安全公司ReliaQuest在上周報告稱,應該由IT防禦系統檢測和阻止的頂級惡意軟體是QBot(也稱為QakBot、QuackBot和Pinkslipbot),它是1月1日至7月31日期間最常見的加載器,負責記錄的入侵嘗試的30%。SocGholish排名第二,占27%,Raspberry Robin占23%。排名後的七個加載器遠遠落後於這三個領導者:Gootloader占3%,Guloader、Chromeloader和Ursnif占2%。
顧名思義,加載器是惡意軟體感染的中間階段。例如,黑客利用某些漏洞或向目標發送帶有惡意附件的電子郵件來在受害者的電腦上運行加載器。當加載器運行時,通常會在系統中確保其立足點,採取措施維持持久性,並獲取執行主要惡意軟體負載,可能是勒索軟體、後門或其他類似的東西。
這使得攻擊者在入侵後有一定的靈活性,並且還有助於隱藏部署在電腦上的惡意軟體。能夠發現和停止加載器可以在您的組織內阻止重大的惡意軟體感染。
然而,對於安全團隊來說,這些加載器令人頭疼,因為正如ReliaQuest指出的那樣,「對一個加載器的緩解措施可能對另一個加載器無效,即使它們加載相同的惡意軟體。」
根據分析,ReliaQuest將QBot描述為「靈活的」銀行木馬,它已經發展成為傳遞勒索軟體、竊取敏感數據、在組織環境中實現橫向移動以及部署遠程代碼執行軟體的16年老木馬。
去年6月,Lumen的黑蓮花實驗室威脅情報組發現該加載器使用了新的惡意軟體傳遞方法和命令與控制基礎設施,其中四分之一的基礎設施僅活躍了一天。根據安全研究人員的說法,這種演變很可能是對微軟去年默認阻止Office用戶從網際網路獲取的宏的回應。
ReliaQuest表示:「QakBot的靈活性在其運營商對微軟的Web標記(MOTW)的回應中表現出來:它們改變了交付策略,選擇使用HTML走私。在其他情況下,QakBot運營商嘗試使用不同的文件類型作為其負載,以逃避緩解措施。」
這包括在釣魚郵件中使用惡意的OneNote文件,正如2023年2月針對美國組織的一次活動中所發生的情況。
不要相信那個下載
排名第二的加載器SocGholish是一個基於JavaScript的代碼塊,針對Windows系統。它與俄羅斯的Evil Corp和初步訪問經紀人Exotic Lily有關,後者侵入企業網路,然後將該訪問權限出售給其他犯罪分子。
SocGholish通常通過驅動器損壞和社交工程活動部署,偽裝成一個假的更新,當被下載時,在受害者設備上釋放惡意代碼。根據谷歌的威脅分析小組的說法,Exotic Lily曾一度每天向650個目標全球組織發送超過5000封電子郵件。
去年秋天,一個被追蹤為TA569的犯罪團伙入侵了250多個美國報紙網站,然後利用這個訪問權限通過惡意的JavaScript廣告和影片向這些出版物的讀者提供SocGholish惡意軟體。
最近,在2023年上半年,ReliaQuest追蹤到SocGholish運營商進行了「積極的飲水源攻擊」。
威脅研究人員表示:「他們入侵和感染了從事具有利潤潛力的常規業務的大型組織的網站,不知情的訪問者不可避免地下載了SocGholish的負載,導致廣泛感染。」
早起的鳥兒得到了(Windows)蠕蟲
排名前三的是Raspberry Robin,它也針對Windows系統,並已經從通過USB驅動器傳播的蠕蟲進化而來。
這些被感染的USB驅動器包含惡意的.lnk文件,當執行時,與命令與控制伺服器通信,建立持久性,並在受感染設備上執行其他惡意軟體,越來越多地是勒索軟體。
Raspberry Robin還被用於傳遞Clop和LockBit勒索軟體,以及TrueBot數據竊取惡意軟體、Flawed Grace遠程訪問木馬和Cobalt Strike以獲取對受害者環境的訪問權限。
它與Evil Corp和另一個俄羅斯犯罪團伙Whisper Spider有關。在2023年上半年,它曾被用於針對金融機構、電信、政府和製造業組織的攻擊,主要在歐洲,但也在美國。
研究人員寫道:「根據最近的趨勢,這些加載器在中期未來(3-6個月)以及之後很可能繼續對組織構成威脅。」
