最新威脅指數強調，FakeUpdates 繼續對網絡環境構成重大威脅，在促進勒索軟件攻擊方面發揮著關鍵作用。安全研究人員最近的一項調查顯示，RansomHub 的一個附屬機構利用基于 Python 的后門來維持持續訪問并在各種網絡上部署勒索軟件。這個后門是在 FakeUpdates 獲得初始訪問權限后不久安裝的，其展示了高級混淆技術以及人工智能輔助編碼模式。該攻擊涉及通過遠程桌面協議 (RDP) 進行橫向移動，并通過創建計劃任務建立持續訪問。

這些先進技術凸顯了一個日益嚴重的現實：網絡犯罪分子正在通過人工智能改進其方法并增強其能力。組織需要超越傳統防御措施，采取主動、自適應的安全措施來預測新出現的威脅。這種方法將使他們能夠有效應對這些持續存在的挑戰。

2025年1月“十惡不赦”

*箭頭表示與上個月相比的排名變化

最流行的惡意軟件 FakeUpdates 影響了全球 4% 的組織，其次是 Formbook，占 3%，Remcos 占 3%。

• ? FakeUpdates —Fakeupdates（又名 SocGholish）是一種下載器惡意軟件，最初于 2018 年發現。它通過受感染或惡意網站上的驅動下載進行傳播，提示用戶安裝虛假的瀏覽器更新。FakeUpdates 惡意軟件與俄羅斯黑客組織 Evil Corp 有關，用于在初次感染后傳遞二次有效載荷。
• ↑ Formbook - Formbook 于 2016 年首次被發現，是一種主要針對 Windows 系統的信息竊取惡意軟件。該惡意軟件從各種 Web 瀏覽器收集憑據、收集屏幕截圖、監視和記錄擊鍵，并可以下載和執行其他有效負載。該惡意軟件通過網絡釣魚活動、惡意電子郵件附件和受感染的網站進行傳播，通常偽裝成合法文件。
• ↑ Remcos — Remcos 是一種遠程訪問木馬 (RAT)，于 2016 年首次被發現。它通常通過網絡釣魚活動中的惡意文檔進行傳播。它旨在繞過 Windows 安全機制（例如 UAC），并以提升的權限執行惡意軟件，使其成為威脅行為者的多功能工具。
• ↓ Androxgh0st —AndroxGh0st 是一種基于 Python 的惡意軟件，它通過掃描包含敏感信息（例如 AWS、Twilio、Office 365 和 SendGrid 等服務的登錄憑據）的公開 .env 文件來攻擊使用 Laravel PHP 框架的應用程序。它通過利用僵尸網絡來識別運行 Laravel 的網站并提取機密數據。一旦獲得訪問權限，攻擊者就可以部署其他惡意軟件，建立后門連接，并利用云資源進行加密貨幣挖掘等活動。
• ? AsyncRat – AsyncRAT 是一種針對 Windows 系統的遠程訪問木馬 (RAT)，于 2019 年首次被發現。它會將系統信息泄露到命令和控制服務器，并執行下載插件、終止進程、捕獲屏幕截圖和更新自身等命令。它通常通過網絡釣魚活動進行傳播，用于數據竊取和系統入侵。
• ↑ SnakeKeylogger —Snake 是一種模塊化 .NET 鍵盤記錄器和憑證竊取程序，于 2020 年 11 月下旬首次發現。其主要功能是記錄用戶的擊鍵并將收集到的數據傳輸給威脅行為者。Snake 感染對用戶的隱私和在線安全構成重大威脅，因為該惡意軟件可以竊取各種敏感信息，并且特別具有逃避性和持久性。
• ↑ Phorpiex —Phorpiex 又名 Trik，是一個自 2010 年以來一直活躍的僵尸網絡，主要針對 Windows 系統。在巔峰時期，Phorpiex 控制了超過一百萬臺受感染的主機。Phorpiex 因通過垃圾郵件活動傳播其他惡意軟件系列（包括勒索軟件和加密貨幣挖礦程序）而臭名昭著，并參與了大規模的性勒索活動。
• ↓ Rilide - Rilide 是一款惡意瀏覽器擴展程序，針對基于 Chromium 的瀏覽器，如 Chrome、Edge、Brave 和 Opera。它偽裝成合法的 Google Drive 擴展程序，使威脅行為者能夠監視瀏覽歷史記錄、截取屏幕截圖并注入惡意腳本以從加密貨幣交易所提取資金。值得注意的是，Rilide 可以模擬對話框，誘騙用戶泄露雙因素身份驗證 (2FA) 詳細信息，從而促進未經授權的加密貨幣交易。它的分發方法包括惡意的 Microsoft Publisher 文件和欺騙性的 Google 廣告，以推廣虛假的軟件安裝程序。
• ↑ Amadey – Amadey 是一個模塊化僵尸網絡，于 2018 年出現，主要針對 Windows 系統。它既是信息竊取者，又是惡意軟件加載器，能夠進行偵察、數據泄露和部署其他有效載荷，包括銀行木馬和 DDoS 工具。Amadey 主要通過 RigEK 和 Fallout EK 等漏洞利用工具包以及網絡釣魚電子郵件和其他惡意軟件（如 SmokeLoader）進行傳播。
• ↓ AgentTesla —AgentTesla 是一種高級 RAT（遠程訪問木馬），可用作鍵盤記錄器和密碼竊取程序。AgentTesla 自 2014 年以來一直活躍，可以監控和收集受害者的鍵盤輸入和系統剪貼板、記錄屏幕截圖并竊取受害者機器上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）的輸入憑據。AgentTesla 公開作為合法 RAT 出售，客戶需要支付 15 至 69 美元才能獲得用戶許可證。

