Avast 2023年第2季度威胁报告
2024-11-29 15:16:45
揭示诈骗主导地位,同时封锁攻击数量激增24
前言
这一季度的表现超乎寻常,网络威胁活动达到了过去三年中的最高点。我们借此机会向您提供我们在保护用户免受这些恶意威胁方面所遭遇挑战的洞见。
在2023年第2季度,我们的检测数据显示,整体网络威胁风险显著上升。风险比率,即受保护用户中抵御网络威胁的比例,与上季度相比上升了13,达到令人担忧的276。此外,独特封锁攻击的数量在同一时期上升了24,每月平均接近7亿次独特封锁攻击。
在该季度,我们观察到威胁趋势的显著变化。虽然传统面向消费者的网络威胁有轻微下滑,但社交工程和网络相关威胁,如诈骗、网络钓鱼和恶意广告等,却剧增。这些威胁在桌面端占我们整体检测的75以上,仅诈骗一项就贡献了51的检测总数。
恶意广告和恶意浏览器推送通知的普及也大幅增加,加上交友诈骗和勒索邮件的激增。这些新兴威胁的详细信息将在本报告后续部分中介绍。
尽管广告软件的流行程度略有下降,但它依然在桌面、移动和浏览器平台上持续存在。一个显著的例子是HiddenAds活动,其再次出现在Google Play商店,在其统治期间获得了数千万次下载。
另一项值得注意的观察是,Mustang Panda APT组织试图利用被攻击的韧体渗透并感染TPLink路由器。我们还密切监控了DDosia项目的进展,目睹该威胁组织的参与者针对瓦根集团的基础设施发动攻击,作为对其在俄罗斯的短暂叛乱的回应。
虽然恶意矿工的活动略微减少,但由于许多加密货币最近从工作量证明转向权益证明,这对其创作者来说造成了独特挑战。一些恶意软件作者未能适应,导致本季度观察到恶意矿工的流行程度下降。我们的研究人员还在野外发现了HotRat,一种AsyncRat的NET重写版本,具有许多新的命令和功能。
此外,我高兴地强调我们的研究人员又一项重要成就。Avast发现的CVE202329336,是一个针对Windows内核的win32k的本地权限升级漏洞,促使我们在5月的Patch Tuesday安全更新中立即修补。尽管我们与微软分享了一个概念验证的利用代码,我们仍负责任地不公开技术细节,以优先考虑用户安全。
然而,勒索软件仍然是一个持续的担忧。尽管其流行程度略有下降,但勒索软件创作者仍在不断寻找受害者,越来越依赖于针对性攻击和利用来入侵公司网络。值得注意的是,针对广泛使用软件的成功攻击,例如PaperCut和MOVEit,彰显了勒索软件操作员不断演变的战术,他们试验了比以往更甚的无加密勒索技术和数据公开。
值得庆幸的是,我们的努力促成了一个免费的Akira勒索软件解密工具的开发。这个工具已经帮助许多勒索软件受害者恢复他们的文件和业务,进一步巩固了我们为那些需要帮助的人提供解决方案和支持的承诺。
感谢您抽时间阅读并信任Avast。请保持安全与稳妥。
黑洞加速器官方Jakub Koustek,恶意软件研究主任
方法论
本报告分为两个主要部分:桌面相关威胁,我们描述针对Windows、Linux和Mac操作系统的攻击情报,特别强调与网络相关的威胁,以及移动相关威胁,我们描述专注于Android和iOS操作系统的攻击。
在本报告中,我们使用“风险比率”一词来表示特定威胁的严重程度。它的计算方式为“每个国家被攻击用户数/该国活动用户总数”的月均数。除非另有说明,计算的风险仅适用于每月活跃用户超过10000的国家。
封锁攻击的定义为在指定时间内受保护用户和封锁威胁标识符的独特组合。
在本报告中,我们稍微重新定义了信息窃取者这一恶意软件类别。未来,该类别将包括以下恶意软件类型:银行木马、键盘记录器、密码窃取者也称为pws、间谍软件、剪贴板监控器、加密货币窃取者、数据外流工具、跟踪软件和网络盗窃。我们还重新计算了相关统计数据,以便为您提供与前几季度的正确比较。
