Check Point 的最新威脅指數報告強調了在當前網絡形勢下 AI 驅動型惡意軟件攻擊日益猖獗

2024 年 10 月 – ?領先的云端 AI 網絡安全提供商?Check Point? 軟件技術有限公司（納斯達克股票代碼：CHKP）發布了其 2024 年 9 月《全球威脅指數》報告。該報告著重介紹了網絡安全領域中一個值得注意的趨勢，即 AI 驅動型惡意軟件的興起，以及勒索軟件威脅的持續肆虐。

本月，研究人員發現，攻擊者很可能是利用 AI 技術開發腳本來散播 AsyncRAT 惡意軟件（目前位列最猖獗的惡意軟件排行榜第十位）。這種方法用到了 HTML 走私技術，即發送包含惡意 VBScript 代碼的密碼保護壓縮文件，在受害者的設備上啟動感染鏈。從結構良好、注釋清晰的代碼中也可發現 AI 痕跡。代碼執行完后，受害者的設備就會安裝 AsyncRAT，便于攻擊者記錄擊鍵次數、遠程控制受感染設備，并部署其他惡意軟件。這一發現揭示了越來越多技術能力有限的網絡犯罪分子正利用 AI 技術更輕松地創建惡意軟件。

Check Point 軟件技術公司研究副總裁 Maya Horowitz 對于這一趨勢評論道：“攻擊者已經開始在其攻擊基礎設施中使用生成式 AI，這充分說明網絡攻擊策略正在不斷演變。網絡犯罪分子越來越多地利用現有技術來增強攻擊，因此企業必須實施主動安全防護策略，包括采取高級防御方法和對團隊進行全面培訓。”

本月，Joker 蟬聯最猖獗的移動惡意軟件，RansomHub 仍然是主要勒索軟件團伙，兩者自上個月繼續霸榜。上述發現表明，隨著網絡安全形勢的不斷演進，這些惡意實體仍構成持續威脅，不容小覷。

頭號惡意軟件家族

* 箭頭表示與上月相比的排名變化。

FakeUpdates ?是本月最猖獗的惡意軟件，全球? 7% ?的機構受到波及，其次是 ? Androxgh0st ?和? Formbook ，分別影響了全球? 6% ?和? 4% ?的機構。

1.? ?FakeUpdates? – FakeUpdates（又名 SocGholish）是一種使用 JavaScript 編寫的下載程序。它會在啟動有效載荷之前先將其寫入磁盤。FakeUpdates 通過許多其他惡意軟件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）引致進一步破壞。

2.? ?Androxgh0st -? Androxgh0st 是一個針對 Windows、Mac 及 Linux 平臺的僵尸網絡。在感染初始階段，Androxgh0st 利用多個漏洞，特別是針對 PHPUnit、Laravel 框架和 Apache Web 服務器的漏洞。該惡意軟件會竊取 Twilio 賬戶信息、SMTP 憑證、AWS 密鑰等敏感信息，并利用 Laravel 文件收集所需信息。它有不同的變體，可掃描不同的信息。

3.? ↑ Formbook? – Formbook 是針對 Windows 操作系統的信息竊取程序，于 2016 年首次被發現。由于其強大的規避技術和相對較低的價格，它在地下黑客論壇中作為惡意軟件即服務 (MaaS) 進行出售。FormBook 可從各種 Web 瀏覽器中獲取憑證、收集截圖、監控和記錄擊鍵次數并按照其 C&C 命令下載和執行文件。

4.? ?Qbot ?- Qbot（又名 Qakbot）是一種多用途惡意軟件，于 2008 年首次出現，旨在竊取用戶憑證、記錄擊鍵次數、從瀏覽器中竊取 cookie、監視用戶的銀行業務操作，并部署更多惡意軟件。Qbot 通常通過垃圾郵件傳播，采用多種反 VM、反調試和反沙盒手段來阻礙分析和逃避檢測。從 2022 年開始，它成為最猖獗的木馬之一。

5.?? AgentTesla ?– AgentTesla 是一種用作鍵盤記錄器和信息竊取程序的高級 RAT，能夠監控和收集受害者的鍵盤輸入與系統剪貼板、截圖并盜取受害者電腦上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）的證書。

6.? ↓ Phorpiex ?- Phorpiex 是一種僵尸網絡，因通過垃圾郵件攻擊活動分發其他惡意軟件家族并助長大規模性勒索攻擊活動而廣為人知。

7.? ↑ Vidar? - Vidar 是一種以惡意軟件即服務模式運行的信息竊取惡意軟件，于 2018 年底首次現身。該惡意軟件在 Windows 上運行，不僅可從瀏覽器和數字錢包中收集各種敏感數據，而且還被用作勒索軟件的下載程序。

