季度下降了22%。
在 2022年第4季度 最常见的信息窃取者包括: * FormBook * AgentTesla * RedLine * Lokibot *
Raccoon * SnakeKeylogger
ViperSoftX 扩散 VenomSoftX
是一个历史悠久的信息窃取者,正在经历著密集的开发,不断提供更多的恶意功能。
该多级窃取者展示了 有趣的隐藏能力。它经常隐藏为独行字串上的小 PowerShell 脚本,在普通的看似无害的日志文件中出现。ViperSoftX
专注于 窃取加密货币、剪贴簿交换 和 对受感染机器进行指纹识别,并能够下载和执行 任意额外有效载荷 或执行命令。
ViperSoftX 散布的一项有效载荷是特定的信息窃取者,以 Chrome 基支浏览器的 浏览器扩展
形式发布。由于它的独立能力和独特性,我们决定给它一个自己的名字:VenomSoftX。这个恶意扩展能进行广泛的恶意活动,包括:对每个页面进行完全访问、执行
中间人攻击来通过篡改流行加密货币交易所API请求的数据来进行 加密地址交换、窃取凭证 和
剪贴簿内容、篡改访问网站上的加密地址、使用MQTT向 C&C 伺服器报告事件等等。
自2022年11月8日以来,ViperSoftX 和 VenomSoftX 重新导向的被窃取的加密货币总额已高达 130,421美元。这只是发送到加密货币钱包的数量,并不包括来自其他活动的潜在利润。
仅在 2022年第4季度,Avast 就保护了超过18,500名独立用户免受 ViperSoftX
的攻击,受影响最严重的国家包括印度(超过1,400名受保护用户)、美国(1,200名受保护用户)和意大利(1,100名受保护用户)。
在2022年第4季度受到ViperSoftX攻击的国家
Raccoon Stealer 报导
在 2022年第4季度,我们继续密切关注 Raccoon Stealer,并且它仍然不会消失。传闻中有一个消息是 Raccoon Stealer
的核心开发者,MarkSokolovsky,在2022年3月份于荷兰被捕。正如我们以前在中报导过的,Raccoon Stealer
背后的行为者宣称他们的团队成员在乌克兰的战争中丧生,因此他们暂停了这个臭名昭著的恶意软体的开发。然而,现在显而易见的是,这位开发者实际上是在他逃离乌克兰时被捕的。
有趣的是,正如许多来源所报导的,Sokolovsky的逮捕关键实际上是他的 女友,她在 Instagram 上发布了他们两人的度假照片。
来源:
然而,正如我们在中所述,Raccoon Stealer 的作者于2022年6月底恢复活动时宣布了 Raccoon Stealer2.0。他们的活动增加反映了该团体在黑市的受欢迎程度——在2022年11月初,Lockbit 勒索病毒 团体表现出对 RaccoonStealer 的 源码购买兴趣。
来源:
https://twitter.com/ddd1ms/status/1587828903149707266
Jan Rubín, 恶意软体研究员
勒索病毒
每个季度,我们总结了我们对勒索病毒防护的用户总数(还包括其他威胁)。自 2022年第3季度
以来,检测到的日均勒索病毒攻击数量逐渐减少。在第4季度,总数下降了17%。
在2022年第3季度 和 第4季度期间,全球的 Avast 用户在勒索病毒保护上的表现
你是否曾经思考过为什么这个图表像是质量不高的电锯?这一效果源于
勒索病毒每周的周期——周末活动最低。此外,周末使用的设备数量较少,这也影响了周六和周日的放缓。
勒索病毒概述
风险比最高的国家自 2022年第3季度 以来并未显著改变。在榜单中的大多数国家,攻击数量均在下降。唯一的例外是阿富汗,其风险比却在上升(这使阿富汗成为
2022年第4季度 的一个臭名昭著的赢家):
- 阿富汗 (+45% 按季度变化)
- 巴布亚新几内亚 (-18%)
- 莫桑比克 (-13%)
- 加纳 (-11%)
- 安哥拉 (+6%)
- 越南 (-40%)
值得注意的是,法国风险比也增加了15%。
勒索病毒变种
STOP 和 WannaCry 是市场份额的 头号赢家。其他勒索病毒变种显示出单数和低於单数的市场份额:
- STOP (21%)
- WannaCry (20%)
- Thanatos (2%)
- HiddenTear (1%)
- Magniber (<1%)
- TargetCompany (<1%)
故事
毫无疑问,勒索病毒是一项业务。勒索病毒团伙像公司一样运作:他们有自己的经理、团队、网站和部落格,甚至会。但请不要犯错
– 勒索病毒团伙仍然是非法商业。这一点得到了佛罗里达州法院的证明,法院对 Netwalker 勒索病毒 的一名联盟成员 SebastienVachon-Desjardins 量刑20年,以惩罚他对该州坦帕市某公司进行的攻击。此外,还有2150万美元的赃款被查获。我们毫不怀疑