重点故事:诈骗的上升
诈骗,与之前许多形式的欺骗和欺诈一样,一直是人类经验中固有的一部分。在一个信息主要通过互联网传递的数字时代,这些欺骗行为找到了蓬勃发展的土壤,构成了对在线安全的重大威胁。
诈骗惊人的地从实体世界转向了数位世界,利用了互联网所提供的匿名性和广泛的覆盖范围。当今的诈骗采用多种复杂的手段,从金钱和慈善诈骗到网上约会诈骗和虚假广告。这些机制可能各不相同,但最终目标始终相同:欺骗毫无防备的人士,让他们披露敏感信息或交出他们辛辛苦得来的金钱。
此外,相关的威胁类型网络钓鱼也占所有威胁的25。网络钓鱼尝试通常伪装成来自知名且值得信赖的实体,例如银行或政府机构的信息请求。他们利用人类的信任和紧迫感,迫使受害者在虚假条件下泄露机密信息或进行财务交易。
技术的快速发展使得网络犯罪分子能够适应和创新。他们利用人工智能工具制作几乎完美的合法通信仿制,使得人们越来越难以区分哪些是真正的、哪些是虚假的。此外,简讯钓鱼smishing通过简短消息进行网络钓鱼也充分利用了人们对文本消息的高度开放率和内在信任。
2023年第2季度的数据显示,网络安全形势正在发生变化。威胁行为者选择利用诈骗和网络钓鱼所带来的心理操控,而不是依赖于传统恶意软件攻击中的技术利用。因此,我们的防御必须适应,不仅要改进技术措施,还要建立意识和促进对未请求通信的怀疑。
在3月,我们揭露了一个新的Instagram诈骗,利用虚假的SHEIN礼品卡作为诱饵。在第2季度,我们发现诈骗者正在扩大其行动范围,覆盖更多国家,如以色列。他们的行动也进化了,从虚假的SHEIN礼品卡转向可能更加吸引人的iPhone 14,专门针对位于墨西哥和西班牙的用户,以下是相关范例。
近期在西班牙和墨西哥使用Apple iPhones作为诱饵的诈骗
结果还是一样:受害者从未收到承诺的奖品;相反地,他们发现自己订阅了一个不熟悉的服务,对这项服务一无所知。
在这过去三个月中,我们还记录了其他诈骗行为。Avast威胁实验室识别出一种新的数据勒索诈骗,通过电子邮件针对企业,似乎来自一个勒索或数据勒索的网络帮派。电子邮件以全名向员工发送,声称已发生安全漏洞,并窃取了大量公司的信息,包括员工记录和个人数据。发件人自称是像“Silent Ransom”或“Lockffit”这样的勒索组织。电子邮件要求员工向他们的经理报告情况,威胁如果不理会就将出售被窃数据,并提醒收件人注意数据泄露的监管罚款。
然而,这些通信似乎更像是恐吓手段,而非真正的勒索行动。他们的目的是恐吓决策者以迫使其支付以防止进一步后果,如数据被出售或面临潜在的监管罚款。除了受害者的电子邮件和姓名之外,没有提供任何实质的漏泄证据。Avast捕获了针对不同组织的相同诈骗邮件,仅仅更改收件人的姓名、联络电子邮件、所谓被窃数据的数量,甚至所谓的网络犯罪组织。这种操作模式表明这是使用目标列表进行的半自动化攻击,类似于性勒索的手法。
事实上,在本季度,Avast揭露了一个新的性勒索活动。性勒索诈骗是一种电子邮件型网络攻击,诈骗者声称已控制了你的系统,通常声称他们通过设备的摄像头录制了你的活动,并要求支付费用以保持你的隐私。诈骗者利用受害者的恐惧和尴尬,期望能迅速获得付款,以避免潜在的曝光。
我们检测到的最卑劣的诈骗之一是一种引人不安的众筹计划,利用公众的善意。该诈骗包含一系列情感充沛的视频广告,讲述一个名叫“Semion”的癌症患儿的故事,为他的治疗请求紧急资金支持。这些视频主要用俄语制作,附有多语言字幕,已在YouTube和Instagram等平台上分享,从善良的观众那获得了可观的财政捐助,所有资金都被引导到一个提供多种支付选择的捐款页面。
