根据ReliaQuest最新发布的报告,2023年迄今为止观察到的计算机和网络攻击中有高达80%的案例与三种特定的木马程序相关,它们分别是QBot、SocGholish和Raspberry Robin。
报告指出,在2023年1月1日至7月31日期间,这三种木马程序在恶意软件加载程序中占据了绝对主导地位。其中,QBot以30%的比例成为最常见的恶意软件加载程序,SocGholish紧随其后,占比为27%,而Raspberry Robin则以23%的份额位列第三。这三者的攻击频率远远超过了其他七种排名靠后的加载程序。
恶意软件的感染过程通常分为多个阶段,其中中间阶段就是加载程序在受害者计算机上的运行。黑客往往利用系统漏洞或发送包含恶意附件的电子邮件来传播这些加载程序。
加载程序通常被安全团队视为一大威胁。由于它们具备极强的隐蔽性,加载程序会采用多种技术手段隐藏自身,例如通过rootkit技术修改操作系统,或利用加密和压缩算法混淆代码。这些特性使得检测和定位加载程序变得异常困难。
此外,加载程序还具有极强的持久性。它们通常被设计为在受感染系统上长期驻留,可能通过系统启动时自动加载,或在被检测并删除后重新注入系统。后门功能则为攻击者提供了远程访问和控制受感染系统的能力,使其能够执行各种恶意操作,如盗取敏感信息、攻击其他系统等。
接下来我们将详细探讨这三种主要的木马程序:
QBot(也被称为Qakbot)是一款拥有长达16年历史的银行木马,首次发现于2008年。QBot能够通过网络传播并感染计算机系统,其传播途径包括垃圾邮件、恶意链接、恶意附件或已感染的网站。
一旦系统被QBot感染,它会在受感染的计算机上部署一个控制器模块,使攻击者能够远程控制该计算机。QBot还能窃取敏感信息,如登录凭据、银行账户信息以及其他个人身份信息。
QBot还具备蠕虫特性,能够自动扫描网络中的其他计算机,并尝试通过已知漏洞和弱密码进行传播。这一特性使得QBot极具破坏力,可能导致大规模感染。
近年来,QBot的功能迭代速度显著加快,已成为所谓的“敏捷木马”。目前,它已能够传播勒索软件、窃取敏感数据、在企业IT环境中实现横向移动,并部署远程代码执行软件。
今年6月,Lumen的Black Lotus Labs威胁情报小组发现QBot采用了新的恶意软件交付方法和命令与控制基础设施,其中四分之一的活动时间仅为一天。安全研究人员表示,这种演变可能是为了应对微软去年默认阻止Office用户使用互联网来源的宏的措施。
SocGholish
SocGholish(也被称为SocialGholish)是一种具有社交工程特性的恶意软件,首次被发现于2017年。它是一个面向Windows的基于JavaScript的代码块。
SocGholish通常通过垃圾邮件、恶意广告或已感染的网站等偷渡式攻击和社会工程活动形式进行传播。攻击者会利用欺骗性的社交工程手法诱骗用户点击恶意链接或下载恶意附件。据Google威胁分析小组称,Exotic Lily曾一度每天向全球约650个目标组织发送超过5000封电子邮件。
一旦系统被SocGholish感染,它会被激活并开始执行恶意活动。该程序能够窃取用户的敏感信息,如登录凭据、银行账户信息和其他重要数据。此外,SocGholish还能下载和安装其他恶意软件,或将受感染的计算机加入一个恶意网络,形成一个僵尸网络(botnet),用于进行进一步的攻击活动。
2023年上半年,ReliaQuest追踪到SocGholish运营商实施了“激进的水坑攻击”。
威胁研究人员表示:“他们破坏并感染了大型企业的网站。毫无戒心的访问者不可避免地下载了SocGholish恶意负载,从而导致大面积感染。”
Raspberry Robin
Raspberry Robin是一种Windows蠕虫病毒,该恶意软件通过可移动USB设备传播。其攻击方法相对简单:受感染的设备含有LNK文件(Windows快捷方式)。当用户插入U盘、启动伪装成U盘或网络共享的LNK后,它会启动Windows实用程序msiexec。
一旦执行,由于参数中指定的URL,msiexec随后会从受攻击的QNAP实例中下载在MSI(Windows安装包)中打包的Raspberry Robin的主组件。
Raspberry Robin的主组件是一个复杂的恶意软件变种,SEKOIA.IO的分析师在2022年初曾试图进行逆向工程分析,但未能成功。据Avast的研究显示,它有14层混淆机制,使用TOR聚合(rendez-vous)进行通信,并采用创新的方法在受攻击系统上保持不被检测出来。只有少数特别之处让防御者得以揪出网络中的Raspberry Robin,比如所投放文件的文件扩展名、与可供辨别的URL模式相关的MSI执行、rundll32参数或从特定工作站连接到TOR节点。
Raspberry Robin与俄罗斯的Evil Corp和“邪恶蜘蛛“有关联。在2023年上半年,Raspberry Robin主要被用于针对金融机构、电信、政府和制造组织的攻击,主要在欧洲,但也有部分在美国。
加载程序的存在对安全团队来说是一个巨大的挑战,需要使用先进的安全工具和技術来检测、定位和清除这些威胁。