20年的量刑对网路罪犯来说是个良好的警示。
尽管 Sodinokibi/REvil 勒索病毒 已经快近一年没有活动,来自 Palo Alto Networks的研究人员指出其可能以另一个帮派的形式重新出现,新帮派叫做 Ransom Cartel。这一假设基于 Ransom Cartel 和
Sodinokibi 程式码之间的相似性。此外,Ransom Cartel 部分档案分享链接,也和之前 Sodinokibi
帮派使用的链接相同。由于 Sodinokibi 的源码从未泄漏,Ransom Cartel 可能试图模仿 Sodinokibi
勒索病毒,或者他们真的拥有源码。
LockBit 勒索病毒在 2022年第4季度
继续传出新闻。这个帮派背后发生了许多攻击:如、(里斯本港管理局)、英国的、德国跨国汽车集团、美国铁路巨头、及英国汽车经销商。勒索要求介于数万元(亚洲再保险公司)到150万美元(里斯本港),再到6000万(Pendragon的情况)。
LockBit 帮派通常勒索被攻击公司内部数据,并威胁如果不支付赎金就会发布。Lockbit 在这方面是会兑现的 –
对于每一家公司,该帮派在其部落格上都有专属栏目,并将资料公布反正谁愿意支付所要求的金额。
有一个事件与其他事件有所不同。在2022年12月18日,
遭受到攻击,他们的数据被加密。而仅仅两天后,勒索病毒团队却对攻击医院的行为表示
“抱歉”。作为其证明,该团伙将负责的团队成员开除,并。该医院后来。
虽然这在圣诞季节看似是一个体贴的举动,但我们仍然希望 LockBit 的成员会最终在法庭上站立,正如 Netwalker 的联盟成员所做的一样。
除了 LockBit 本身外,还有从 中出现的克隆。一个名为
的帮派就属于此。这两个帮派其实是一个勒索病毒团伙,因为他们使用的谈判网站风格是相同的(原因尚不详)。
在 2022年第4季度,Avast 协助 MafiaWare666
勒索病毒的受害者,并 以协助该变种的受害者。
Ladislav Zezula, 恶意软体研究员
Jakub Křoustek, 恶意软体研究主管
远程存取木马 (RATs)
与 2022年第3季度 的报告相比,2022年第4季度
在远程存取木马(RATs)方面几乎没有变化。最普遍的威胁仍然保持相对不变,遭RAT感染的国家榜单也没有很大的改变。根据我们的数据,最安全的国家的变化也只有些微。
在2022年第3季度和第4季度的全球远程存取木马风险比
在
2022年第4季度,法国和美国的风险比大幅减少,分别下降了43%和45%,使它们成为该季度与瑞士和日本一起最安全的国家。捷克(46%)和奥地利(47%)的下降幅度也相似。新西兰在本季度风险比下降56%,进而居于首位。
另一方面,最容易遭受 RAT 感染的国家是阿富汗、伊拉克和也门。该名单与 2022年第3季度
一致。风险比最大的增长发生在阿尔及利亚(22%)、伊拉克(13%)和中国(11%)。在阿尔及利亚和伊拉克中,主要的威胁是 HWorm 和
njRAT,而在中国则是 Gh0stCringe 和 Havex。
在2022年第4季度遭遇RAT感染风险最严重的国家
我们在 2022年第4季度 的用户基础上最普遍的 RAT 包括: * HWorm * Warzone * njRAT * Remcos *
NanoCore * AsyncRat * NetWire * QuasarRAT * LimeRAT * DarkComet
我们在 2022年第4季度 认识到的前十种感染的变体与前一季度的报告几乎相同。njRAT
在清单中下降了一个名次,因为它失去了相当大的市场份额。我们不确定造成整体下降的原因,但我们见证了一个针对意大利、法国和美国的攻击行动。与
2022年第3季度 一样,我们也观察到在匈牙利出现的 Warzone 攻击行动,南非的 NetWire 攻击行动。同时,巴西和阿根廷也遭遇了分发
QuasarRAT 的攻击。
在 2022年第4季度,还有其他 RAT 的显著增加,包括: * LimeRAT(增长 299%) * Gh0stCringe(122%) *
Nymeria (90%)
根据我们的研究,LimeRAT 仍然在增长。和 2022年第3季度 一样,它的盛行度在 2022年第4季度 继续上升。LimeRAT
主要活跃于南亚及东南亚和拉丁美洲。其次是 Gh0stCringe,它几乎专注于中国,并且在台湾和香港也有一些感染。另外一个增长显著的变种是
Nymeria(也称为 Loda)。我们看到 Nymeria 主要在土耳其、意大利和墨西哥强势扩散。
我们的研究人员发现一个新的
Nukesped RAT 恶意软体样本,适用于 Linux 操作系统,并确定该
