網(wǎng)絡(luò)犯罪分子正在加大攻擊力度。本月，研究人員發(fā)現(xiàn)一個(gè)復(fù)雜的多階段惡意軟件攻擊活動(dòng)，該活動(dòng)通過旨在逃避檢測的隱秘技術(shù)傳播了一些最流行的商業(yè)惡意軟件——AgentTesla、Remcos 和 XLoader。與此同時(shí)，F(xiàn)akeUpdates 仍位居惡意軟件排行榜榜首，影響了全球 6% 的組織，教育行業(yè)仍然是最受攻擊的行業(yè)。

復(fù)雜的攻擊鏈逃避檢測

今年 4 月，研究人員發(fā)現(xiàn)攻擊者使用偽裝成訂單確認(rèn)郵件的網(wǎng)絡(luò)釣魚郵件來發(fā)起復(fù)雜的感染鏈。這些郵件包含一個(gè)惡意的 7-Zip 壓縮包，其中包含一個(gè) Jscript 編碼 (.JSE) 文件，該文件會(huì)執(zhí)行 Base64 編碼的 PowerShell 有效載荷。這會(huì)植入一個(gè)用 .NET 或 AutoIt 編寫的第二階段可執(zhí)行文件，然后將最終的有效載荷注入到合法的 Windows 進(jìn)程（例如 RegAsm.exe 或 RegSvcs.exe）中。

此次攻擊活動(dòng)中使用的惡意軟件家族——AgentTesla、Remcos 和 XLoader——長期以來一直被低級別網(wǎng)絡(luò)犯罪分子所利用。但它們在高度混淆的分層攻擊中的使用，標(biāo)志著一種危險(xiǎn)的現(xiàn)象：普通工具與高級威脅行為者策略的融合。

此次最新活動(dòng)凸顯了網(wǎng)絡(luò)威脅日益復(fù)雜的現(xiàn)狀。攻擊者正在層層疊加編碼腳本、合法進(jìn)程和隱蔽的執(zhí)行鏈，以保持不被發(fā)現(xiàn)。曾經(jīng)被認(rèn)為是低級惡意軟件的攻擊如今已被高級行動(dòng)武器化。。

2025年4月“十惡不赦”

