安全公司ReliaQuest在上周報告稱，應(yīng)該由IT防御系統(tǒng)檢測和阻止的頂級惡意軟件是QBot（也稱為QakBot、QuackBot和Pinkslipbot），它是1月1日至7月31日期間最常見的加載器，負責(zé)記錄的入侵嘗試的30%。SocGholish排名第二，占27%，Raspberry Robin占23%。排名后的七個加載器遠遠落后于這三個領(lǐng)導(dǎo)者：Gootloader占3%，Guloader、Chromeloader和Ursnif占2%。

顧名思義，加載器是惡意軟件感染的中間階段。例如，黑客利用某些漏洞或向目標(biāo)發(fā)送帶有惡意附件的電子郵件來在受害者的計算機上運行加載器。當(dāng)加載器運行時，通常會在系統(tǒng)中確保其立足點，采取措施維持持久性，并獲取執(zhí)行主要惡意軟件負載，可能是勒索軟件、后門或其他類似的東西。

這使得攻擊者在入侵后有一定的靈活性，并且還有助于隱藏部署在計算機上的惡意軟件。能夠發(fā)現(xiàn)和停止加載器可以在您的組織內(nèi)阻止重大的惡意軟件感染。

然而，對于安全團隊來說，這些加載器令人頭疼，因為正如ReliaQuest指出的那樣，“對一個加載器的緩解措施可能對另一個加載器無效，即使它們加載相同的惡意軟件。”

根據(jù)分析，ReliaQuest將QBot描述為“靈活的”銀行木馬，它已經(jīng)發(fā)展成為傳遞勒索軟件、竊取敏感數(shù)據(jù)、在組織環(huán)境中實現(xiàn)橫向移動以及部署遠程代碼執(zhí)行軟件的16年老木馬。

去年6月，Lumen的黑蓮花實驗室威脅情報組發(fā)現(xiàn)該加載器使用了新的惡意軟件傳遞方法和命令與控制基礎(chǔ)設(shè)施，其中四分之一的基礎(chǔ)設(shè)施僅活躍了一天。根據(jù)安全研究人員的說法，這種演變很可能是對微軟去年默認阻止Office用戶從互聯(lián)網(wǎng)獲取的宏的回應(yīng)。

ReliaQuest表示：“QakBot的靈活性在其運營商對微軟的Web標(biāo)記（MOTW）的回應(yīng)中表現(xiàn)出來：它們改變了交付策略，選擇使用HTML走私。在其他情況下，QakBot運營商嘗試使用不同的文件類型作為其負載，以逃避緩解措施?！?/p>

這包括在釣魚郵件中使用惡意的OneNote文件，正如2023年2月針對美國組織的一次活動中所發(fā)生的情況。

不要相信那個下載

SocGholish通常通過驅(qū)動器損壞和社交工程活動部署，偽裝成一個假的更新，當(dāng)被下載時，在受害者設(shè)備上釋放惡意代碼。根據(jù)谷歌的威脅分析小組的說法，Exotic Lily曾一度每天向650個目標(biāo)全球組織發(fā)送超過5000封電子郵件。

去年秋天，一個被追蹤為TA569的犯罪團伙入侵了250多個美國報紙網(wǎng)站，然后利用這個訪問權(quán)限通過惡意的JavaScript廣告和視頻向這些出版物的讀者提供SocGholish惡意軟件。

最近，在2023年上半年，ReliaQuest追蹤到SocGholish運營商進行了“積極的飲水源攻擊”。

威脅研究人員表示：“他們?nèi)肭趾透腥玖藦氖戮哂欣麧櫇摿Φ某Ｒ?guī)業(yè)務(wù)的大型組織的網(wǎng)站，不知情的訪問者不可避免地下載了SocGholish的負載，導(dǎo)致廣泛感染?！?/p>

早起的鳥兒得到了（Windows）蠕蟲

排名前三的是Raspberry Robin，它也針對Windows系統(tǒng)，并已經(jīng)從通過USB驅(qū)動器傳播的蠕蟲進化而來。

這些被感染的USB驅(qū)動器包含惡意的.lnk文件，當(dāng)執(zhí)行時，與命令與控制服務(wù)器通信，建立持久性，并在受感染設(shè)備上執(zhí)行其他惡意軟件，越來越多地是勒索軟件。

Raspberry Robin還被用于傳遞Clop和LockBit勒索軟件，以及TrueBot數(shù)據(jù)竊取惡意軟件、Flawed Grace遠程訪問木馬和Cobalt Strike以獲取對受害者環(huán)境的訪問權(quán)限。

它與Evil Corp和另一個俄羅斯犯罪團伙Whisper Spider有關(guān)。在2023年上半年，它曾被用于針對金融機構(gòu)、電信、政府和制造業(yè)組織的攻擊，主要在歐洲，但也在美國。

研究人員寫道：“根據(jù)最近的趨勢，這些加載器在中期未來（3-6個月）以及之后很可能繼續(xù)對組織構(gòu)成威脅?！?/p>