8.? ↑ ? NJRat? - NJRat 是一種遠程訪問木馬，主要針對中東地區的政府機構和企業。該木馬于 2012 年首次出現，具有多項功能：捕獲擊鍵記錄、訪問受害者的攝像頭、竊取瀏覽器中存儲的憑證、上傳和下載文件、操縱進程和文件以及查看受害者的桌面。NJRat 通過網絡釣魚攻擊和偷渡式下載感染受害者設備，并在命令與控制服務器軟件的支持下，通過受感染的 USB 密鑰或網盤進行傳播。

9.? ↑ Glupteba -? Glupteba 自 2011 年被發現，是一種后門病毒，已逐漸發展為僵尸網絡。到 2019 年，它包括 C&C 地址更新機制、完整的瀏覽器竊取程序功能及路由器漏洞利用程序。

10.? ↑ AsyncRat? - Asyncrat 是一種針對 Windows 平臺的木馬程序。該惡意軟件會向遠程服務器發送目標系統的系統信息。它從服務器接收命令，以下載和執行插件、終止進程、進行自我卸載/更新，并截取受感染系統的屏幕截圖。

主要移動惡意軟件

本月， Joker ?位列最猖獗的移動惡意軟件榜首，其次是? Anubis ?和? Hiddad 。

1.?? Joker? – 一種存在于 Google Play 中的 Android 間諜軟件，可竊取短消息、聯系人列表及設備信息。此外，該惡意軟件還能夠在廣告網站上偷偷地為受害者注冊付費服務。

2.? ?Anubis ?– Anubis 是一種專為 Android 手機 設計的銀行木馬惡意軟件。自最初檢測到以來，它已經具有一些額外的功能，包括遠程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數百款不同應用中均已檢測到該銀行木馬。

3.? ↑ Hiddad ?— Hiddad 是一種 Android 惡意軟件，能夠對合法應用進行重新打包，然后將其發布到第三方商店。其主要功能是顯示廣告，但它也可以訪問操作系統內置的關鍵安全細節。 ?

主要勒索軟件團伙 ?

這些數據基于從雙重勒索勒索軟件團伙運營的勒索軟件“羞辱網站”（攻擊者在這些網站上公布受害者信息）獲得的洞察分析。本月， RansomHub ?是最猖獗的勒索軟件團伙，其攻擊數量占已發布攻擊的? 17% ，其次是? Play ?和? Qilin ，分別占? 10% ?和? 5% 。

1.? RansomHub? – RansomHub 以勒索軟件即服務 (RaaS) 形式出現，據稱是已知 Knight 勒索軟件的翻版。2024 年初，RansomHub 在地下網絡犯罪論壇上初露鋒芒，因其針對各種系統（包括 Windows、macOS、Linux，尤其是 VMware ESXi 環境）發起的破壞性攻擊活動，以及采用的復雜加密方法而臭名昭著。

2.? Play ? - Play 勒索軟件又稱為 PlayCrypt，于 2022 年 6 月首次現身。這一勒索軟件瞄準北美洲、南美洲和歐洲的眾多企業和關鍵基礎設施，到 2023 年 10 月影響了大約 300 家實體。Play 勒索軟件通常通過被盜的有效賬戶或利用未修補的漏洞（如 Fortinet SSL VPN 中的漏洞）侵入網絡。得逞后，它會采用離地攻擊二進制文件 (LOLBins) 等各種手段來執行數據泄露和憑證竊取等任務。

3.? Qilin? - Qilin 又稱為 Agenda，整個勒索軟件即服務犯罪團伙沆瀣一氣，對被入侵企業的數據進行加密和竊取，隨后索要贖金。這一勒索軟件變體于 2022 年 7 月首次被發現，采用 Golang 語言開發。Agenda 主要針對大型企業和高價值目標發起攻擊，重點瞄準醫療和教育領域。Qilin 通常通過隨附惡意鏈接的網絡釣魚電子郵件獲取受害者設備的網絡訪問權限并竊取敏感信息。入侵成功后，Qilin 往往會在受害者的基礎設施中橫向移動，尋找關鍵數據進行加密。

關于 ?Check Point? 軟件技術有限公司 ??

Check Point 軟件技術有限公司是一家領先的云端?AI 網絡安全平臺提供商，為全球超過?10 萬家企業與機構提供安全保護。Check Point 利用強大的?AI 技術通過?Infinity 平臺提高了網絡安全防護效率和準確性，憑借業界領先的捕獲率實現了主動式威脅預測和更智能、更快速的響應。該綜合型平臺集多項云端技術于一身，包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網絡安全的 Check Point Quantum，以及支持協同式安全運維和服務的 Check Point Infinity Core Services。

關于 ? Check Point Research

Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領先的網絡威脅情報。Check Point 研究團隊負責收集和分析 ThreatCloud 存儲的全球網絡攻擊數據，以便在防范黑客的同時，確保所有 Check Point 產品都享有最新保護措施。此外，該團隊由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執法機關及各個計算機安全應急響應組展開合作。