美國網路安全和基礎設施安全域(CISA)和澳大利亞網路安全中心(ACSC)進行了一項關于惡意軟體的聯合網路安全咨詢調查,在報告中詳細介紹了2021年最常見的11種惡意軟體,包括遠程訪問木馬、銀行木馬、資訊竊取程式和勒索軟體,
惡意軟體開發人員受益于利潤豐厚的網路運營和負面后果風險低,因此在幾年內持續支持、改進和分發他們的惡意軟體,TrickBot 是唯一被 CISA 及其澳大利亞網路安全行業同時挑選出來的惡意軟體,這是一個由一群惡意行為者共同開發和運營的惡意軟體,惡意攻擊者經常使用它來部署 Conti 勒索軟體,FBI 將 Conti 勒索軟體描述為“有史以來最昂貴的勒索軟體”,同時 CISA 表示 Conti 已經演變成一種高度模塊化的多階段惡意軟體,
為了緩解惡意軟體相關的威脅和風險,CISA 建議企業保持軟體升級至最新版本,防止利用漏洞、實施和執行多因素身份驗證、保護和監控遠程桌面協議和其他風險服務、保護離線備份并提供用戶安全培訓和安全意識教育,
Agent Tesla
Agent Tesla 能夠從郵件客戶端、Web 瀏覽器和檔案傳輸協議(FTP)服務器竊取資料,該惡意軟體還可以捕獲螢屏截圖、視頻和 Windows 剪貼板資料,Agent Tesla 偽裝成管理個人電腦的工具,可以在線購買,該軟體的開發人員持續添加新功能,包括混淆功能和針對憑據竊取的其他應用程式,
活躍時間 : 2014年
惡意軟體型別:RAT
傳播方式:作為網路釣魚電子郵件中的惡意附件
資源:請見參考鏈接1
AZORult
AZORult 用于從受感染的系統中竊取資訊,此惡意軟體已在黑客論壇上出售,用于竊取瀏覽器資料、用戶憑據和加密貨幣資訊,
活躍時間:2016年
惡意軟體型別:木馬
傳播方式:網路釣魚、被攻擊的網站、漏洞利用工具包(利用已知軟體漏洞的自動化工具包),或通過下載和安裝 AZORult
資源:請見參考鏈接2
FormBook
FormBook 是在黑客論壇上宣傳的資訊竊取程式,FormBook 能夠記錄和捕獲瀏覽器或電子郵件客戶端密碼,其開發人員繼續更新惡意軟體以利用最新的常見漏洞和暴露 (CVS),例如 CVE-2021-40444 Microsoft MSHTML 遠程代碼執行漏洞,
活躍時間:2016年
惡意軟體型別:木馬
傳播方式:作為釣魚郵件的附件
資源:請見參考鏈接3
Ursnif
Ursnif 是一種竊取金融資訊的銀行木馬,Ursnif 也被稱為 Gozi,多年來已經發展到包括持久性機制、規避沙盒和虛擬機檢測,以及搜索磁盤加密軟體提取密鑰并訪問用戶隱藏檔案的能力,截至 2022 年 7 月,Ursnif 基礎設施仍處于活躍狀態,
活躍時間:自2007年至今
惡意軟體型別:木馬
傳播方式:作為釣魚郵件的惡意附件
資源:請見參考鏈接4
LokiBot
LokiBot 是一種木馬惡意軟體,用于竊取敏感資訊,包括用戶憑據、加密貨幣錢包和其他憑據,2020 LokiBot 變體偽裝成游戲安全程式檔案,
活躍時間:2015年
惡意軟體型別:木馬
傳播方式:作為惡意電子郵件附件
資源:請見參考鏈接5
MOUSEISLAND
MOUSEISLAND 是一個 Microsoft Word 宏下載器,并通過附在網路釣魚電子郵件中的受密碼保護的 ZIP 傳播,MOUSEISLAND 可能是勒索軟體攻擊的初始階段,
活躍時間:2019 年
惡意軟體型別:宏下載器
傳播方式:通常作為電子郵件附件
資源:請參閱鏈接6
NanoCore
NanoCore 用于竊取用戶隱私資訊,包括密碼和電子郵件,NanoCore 還可能允許惡意用戶激活計算機的網路攝像頭來監視受害者,惡意軟體開發人員持續開發附加功能,作為可購買的插件或惡意軟體工具包,在惡意網路攻擊者之間共享,
活躍時間:2013年
惡意軟體型別:RAT
傳播方式:在電子郵件中作為惡意 ZIP 檔案中的 ISO 磁盤鏡像,或在云存盤服務上托管惡意 PDF 檔案
資源:請參閱鏈接7
Qakbot
最初被視為銀行木馬,Qakbot 的功能已發展到包括執行偵察、橫向移動、收集和泄露資料以及交付有效負載,Qakbot 也稱為 QBot 或 Pinksllot,本質上是模塊化,使惡意網路攻擊者能夠根據自己的需要對其進行配置,Qakbot 也可用于形成僵尸網路,
