隨著 2024 年的結(jié)束，網(wǎng)絡(luò)安全專(zhuān)家正在回顧多事的第四季度，這一季度威脅不斷演變，惡意軟件活動(dòng)日益活躍。

領(lǐng)先的交互式惡意軟件分析平臺(tái)發(fā)布了季度報(bào)告，揭示了新興趨勢(shì)并重點(diǎn)介紹了網(wǎng)絡(luò)犯罪分子使用的最活躍的惡意軟件家族、工具和技術(shù)。

惡意軟件分析：活動(dòng)全面激增

2024 年第四季度，用戶(hù)進(jìn)行了 1,151,901 次公開(kāi)交互式分析會(huì)話(huà)，較第三季度增長(zhǎng) 5.6%。其中，22.6% 被標(biāo)記為惡意，6.2% 被標(biāo)記為可疑，這表明與上一季度相比，惡意和可疑活動(dòng)均有所增加。

第四季度收集了驚人的 7.12 億個(gè)入侵指標(biāo) (IOC)，反映出所分析威脅的復(fù)雜性日益增加。

觀察到的主要惡意軟件類(lèi)型

竊取程序成為第四季度檢測(cè)到最多的惡意軟件類(lèi)型，超過(guò)了加載程序，與第三季度相比，其活動(dòng)量上升了 53.5%。以下是主要惡意軟件類(lèi)型及其各自的檢測(cè)情況：

• 竊取數(shù)據(jù)– 檢測(cè)到 25,341 次（較第三季度增長(zhǎng) 53.5％）
• 加載器- 10,418 次檢測(cè)（增加 27％）
• RAT（遠(yuǎn)程訪(fǎng)問(wèn)木馬） ——檢測(cè)次數(shù)：6,415 次（減少 10.8%）
• 勒索軟件- 檢測(cè)次數(shù)：5,853 次（下降 1.9%）
• 鍵盤(pán)記錄器- 1,915 次檢測(cè)（減少 39.5％）

有趣的是，廣告軟件在第四季度以 1,666 次檢測(cè)進(jìn)入前十名榜單，標(biāo)志著其在網(wǎng)絡(luò)犯罪分子武器庫(kù)中的存在感日益增強(qiáng)。

惡意軟件家族：Lumma 再次領(lǐng)先

第四季度最活躍的惡意軟件家族包括一些耳熟能詳?shù)拿忠约安粩嗌仙耐{：

• Lumma – 6,982 次檢測(cè)（較第三季度增長(zhǎng) 68.7%）
• Stealc – 4,790 次檢測(cè)（+136.3%）
• 紅線(xiàn)- 4,321 次檢測(cè)（+26.7%）
• Amadey – 3,870 次檢測(cè)
• Xworm – 3,141 次檢測(cè)（+43.7%）

Lumma 連續(xù)第二個(gè)季度保持主導(dǎo)地位，而 Stealc 則呈現(xiàn)爆炸式增長(zhǎng)，其檢測(cè)量較第三季度增長(zhǎng)了一倍多。

網(wǎng)絡(luò)釣魚(yú)威脅日益增多

2024 年第四季度，網(wǎng)絡(luò)釣魚(yú)活動(dòng)激增，共標(biāo)記了 82,684 個(gè)與網(wǎng)絡(luò)釣魚(yú)相關(guān)的威脅。主要亮點(diǎn)包括：

• Tycoon2FA成為最常見(jiàn)的網(wǎng)絡(luò)釣魚(yú)工具包，共檢測(cè)到 8,785 個(gè)實(shí)例。
• 網(wǎng)絡(luò)犯罪組織Storm1747上傳了11,015個(gè)與網(wǎng)絡(luò)釣魚(yú)相關(guān)的樣本，位居該組織活動(dòng)指標(biāo)首位。

此次事件凸顯了網(wǎng)絡(luò)釣魚(yú)策略的復(fù)雜性和范圍不斷演變，其目標(biāo)是全球毫無(wú)戒心的受害者。

網(wǎng)絡(luò)攻擊中的混淆工具

惡意軟件創(chuàng)建者越來(lái)越依賴(lài)保護(hù)程序和打包程序來(lái)逃避檢測(cè)。主要工具包括：

• UPX（12,262 次檢測(cè)）
• Netreactor（8,333次檢測(cè)）
• Themida（4,627 次檢測(cè)）

這些工具對(duì)于隱藏惡意軟件代碼至關(guān)重要，使得檢測(cè)對(duì)于防御者來(lái)說(shuō)更具挑戰(zhàn)性。

MITRE ATT&CK 技術(shù)：重點(diǎn)戰(zhàn)術(shù)

攻擊者在第四季度利用了多種先進(jìn)技術(shù)，其中 Windows 命令 Shell (T1059.003) 以 44,850 次檢測(cè)位居榜首。其他突出的技術(shù)包括：

• 通過(guò)重命名的系統(tǒng)實(shí)用程序進(jìn)行偽裝（T1036.003）
• 魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)鏈接(T1566.002)，與第三季度相比活動(dòng)激增

這些技術(shù)凸顯了網(wǎng)絡(luò)犯罪分子在繞過(guò)防御方面的不斷創(chuàng)新。

為網(wǎng)絡(luò)防御者提供可操作的情報(bào)

ANY.RUN 的威脅情報(bào)查詢(xún)(TI Lookup) 為跟蹤和分析新興威脅提供了重要工具。

安全團(tuán)隊(duì)可以研究惡意軟件執(zhí)行過(guò)程、探索入侵指標(biāo) (IOC) 并識(shí)別攻擊數(shù)據(jù)中的模式。例如，威脅查詢(xún)（例如threatName:"stealer"與位置過(guò)濾器配對(duì)）可以揭示惡意軟件活動(dòng)的區(qū)域趨勢(shì)。

2025年需保持警惕

2024 年第四季度報(bào)告重點(diǎn)指出，網(wǎng)絡(luò)犯罪分子正在不斷多樣化其攻擊手段并擴(kuò)大攻擊范圍。竊取者的主導(dǎo)地位、網(wǎng)絡(luò)釣魚(yú)工具包的泛濫以及高級(jí)混淆技術(shù)的使用表明需要提高警惕。

隨著我們邁入 2025 年，建議各組織保持積極主動(dòng)，利用監(jiān)測(cè)平臺(tái)獲取有關(guān)不斷變化的威脅形勢(shì)的切實(shí)可行的見(jiàn)解。持續(xù)監(jiān)控、強(qiáng)大防御和及時(shí)響應(yīng)策略仍然是應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)安全威脅的關(guān)鍵。