在这些威胁不断上升的情况下,记住互联网的基本法则至关重要:信任,但要核实。向更以诈骗为主导的威胁格局转变,强调了数字素养和用户安全意识对消费者的重要性。
总之,在2023年第2季度,诈骗和网络钓鱼事件的激增突出显示了威胁格局的变化,要求灵活、知情且主动的网络安全措施。这些措施的基石必须是全面的教育和意识倡议,旨在使用户能够识别和有效应对这些欺骗性和破坏性的攻击。
Luis Corrons,安全宣导者
桌面相关威胁
高级持续威胁 (APTs)
高级持续威胁APT是一种由技术高超且坚定的骇客发动的网络攻击类型,他们拥有渗透目标网络并维持长期隐蔽存在的资源和专业知识。
Avast的研究人员一直在密切监控臭名昭著的骇客组织Mustang Panda及其数据外流伺服器。在我们的调查中,随著我们发现伺服器上出现几个新二进制文件,其中一个是专为目标TPLink路由器定制的恶意韧体映像,这一重要进展浮出水面。这个韧体映像被发现含有恶意组件,其中一个特别麻烦的是专门的MIPS32 ELF植入程序。
发现在Mustang Panda恶意韧体映像中的远程命令执行功能
这个自定义植入程序的影响令人不安,因为它使攻击者具备三项关键功能。首先,攻击者可以远程执行任意Shell命令,获得对感染的路由器的重大控制权。其次,这个植入程序便于从感染的路由器上传和下载文件,这可能导致数据窃取或散播恶意载荷。最后,植入程序支持SOCKS协议隧道,作为不同客户端之间的通信中继,进一步掩盖攻击者的身份并使其侦测变得更加复杂。攻击者利用何种方法将恶意植入程序感染路由器设备仍然不为人知。总体而言,该威胁组织继续在包括香港、越南和菲律宾在内的多个国家进行活动,不断测试新技术和恶意软件。同时,他们也使用了Korplug和Cobalt Strike等众所周知的工具。
另外一个臭名昭著的组织Lazarus,因涉及多起高调网络攻击而闻名,本季度发起了一个新的社交工程运动。它们的目标是与区块链相关的开发者,通过欺骗性的工作评估来引入恶意软件。这一策略旨在入侵开发者的系统,可能导致重大的安全漏洞和数据泄露。
Gamaredon APT组织在追求其恶意目标方面持续不懈,并将乌克兰机构作为其网络间谍行动的主要目标。该组织历史上曾针对政府实体、军事组织和乌克兰关键基础设施发动过复杂攻击。他们的手法包括使用鱼叉式网络钓鱼邮件、恶意文档和社交工程技术。
DoNot APT仍然活跃于针对巴基斯坦政府和军方的行动。我们发现一系列包含LNK文件的钓鱼电子邮件,用于传递攻击载荷。
Luigino Camastra,恶意软件研究员Igor Morgenstern,恶意软件研究员
广告软件
广告软件在未经用户同意的情况下安装,被视为不必要的,会追踪浏览行为、重定向网络流量,或收集个人信息以进行身份盗窃等恶意用途。
与上个季度相比,我们在2023年第2季度看到桌面广告软件开始出现下降趋势,如下图所示。在下一季度,我们将观察这是否为长期趋势,还是仅仅是季节性波动,因为本季度我们未注意到任何重大的广告软件活动。
2023年第1季度和第2季度的全球Avast桌面广告软件风险比率
在此前的季度中,DealPly广告软件在广告软件范畴中占据了15的市场份额,成为主要力量。以下地图显示,自2023年第1季度以来,DealPly的风险比率在全球几乎增加了一倍。
2023年第2季度DealPly广告软件的全球风险比率地图
与DealPly的增长相对比,所有广告软件的风险约为2023年第1季度的一半。在2023年第1季度,我们观察到的广告软件活动在东亚包括日本、台湾和中国出现了显著增长,但在2023年第2季度的整体平均水平上稳定了。完整的风险比率如下图所示。
2023年第2季度全球广告软件风险比率地图