*箭頭表示與上個(gè)月相比的排名變化

箭頭表示與上個(gè)月相比排名的變化。

1. ? FakeUpdates – Fakeupdates（又名 SocGholish）是一種下載器惡意軟件，最初于 2018 年被發(fā)現(xiàn)。它通過在受感染或惡意網(wǎng)站上進(jìn)行路過式下載進(jìn)行傳播，誘使用戶安裝虛假的瀏覽器更新。Fakeupdates 惡意軟件與俄羅斯黑客組織 Evil Corp 有關(guān)，并用于在初始感染后投放各種二次有效載荷。
2. ? Remcos – Remcos 是一種遠(yuǎn)程訪問木馬 (RAT)，于 2016 年首次被發(fā)現(xiàn)，通常在網(wǎng)絡(luò)釣魚活動(dòng)中通過惡意文檔進(jìn)行傳播。它旨在繞過 UAC 等 Windows 安全機(jī)制，并以提升的權(quán)限執(zhí)行惡意軟件，使其成為威脅行為者的多功能工具。
3. ? AgentTesla – AgentTesla 是一款高級 RAT（遠(yuǎn)程訪問木馬），可充當(dāng)鍵盤記錄器和密碼竊取器。AgentTesla 自 2014 年起活躍，可以監(jiān)控和收集受害者的鍵盤輸入和系統(tǒng)剪貼板，還可以記錄屏幕截圖并竊取受害者設(shè)備上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）的登錄憑證。AgentTesla 公開作為合法 RAT 出售，用戶許可證價(jià)格為 15 至 69 美元。
4. ↑ Androxgh0st – AndroxGh0st 是一款基于 Python 的惡意軟件，它通過掃描暴露的 .env 文件（包含敏感信息，例如 AWS、Twilio、Office 365 和 SendGrid 等服務(wù)的登錄憑據(jù)）來攻擊使用 Laravel PHP 框架的應(yīng)用程序。它利用僵尸網(wǎng)絡(luò)識別運(yùn)行 Laravel 的網(wǎng)站并提取機(jī)密數(shù)據(jù)。一旦獲得訪問權(quán)限，攻擊者就可以部署其他惡意軟件、建立后門連接，并利用云資源進(jìn)行加密貨幣挖礦等活動(dòng)。
5. ↓ AsyncRat - AsyncRAT 是一種針對 Windows 系統(tǒng)的遠(yuǎn)程訪問木馬 (RAT)，于 2019 年首次被發(fā)現(xiàn)。它會(huì)將系統(tǒng)信息泄露到命令與控制服務(wù)器，并執(zhí)行下載插件、終止進(jìn)程、截取屏幕截圖和自我更新等命令。它通常通過網(wǎng)絡(luò)釣魚活動(dòng)進(jìn)行傳播，用于竊取數(shù)據(jù)和入侵系統(tǒng)。
6. ? Formbook – Formbook 于 2016 年首次被發(fā)現(xiàn)，是一款主要針對 Windows 系統(tǒng)的信息竊取惡意軟件。該惡意軟件會(huì)從各種 Web 瀏覽器竊取憑證、收集屏幕截圖、監(jiān)視和記錄鍵盤輸入，并可下載和執(zhí)行其他有效載荷。該惡意軟件通過網(wǎng)絡(luò)釣魚活動(dòng)、惡意電子郵件附件和受感染網(wǎng)站進(jìn)行傳播，通常偽裝成合法文件。
7. ↑ Lumma – Lumma Stealer 于 2022 年 8 月首次被發(fā)現(xiàn)，是一種惡意軟件即服務(wù) (MaaS) 信息竊取程序，可從受感染的 Windows 系統(tǒng)中竊取敏感數(shù)據(jù)，包括憑據(jù)、加密貨幣錢包和瀏覽器信息。它通過網(wǎng)絡(luò)釣魚活動(dòng)、惡意網(wǎng)站和 ClickFix 方法等社會(huì)工程學(xué)策略進(jìn)行傳播，誘騙用戶執(zhí)行攻擊者提供的 PowerShell 命令。
8. ↓ Phorpiex – Phorpiex，又名 Trik，是一個(gè)至少自 2010 年以來一直活躍的僵尸網(wǎng)絡(luò)，主要針對 Windows 系統(tǒng)。在巔峰時(shí)期，Phorpiex 控制了超過一百萬臺受感染的主機(jī)。Phorpiex 因通過垃圾郵件活動(dòng)傳播其他惡意軟件家族（包括勒索軟件和加密貨幣挖礦程序）而臭名昭著，并且參與了大規(guī)模的性勒索活動(dòng)。
9. ↑ Amadey – Amadey 是一個(gè)模塊化僵尸網(wǎng)絡(luò)，出現(xiàn)于 2018 年，主要針對 Windows 系統(tǒng)。它既是信息竊取者，又是惡意軟件加載器，能夠進(jìn)行偵察、數(shù)據(jù)泄露，并部署其他有效載荷，包括銀行木馬和 DDoS 工具。Amadey 主要通過 RigEK 和 Fallout EK 等漏洞利用工具包、網(wǎng)絡(luò)釣魚電子郵件以及 SmokeLoader 等其他惡意軟件進(jìn)行傳播。
10. ↑ Raspberry Robin – RaspberryRobin 是一種蠕蟲病毒，于 2021 年 9 月首次出現(xiàn)。它主要通過受感染的 USB 驅(qū)動(dòng)器傳播，并以其復(fù)雜的技術(shù)來逃避檢測并在受感染的系統(tǒng)上建立持久性而聞名。一旦系統(tǒng)被感染，Raspberry Robin 便可以協(xié)助下載和執(zhí)行其他惡意負(fù)載。

頂級勒索軟件組織

四月還出現(xiàn)了新的勒索軟件運(yùn)營商，其中最引人注目的是SatanLock。盡管該組織最近才出現(xiàn)，但在短短幾周內(nèi)就在其泄密網(wǎng)站上發(fā)布了67名受害者的信息。值得注意的是，超過65%的受害者信息已被其他勒索軟件組織列出，這表明這些組織要么共享基礎(chǔ)設(shè)施，要么蓄意“奪回”被入侵的網(wǎng)絡(luò)。這種行為凸顯了勒索軟件生態(tài)系統(tǒng)日益激烈的競爭和混亂，受害者信息重復(fù)發(fā)布正成為機(jī)會(huì)主義攻擊者的常用手段。

數(shù)據(jù)基于對雙重勒索軟件組織運(yùn)營的勒索軟件“恥辱網(wǎng)站”的洞察。Akira是本月最猖獗的勒索軟件組織，占已發(fā)布攻擊總數(shù)的 11%，其次是 SatanLock 和 Qilin，各占 10%。

