概要

Q1最熱門(mén)的安全事件是XZ/liblzma后門(mén)高危漏洞。開(kāi)發(fā)人員Andres Freund一次偶然情況下，發(fā)現(xiàn)了XZ/liblzma存在后門(mén)并對(duì)該漏洞進(jìn)行報(bào)告。XZ/liblzma是一個(gè)廣泛使用的開(kāi)源工具，掌握該后門(mén)攻擊者幾乎可以訪問(wèn)任何運(yùn)行受感染發(fā)行版的 Linux 機(jī)器。這一事件提出了有關(guān)開(kāi)源代碼的安全性及其集成到關(guān)鍵系統(tǒng)和應(yīng)用程序中的重要問(wèn)題。

社會(huì)工程學(xué)仍然是各平臺(tái)上最大的威脅，而且所占的份額還在繼續(xù)增加。在移動(dòng)設(shè)備領(lǐng)域，2023年Q4季度所有威脅 90% 以上來(lái)自詐騙和類似威脅類型。這一趨勢(shì)也反映在PC平臺(tái)上，87%的威脅屬于同一類型。

在惡意廣告和惡意推送通知激增的背景下，欺詐行為大幅增加（移動(dòng)平臺(tái)為 61%，PC平臺(tái)為 23%）。在烏克蘭等某些地區(qū)，這些風(fēng)險(xiǎn)幾乎翻了一番，凸顯了這些惡意活動(dòng)的全球范圍和影響。此外，詐騙者正在部署越來(lái)越復(fù)雜的戰(zhàn)術(shù)，包括使用深度偽造技術(shù)、AI音頻同步，以及劫持流行的 YouTube 頻道來(lái)傳播欺詐內(nèi)容，從而擴(kuò)大了造成經(jīng)濟(jì)損失的可能性。

在PC方面，惡意組織Lazarus Group 策劃了一場(chǎng)復(fù)雜的 APT 活動(dòng)，該活動(dòng)以亞洲的個(gè)人為目標(biāo)，以工作機(jī)會(huì)為由進(jìn)行詐騙。

僵尸網(wǎng)絡(luò)活動(dòng)也令人擔(dān)憂。例如Twizt 僵尸網(wǎng)絡(luò)對(duì)服務(wù)器消息塊（SMB）協(xié)議憑證暴力破解，惡意 DDosia 項(xiàng)目擴(kuò)展等功能進(jìn)行更新，從而大大增加了其危害性。此外，以 DarkGate 和 Luma 為代表的惡意軟件即服務(wù) (MaaS) 竊取程序也呈現(xiàn)出上升趨勢(shì)。

Q1勒索軟件攻擊也呈現(xiàn)上升趨勢(shì)， LockBit 勒索軟件是其中的典型代表，且被執(zhí)法單位打擊后又再度復(fù)活。此外一種名為HomuWitch 的新型勒索軟件也許引起注意，該勒索軟件在信息加密方面有著不俗的效果。

YouTube成為網(wǎng)絡(luò)釣魚(yú)、惡意廣告的“溫床”

YouTube 具有25億用戶，目前已成為網(wǎng)絡(luò)釣魚(yú)、惡意廣告等威脅行為的“溫床”。自動(dòng)廣告系統(tǒng)和用戶生成的內(nèi)容相結(jié)合，為網(wǎng)絡(luò)犯罪分子提供了繞過(guò)傳統(tǒng)安全措施的通道，使 YouTube 成為部署網(wǎng)絡(luò)釣魚(yú)和惡意軟件的重要渠道。

該平臺(tái)上的顯著威脅包括 Lumma 和 Redline 等憑證竊取程序、網(wǎng)絡(luò)釣魚(yú)和詐騙登陸頁(yè)面，以及偽裝成合法軟件或更新的惡意軟件。此外YouTube 還是流量分發(fā)系統(tǒng) (TDS) 的通道，從而將用戶引向惡意網(wǎng)站，并支持從虛假贈(zèng)品到投資計(jì)劃等各種高危害性的騙局。

在 YouTube 上興起的 DeepFake 視頻通過(guò)逼真地模仿人物或事件，由此誤導(dǎo)觀眾，傳播大量的虛假信息。Q1大量攻擊者入侵用戶的YouTube 帳戶，約有5000 多萬(wàn)是訂閱者被劫持，用于傳播 Cryptoscam Deefake 視頻。

威脅者經(jīng)常利用自動(dòng)上傳和搜索引擎優(yōu)化 (SEO) 中毒來(lái)提高有害內(nèi)容的可見(jiàn)度。此外，虛假評(píng)論猖獗，欺騙觀眾，推廣危險(xiǎn)鏈接，利用 YouTube 的算法和用戶參與傳播網(wǎng)絡(luò)威脅。