广告软件市场份额DealPly仍然是无可争议的市场领导者,占有31的市场份额。其他广告软件的市场份额如下:
RelevantKnowledge (7)BrowserAssistant (3)Neoreklami (2)然而,其他不太知名的广告软件类型在2023年第2季度占据了32的市场份额。这些广告软件一般通过拦截用户点击的随机超链接,并将其替换为广告网站的重定向来运作。
下面的表格显示了在当前和前几个季度中观察到的广告域名的分布。显然,广告域名每季度都进行动态轮换,以规避广告拦截器和其他检测系统。
Q2/2023 Q1/2023oovaufty[]com ( 30) oovaufty[]com ( 16)ptuvauthauxa[]com ( 23) ptuvauthauxa[]com ( 19)saumeechoa[]com ( 15) saumeechoa[]com ( 53)ninoglostoay[]com ( 9) ninoglostoay[]com (7)caumausa[]com (5) applabzzeydoo[]com (3) ad2upapp[]com ( 2) ad2upapp[]com ( 1)当前与前几个季度的广告伺服器的表示
广告软件试图不知不觉地将用户重定向到提供免费软件下载或其他产品的网站,也可能导致用户接触到危险内容。在后续部分,我们将概述2023年第2季度中最常见的基于网页的广告软件。
Martin Chlumeck,恶意软件研究员
机器人
机器人是一种主要旨在确保长期访问设备的威胁,目的是利用其资源,可用于远程控制、垃圾邮件分发或拒绝服务DoS攻击。
我们继续追踪臭名昭著的威胁组织NoName057(16),特别是他们的DDosia项目。我们的最新博客文章与DDosia协议的更新相符。在发布的前一天,该协议进行了更新,包含了加密功能。
2023年第2季度最著名的机器人攻击是随著瓦根集团叛乱而进行的攻击。叛乱开始数小时后,DDosia针对瓦根集团的网页启动了一次配置攻击,该网页持续了近一天。与一般操作不同,这次攻击没有在该项目的Telegram频道上宣布。值得注意的是,这次攻击没有成功,目标网页在DDoS攻击整个过程中都可访问,没有任何限制。
虽然一个俄罗斯组织选择攻击俄罗斯目标似乎出人意料,但这似乎符合他们的惯例,即追随亲政府的俄罗斯利益。关于该组织的发展,该项目的增长似乎正在缓慢接近高峰,目前志愿者的数量约为11500。
过去四个月DDosia社区的规模
整体机器人网络形势异常稳定,风险比略微下降,与前一季度相比家庭分布没有显著变化。唯一的显著例外是MyKings家族的活动增加了约20。
2023年第2季度Avast用户群中关于僵尸网络的全球风险比率
Adolf Steda,恶意软件研究员
加密货币矿工
加密货币矿工是利用设备硬件资源来验证加密货币交易并赚取加密货币的程序。然而,在恶意软件的世界中,加密货币矿工悄悄地劫持受害者的计算机资源以为攻击者产生加密货币。不论加密货币矿工是合法的还是恶意的,遵循我们的指导原则总是很重要。
在不断演变的加密货币挖矿环境中,加密货币矿工的活动持续下降,这一趋势持续了数个季度。与2023年第1季度相比,风险比下降了4。
这一持续的下降主要归因于各种加密货币越来越多地采用权益证明PoS协议。PoS被认为是比传统工作量证明PoW共识机制更具能源效率和环保的替代方案。
2023年第2季度Avast用户群中关于加密货币矿工的全球风险比率
在2023年第2季度,塞尔维亚再次面临遭遇加密货币矿工的最高风险,风险比为580。紧随其后的是黑山458、马达加斯加376和波士尼亚与赫塞哥维纳317的风险比。
2023年第2季度全球加密货币矿工风险比率地图