1. Akira - Akira 勒索軟件于 2023 年初首次報(bào)告，主要針對 Windows 和 Linux 系統(tǒng)。它使用 CryptGenRandom() 和 Chacha 2008 對稱加密技術(shù)進(jìn)行文件加密，與已泄露的 Conti v2 勒索軟件類似。Akira 通過多種途徑傳播，包括感染電子郵件附件和 VPN 端點(diǎn)漏洞利用。感染后，它會(huì)加密數(shù)據(jù)并在文件名后附加“.akira”擴(kuò)展名，然后發(fā)出勒索信，要求用戶支付解密費(fèi)用。
2. 撒旦鎖（SatanLock） ——撒旦鎖是一個(gè)自4月初開始公開活動(dòng)的新組織。它已公布了67名受害者，但與許多其他新攻擊者一樣，其中超過65%的受害者此前已被其他攻擊者舉報(bào)。
3. 麒麟 (Qilin) - 麒麟 (Qilin)，又名 Agenda，是一個(gè)勒索軟件即服務(wù) (RaaS) 犯罪組織，它與同伙合作，加密并竊取受感染組織的數(shù)據(jù)，隨后索要贖金。該勒索軟件變種于 2022 年 7 月首次被發(fā)現(xiàn)，采用 Golang 語言開發(fā)。Agenda 以針對大型企業(yè)和高價(jià)值組織而聞名，尤其關(guān)注醫(yī)療保健和教育行業(yè)。麒麟通常通過包含惡意鏈接的網(wǎng)絡(luò)釣魚電子郵件滲透受害者，以建立對其網(wǎng)絡(luò)的訪問權(quán)限并竊取敏感信息。一旦進(jìn)入受害者的基礎(chǔ)設(shè)施，麒麟通常會(huì)橫向移動(dòng)，尋找關(guān)鍵數(shù)據(jù)進(jìn)行加密。

熱門移動(dòng)惡意軟件

移動(dòng)惡意軟件威脅持續(xù)演變，Anubis、AhMyth 和 Hydra 位居本月榜首。這些木馬病毒的功能顯著擴(kuò)展，Anubis 提供全面的遠(yuǎn)程訪問功能、勒索軟件功能以及通過短信攔截 MFA 代碼的能力。AhMyth 和 Hydra 也凸顯了一個(gè)日益增長的趨勢：攻擊者越來越多地將惡意軟件嵌入看似合法的應(yīng)用程序中，從生產(chǎn)力工具到加密錢包，這些應(yīng)用程序通過非官方應(yīng)用商店分發(fā)，有時(shí)甚至?xí)@過應(yīng)用商店的審核。隨著智能手機(jī)在敏感交易和工作場所訪問中的使用日益增多，移動(dòng)惡意軟件已不再是邊緣威脅，而是當(dāng)今網(wǎng)絡(luò)犯罪工具的核心。

1. ? Anubis – Anubis 是一種多功能銀行木馬，起源于 Android 設(shè)備，并已發(fā)展到包含多種高級功能，例如通過攔截基于短信的一次性密碼 (OTP) 繞過多因素身份驗(yàn)證 (MFA)、鍵盤記錄、錄音以及勒索軟件功能。它通常通過 Google Play 商店中的惡意應(yīng)用進(jìn)行傳播，并已成為最流行的移動(dòng)惡意軟件家族之一。此外，Anubis 還包含遠(yuǎn)程訪問木馬 (RAT) 功能，可對受感染系統(tǒng)進(jìn)行廣泛的監(jiān)視和控制。
2. ↑ AhMyth – AhMyth 是一種針對 Android 設(shè)備的遠(yuǎn)程訪問木馬 (RAT)，通常偽裝成屏幕錄像機(jī)、游戲或加密貨幣工具等合法應(yīng)用程序。安裝后，它會(huì)獲得大量權(quán)限，在設(shè)備重啟后仍能持續(xù)存在，并竊取敏感信息，例如銀行憑證、加密貨幣錢包詳細(xì)信息、多重身份驗(yàn)證 (MFA) 代碼和密碼。AhMyth 還支持鍵盤記錄、屏幕捕獲、攝像頭和麥克風(fēng)訪問以及短信攔截，使其成為數(shù)據(jù)竊取和其他惡意活動(dòng)的多功能工具。
3. ↑ Hydra – Hydra 是一種銀行木馬，旨在通過在每次連接任何銀行應(yīng)用程序時(shí)請求受害者啟用危險(xiǎn)權(quán)限和訪問權(quán)限來竊取銀行憑證。

最易受攻擊的行業(yè)

教育行業(yè)連續(xù)第三個(gè)月榮登全球受攻擊最嚴(yán)重的行業(yè)榜首。該行業(yè)持續(xù)高居榜首凸顯了一個(gè)令人擔(dān)憂的趨勢：學(xué)校、大學(xué)和研究機(jī)構(gòu)之所以成為重度攻擊目標(biāo)，不僅是因?yàn)槠鋼碛袕V泛的用戶群，還因?yàn)槠淦毡檩^弱的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施和分布式IT環(huán)境。威脅行為者持續(xù)利用這種復(fù)雜性來傳播勒索軟件、竊取敏感數(shù)據(jù)或發(fā)起網(wǎng)絡(luò)釣魚活動(dòng)。政府和電信行業(yè)緊隨其后，這表明關(guān)鍵基礎(chǔ)設(shè)施和公共服務(wù)仍然是網(wǎng)絡(luò)犯罪分子的高價(jià)值目標(biāo)，尤其是在地緣政治緊張或數(shù)字化轉(zhuǎn)型快速推進(jìn)的地區(qū)。