活躍時間:2007年
惡意軟體型別:木馬
傳播方式:通過電子郵件以惡意附件、超鏈接或嵌入影像的形式
資源:請參閱鏈接8
Remcos
Remcos 本身是一種閉源工具,作為用于遠程管理和滲透測驗的合法軟體工具進行銷售,Remcos 是 Remote Control and Surveillance 的縮寫,在疫情期間,Remco 被惡意網路攻擊者利用,進行大規模網路釣魚活動來竊取個人資料和憑據,惡意攻擊者利用 Remcos 在目標系統上安裝了一個后門軟體,然后使用 Remcos 后門發出命令并獲得管理員權限,同時繞過防病毒產品并通過將自身注入 Windows 行程進行運行,
活躍時間: 2016年
惡意軟體型別:RAT
傳播方式:在釣魚郵件中作為惡意附件
資源:請參閱鏈接9
TrickBot
TrickBot 惡意軟體通常用于形成僵尸網路、啟用 Conti 勒索軟體或 Ryuk 銀行木馬的初始訪問權限,TrickBot 由一群惡意網路攻擊者共同開發和運營,并已演變為高度模塊化的多階段惡意軟體,2020年,網路犯罪分子使用 TrickBot 攻擊美國國家醫療保健和公共衛生 (HPH) 部門 ,然后發起勒索軟體攻擊、泄露資料或破壞醫療保健服務,據悉,TrickBot 的基礎設施在2022年7月仍處于活躍狀態,
活躍時間:2016年
惡意軟體型別:木馬
傳播方式:通過電子郵件作為超鏈接
資源: 請參閱鏈接10
GootLoader
GootLoader 是一個與 GootKit 惡意軟體相關的惡意軟體加載程式,隨著其開發人員更新其功能,GootLoader 已從下載惡意負載的加載程式演變為多負載惡意軟體平臺,作為加載程式惡意軟體,GootLoader 通常是系統入侵的第一階段,通過利用搜索引擎中毒,GootLoader 的開發人員可能會破壞或創建在搜索引擎結果(例如 Google 搜索結果)中排名靠前的網站,
活動時間:2020年
惡意軟體型別:加載程式
傳播方式:在搜索引擎結果排名靠前的受感染網站上下載惡意檔案
資源: 請參閱鏈接11
參考鏈接:
https://attack.mitre.org/versions/v11/software/S0331/
https://attack.mitre.org/versions/v11/software/S0344/
https://www.hhs.gov/sites/default/files/formbook-malware-phishing-campaigns.pdf
https://attack.mitre.org/versions/v11/software/S0386/
https://www.cisa.gov/uscert/ncas/alerts/aa20-266a
https://www.mandiant.com/resources/melting-unc2198-icedid-to-ransomware-operations
https://attack.mitre.org/versions/v11/software/S0336/
https://attack.mitre.org/versions/v11/software/S0650/
https://attack.mitre.org/versions/v11/software/S0332/
https://www.cisa.gov/uscert/ncas/alerts/aa21-076a
https://www.cyber.nj.gov/alerts-advisories/gootloader-malware-platform-uses-sophisticated-techniques-to-deliver-malware/
https://www.cyber.nj.gov/alerts-advisories/gootloader-malware-platform-uses-sophisticated-techniques-to-deliver-malware/
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/501584.html
標籤:其他