Coinminer XMRig在2023年第2季度的活动增加,市场占有率上升13,达到1813。此外,FakeKMSminer和VMiner的盛行程度也随之增加,各自的市场份额高涨16和47,分别达到219和192。反之,CoinBitMiner、CoinHelper和NeoScrypt则减少了7、13和3的市场份额,各自约为1市场份额。网页矿工的市场份额也下降了2,不过其依然是最流行的加密货币挖矿形式,占整体市场的65。
2023年第2季度最常见的加密货币矿工包括:
网页矿工各类型 XMRig FakeKMSminer VMiner CoinBitMiner CoinHelper NeoScryptJan Rubn,恶意软件研究员
信息窃取者
信息窃取者专门窃取受害者设备上任何有价值的内容。通常,它们专注于储存的凭证、加密货币、浏览器会话/饼干、浏览器密码与私人文档。
在2023年第2季度,信息窃取者的活动下降了14,主要是由于Raccoon Stealer和RedLine的市场份额分别下降31和36。
Avast用户群中关于信息窃取者的全球风险比率
根据我们的数据,在我们用户群更大的国家中,现在遭受信息窃取者感染风险最高的国家为巴基斯坦、土耳其和埃及,风险比为262、223和222。值得惊讶的是,在2023年第2季度,几乎所有区域的活动都出现了下降,只有瑞士7风险比、保加利亚2和日本1的活动有所增加。
2023年第2季度全球信息窃取者风险比率地图
根据我们的数据,AgentTesla是目前最流行的信息窃取者,市场份额为27。在2023年第2季度,相较于前一季度,它的活动显著增加,市场份额上升26。FormBook11市场份额、Fareit5和Lokibot5的市场份额也有所上升。另一方面,ViperSoftX持平,活动稍微下降2,现在拥有22的市场份额。至于Raccoon Stealer和RedLine,现在的市场份额分别为7和6。
在2023年第2季度最常见的信息窃取者包括:
AgentTesla FormBook Raccoon Stealer RedLine Fareit Lokibot ViperSoftXRaccoon Stealer不断演变。这一威胁的恶意行为者最近将Signal桌面版集成到他们的配置中,这意味著他们现在可以从该流行通讯工具的桌面客户端窃取数据,扩大他们的影响范围和对受害者隐私和安全的潜在影响。
来源:https//twittercom/AvastThreatLabs/status/1648688808664215555
同时,新的信息窃取者也进入了市场。其中一个窃取者是Meduza Stealer,专门用于窃取信息,包括登录凭证、浏览历史、书签、加密钱包等等。另一个窃取者是Mystic Stealer,它能从感染的系统中窃取各种信息,包括计算机详情、用户地点、网页浏览器数据和加密货币钱包信息。
裁剪器clippers另一种信息窃取者则是针对剪贴板劫持和操纵的恶意软件,通常专注于窃取加密货币。它们的工作原理是监控受害者的剪贴板,当检测到被复制的钱包地址时,恶意代码会悄然将其替换为攻击者的地址。最终,毫无防备的受害者将加密资产发送到攻击者的钱包,而不是预定的接收者,导致财务损失。
Laplas Clipper是2023年第2季度受欢迎的裁剪器之一。根据我们的数据,它的市场份额较上一季度增长了224,现在拥有149的整个信息窃取者市场份额。
Jan Rubn,恶意软件研究员
勒索软件
勒索软件是一种任何形式的勒索恶意软件。最常见的子类是那些加密文件如文档、照片、视频、数据库等,使其变得无法使用,只有支付赎金才能解密的类型。
在2023年第2季度,勒索软件的整体风险比与前一季度相比略有下降:
2023年勒索软件的传播情况