利用 YouTube 傳播威脅的方式有很多。在 YouTube 上觀察到的基本戰(zhàn)術(shù)和程序 (TTP) 如下：

• 針對(duì)創(chuàng)作者的網(wǎng)絡(luò)釣魚(yú)活動(dòng)： 攻擊者向 YouTube 創(chuàng)作者發(fā)送個(gè)性化電子郵件，提出欺詐性的合作機(jī)會(huì)。一旦建立了信任，他們就會(huì)打著合作所需軟件的幌子發(fā)送惡意軟件鏈接，通常會(huì)導(dǎo)致 cookie 被盜或賬戶受損。
• 視頻詐騙： 攻擊者上傳的視頻描述包含惡意鏈接，其中包括偽裝成與游戲、生產(chǎn)力工具甚至殺毒軟件相關(guān)的合法軟件下載，誘騙用戶下載惡意軟件。
• 劫持頻道傳播威脅： 攻擊者通過(guò)網(wǎng)絡(luò)釣魚(yú)或惡意軟件獲得對(duì) YouTube 頻道的控制權(quán)，然后重新利用這些頻道來(lái)宣傳各類威脅，如加密貨幣詐騙。這類欺詐活動(dòng)通常涉及需要觀眾提供初始押金的虛假贈(zèng)品。
• 利用偽造的軟件品牌和域名： 攻擊者創(chuàng)建相似度極高的軟件品牌，或者將威脅網(wǎng)站偽裝成合法網(wǎng)站來(lái)獲取用戶的行人，從而誘導(dǎo)用戶下載惡意軟件。
• 越獄軟件誘導(dǎo)： 攻擊者發(fā)布教程視頻或提供破解軟件，引導(dǎo)用戶下載偽裝成有用工具的惡意軟件。這種策略利用用戶尋求免費(fèi)訪問(wèn)付費(fèi)服務(wù)或軟件的心理，利用 YouTube 的搜索和推薦算法鎖定潛在受害者。

Lazarus 黑客組織利用 Windows 零日漏洞獲取內(nèi)核權(quán)限

2024年第一季度，Lazarus 黑客組織試圖利用 Windows AppLocker 驅(qū)動(dòng)程序  appid.sys 中的零日漏洞 CVE-2024-21338，獲得內(nèi)核級(jí)訪問(wèn)權(quán)限并關(guān)閉安全工具，從而能夠輕松繞過(guò) BYOVD（自帶漏洞驅(qū)動(dòng)程序）技術(shù)。

Avast 網(wǎng)絡(luò)安全分析師發(fā)現(xiàn)了這一網(wǎng)絡(luò)攻擊活動(dòng)，隨后便立刻向微軟方面上報(bào)。微軟在 2024 年 2 月發(fā)布的安全更新中解決安全漏洞的問(wèn)題。不過(guò)，微軟并未將 CVE-2024-21338 安全漏洞標(biāo)記為零日漏洞。

Lazarus 黑客組織利用 CVE-2024-21338 安全漏洞在其 FudModule rootkit 的更新版本中創(chuàng)建了一個(gè)讀/寫(xiě)內(nèi)核基元（ESET 于 2022 年底首次記錄了 CVE-2024-21338 漏洞，此前，rootkit 曾濫用戴爾驅(qū)動(dòng)程序進(jìn)行了 BYOVD 攻擊。）新版 FudModule 在隱蔽性和功能性方面有了顯著增強(qiáng)，包括但不限于采用了新技術(shù)逃避檢測(cè)和關(guān)閉 Microsoft Defender 和 CrowdStrike Falcon 等安全保護(hù)。此外通過(guò)檢索大部分攻擊鏈，Avast 還發(fā)現(xiàn)了 Lazarus 黑客組織使用了一種此前從未記錄的遠(yuǎn)程訪問(wèn)木馬 (RAT)。

Lazarus 黑客組織利用了微軟 "appid.sys "驅(qū)動(dòng)程序中的一個(gè)漏洞，該驅(qū)動(dòng)程序是 Windows AppLocker 組件，主要提供應(yīng)用程序白名單功能。Lazarus 團(tuán)隊(duì)成員通過(guò)操縱 appid.sys 驅(qū)動(dòng)程序中的輸入和輸出控制（IOCTL）調(diào)度程序來(lái)調(diào)用任意指針，誘使內(nèi)核執(zhí)行不安全代碼，從而繞過(guò)安全檢查。

FudModule rootkit 與漏洞利用程序構(gòu)建在同一模塊內(nèi)，執(zhí)行直接內(nèi)核對(duì)象 DKOM 操作，以關(guān)閉安全產(chǎn)品、隱藏惡意活動(dòng)并維持被入侵系統(tǒng)的持久性。（安全產(chǎn)品包括 AhnLab V3 Endpoint Security、Windows Defender、CrowdStrike Falcon 等以及 HitmanPro 反惡意軟件解決方案）