頂級移動惡意軟件

本月，Anubis 在最流行的移動惡意軟件中排名第一，其次是 AhMyth 和 Necro。

• ? Anubis – Anubis 是一種多功能銀行木馬，起源于 Android 設備，現已發展到包括高級功能，例如通過攔截基于短信的一次性密碼 (OTP) 繞過多因素身份驗證 (MFA)、鍵盤記錄、錄音和勒索軟件功能。它通常通過 Google Play 商店中的惡意應用程序進行傳播，已成為最流行的移動惡意軟件家族之一。此外，Anubis 還包含遠程訪問木馬 (RAT) 功能，可對受感染的系統進行廣泛的監視和控制。
• ↑ AhMyth – AhMyth 是一種針對 Android 設備的遠程訪問木馬 (RAT)，通常偽裝成合法應用程序，如屏幕錄像機、游戲或加密貨幣工具。安裝后，它會獲得大量權限，在重啟后仍能存活，并竊取敏感信息，如銀行憑證、加密貨幣錢包詳細信息、多因素身份驗證 (MFA) 代碼和密碼。AhMyth 還支持鍵盤記錄、屏幕捕獲、攝像頭和麥克風訪問以及短信攔截，使其成為一種用于數據盜竊和其他惡意活動的多功能工具。
• ↓ Necro – Necro 是一種惡意 Android 下載程序，它會根據其創建者的命令檢索受感染設備上的有害組件并執行。它已在 Google Play 上的幾款熱門應用程序以及 Spotify、WhatsApp 和 Minecraft 等非官方平臺上應用程序的修改版本中被發現。Necro 可以將危險模塊下載到智能手機上，從而允許執行諸如顯示和點擊隱形廣告、下載可執行文件以及安裝第三方應用程序等操作。它還可以打開隱藏窗口來運行 JavaScript，從而可能讓用戶訂閱不需要的付費服務。此外，Necro 還可以通過受感染的設備重新路由互聯網流量，將它們變成網絡犯罪分子代理僵尸網絡的一部分。

全球最受攻擊的行業

本月，教育行業在全球遭受攻擊的行業中位居第一位，其次是政府和電信行業。

• 教育
• 政府
• 電信

頂級勒索軟件組織

這些數據基于雙重勒索軟件組織運營的勒索軟件“恥辱網站”的洞察，這些網站發布了受害者信息。本月，clop 是最流行的勒索軟件組織，占已發布攻擊的 10%，其次是 FunkSec，占 8%，RansomHub 占 7%。

• Clop – Clop 是一種勒索軟件，自 2019 年以來一直活躍，針對全球各個行業，包括醫療保健、金融和制造業。Clop 源自 CryptoMix，使用 .clop 擴展名加密受害者的文件，并采用“雙重勒索”，威脅除非支付贖金，否則泄露被盜數據。Clop 采用勒索軟件即服務 (RaaS) 模式運營，利用漏洞、網絡釣魚和其他方法滲透系統，關閉 Windows Defender 等安全防御措施，并與一些備受關注的攻擊有關，例如 2023 年利用 MOVEit 文件傳輸軟件漏洞。
• FunkSec – FunkSec 是一個新興的勒索軟件組織，于 2024 年 12 月首次出現。他們的數據泄露網站 (DLS) 將勒索軟件事件報告與數據泄露混合在一起，導致報告的受害者數量異常高。然而，這些報告的準確性仍未得到證實，他們的受害者名單中有大量來自其他威脅行為者出版物的重復內容。
• RansomHub – RansomHub 是一種勒索軟件即服務 (RaaS) 操作，是之前已知的 Knight 勒索軟件的改名版本。RansomHub 于 2024 年初在地下網絡犯罪論壇上引人注目，因其針對各種系統（包括 Windows、macOS、Linux 和 VMware ESXi 環境）的積極活動而迅速聲名狼藉。該惡意軟件以采用復雜的加密方法而聞名。

本月，我們觀察到一個新組織 Babuk Bjorka 的出現，該組織建立了一個數據泄露網站 (DLS)。該組織列出了多個受害者；但是，他們的可靠性值得懷疑。由于對可信度的擔憂，我們暫時將該組織排除在我們的名單之外。我們將繼續監控，并在能夠驗證其活動時提供更新。