在第2季度,遭受勒索软件威胁的国家主要包括:
莫桑比克巴布亚新几内亚阿富汗安哥拉加纳韩国2023年第2季度全球勒索软件风险比率地图
在本季度,我们用户群中最流行的勒索软件类型包括:
WannaCrySTOPMagniberGlobeImposterHidden TearTarget CompanyLockBit漏洞增加在2023年第2季度的勒索软件攻击中使用了多种软件漏洞。这些漏洞包括在广泛使用的第三方软件中漏洞或利用易受攻击的驱动程式。
在勒索软件界,造成最大混乱的是在Progress MOVEit Transfer软件中的CVE202334362漏洞。未修补的MOVEit Transfer版本存在SQL注入漏洞,允许未经授权访问MOVEit数据库,这是根据安全建议所述。Progress随后发布了修补程序以修复该漏洞。
另一个被威胁者利用的软件漏洞是PaperCut,一种打印管理软件。根据安全建议,该软件存在远程代码执行RCE漏洞,允许在未身份验证的情况下在PaperCut伺服器上运行代码。多个勒索帮派,例如Cl0p、LockBit和Bl00dy滥用该漏洞进行了攻击。
PaperCut随后修复了这些漏洞。使用PaperCut MF和PaperCut NG版本低于2017、21211和2209的用户应立即更新其系统以闭合此攻击面。
此外,BlackCat勒索软件被观察到使用恶意驱动程式终止运行的安全软件。驱动程式是一种运行在操作系统核心内核中的软件组件,因此需要运行在操作系统中可用的最高权限下。
Windows操作系统通过仅允许由受信者证书签名的驱动程式来保护其生态系统。但是有一个漏洞:BlackCat勒索软件所用的驱动程式是由一个被盗的有效证书签名的。即使凭证已被撤销,最新更新的Windows 10仍然可以加载此类驱动程式:
Akira 勒索软件Akira是2023年3月出现的一种勒索软件。这种勒索软件用现代C编写,承诺在多个操作系统之间提供较高的兼容性。不久后,出现了Linux版本。除了将MS CryptoAPI专为Windows设计替换为Crypto跨平台,代码大部分保持不变,包括在Linux操作系统上无意义的排除列表,该列表如下:
winnt temp thumb RecycleBin RECYCLEBIN System Volume Information Boot Windows Trend MicroAvast发现了Akira的加密方案中的一个缺陷,并发布了一个解密工具以帮助受害者恢复其数据。然而,Akira的创作者迅速反应,发布了更新版本的加密器,现在已无法解密。新版本的Akira勒索软件为加密文件使用了不同的扩展名;Avast解密工具仅能解密带有akira扩展名的文件。尽管如此,许多遭受原版的受害者仍然能够在Avast解密工具的帮助下恢复数据并重建其业务。
新趋势:无加密勒索软件加密用户文件并不是一项简单的任务。典型的计算机可能拥有大量的数据文件,例如电影、音乐、ISO映像和虚拟机。这些文件的加密需要大量的CPU运算,并引起安全解决方案的注意。
为了帮助绕过这些安全解决方案,ZScaler研究人员观察到了一种新趋势无加密勒索软件。这种勒索软件不加密数据,而专注于纯粹的数据勒索。攻击者威胁要发布数据,这可能会对受害者的声誉造成严重损害或暴露其知识产权。
Ladislav Zezula,恶意软件研究员Jakub Koustek,恶意软件研究主任
远程访问特洛伊木马 (RATs)
远程访问木马RAT是一种恶意软件,允许未经授权的个人远程控制受害者的计算机或设备。RAT通常通过社交工程技术进行传播,例如钓鱼邮件或受感染的文件下载。安装后,RAT授予攻击者对受害者设备的完全访问权,以便执行