Avast 在新版 rootkit 中發(fā)現(xiàn)了新的隱身特性和擴(kuò)展功能，例如通過(guò) DKOM 進(jìn)行選擇性和有針對(duì)性的破壞、增強(qiáng)篡改驅(qū)動(dòng)程序簽名執(zhí)行和安全啟動(dòng)功能等。Avast 還指出，這種新的安全漏洞利用策略標(biāo)志著威脅攻擊者內(nèi)核訪問(wèn)能力有了重大突破，使其能夠發(fā)起更隱蔽的網(wǎng)絡(luò)攻擊，并在被入侵網(wǎng)絡(luò)系統(tǒng)上持續(xù)更長(zhǎng)時(shí)間。

目前，針對(duì) CVE-2024-21338 安全漏洞唯一有效的安全措施就是盡快應(yīng)用 2024 年 2 月的 發(fā)布的安全更新。

這些攻擊鏈的復(fù)雜性表明，Lazarus 投入了大量資源進(jìn)行策劃和執(zhí)行。在執(zhí)行攻擊之前，Lazarus 通過(guò)部署無(wú)文件惡意軟件和將工具直接加密到硬盤(pán)驅(qū)動(dòng)器上進(jìn)行了精心的準(zhǔn)備。對(duì)受害者的精心選擇和高度針對(duì)性表明，在啟動(dòng)惡意軟件之前，建立某種程度的信任或聯(lián)系很可能是必要的。部署如此復(fù)雜的武器庫(kù)，再加上利用漏洞，凸顯了重大的戰(zhàn)略遠(yuǎn)見(jiàn)和資源投入。

僵尸網(wǎng)絡(luò)依舊不容小覷

僵尸網(wǎng)絡(luò)主要目的是確保對(duì)設(shè)備的長(zhǎng)期訪問(wèn)，以利用其資源，包括遠(yuǎn)程控制、垃圾郵件分發(fā)、拒絕服務(wù)（DoS）攻擊等等。

需要注意的是，Twizt 僵尸網(wǎng)絡(luò)在其更新中獲得了一個(gè)新模塊，該模塊提供的功能為其sextortion 活動(dòng)提供了動(dòng)力。該模塊依賴于一種常見(jiàn)的策略，即用據(jù)稱從用戶設(shè)備或賬戶中恢復(fù)的虛假敏感信息敲詐用戶。威脅方通常會(huì)提及感染了 RAT 的設(shè)備，而信息中通常會(huì)包含偽造的發(fā)件人頭信息和密碼，讓人以為用戶的郵件賬戶已被黑客入侵。事實(shí)上，所有發(fā)送的信息都是偽造的，密碼很可能是從暗網(wǎng)上流傳的某個(gè)泄露密碼數(shù)據(jù)庫(kù)中獲取的。

2023年，Twizt 開(kāi)始對(duì)虛擬網(wǎng)絡(luò)計(jì)算（VNC）憑證進(jìn)行暴力破解。2024年初，該組織改用暴力破解 SMB 憑據(jù)。Twizt 包含一個(gè)用戶名/密碼對(duì)的硬編碼列表，該列表針對(duì)隨機(jī)生成的目標(biāo)進(jìn)行嘗試。驗(yàn)證成功后會(huì)向其命令與控制（C&C）服務(wù)器報(bào)告。

Q1季度，曾經(jīng) 叱咤風(fēng)云的DDosia遭遇了有史以來(lái)的“滑鐵盧”。據(jù)推測(cè)，有人在積極攻擊 DDosia的 C&C 基礎(chǔ)設(shè)施，多次造成面向真實(shí) C&C 服務(wù)器的代理服務(wù)器中斷。這導(dǎo)致該外層的基礎(chǔ)架構(gòu)迅速變化，每個(gè)新的代理 C&C 在再次不可用之前都有大約 2 天的生命周期。由于缺乏 C&C 中斷時(shí)的客戶端更新機(jī)制，項(xiàng)目所有者不得不每隔幾天就制作新的客戶端。

由于每次更新都需要手動(dòng)更新 DDosia 的二進(jìn)制文件，再加上 C&C 頻繁中斷，他們的攻擊影響力顯著下降。尤其是在 2 月 19 日前后，八個(gè)代理 C&C 被關(guān)閉了五天。即使在這之后，它們也無(wú)法恢復(fù)以前的效率。

隨著原來(lái)的群組被刪除，DDoSia 轉(zhuǎn)移到了另一個(gè)名為 "DDoSia 項(xiàng)目 "的 Telegram 群組，為這些動(dòng)蕩的變化畫(huà)上了句號(hào)。在此之前，原始群組一直在發(fā)展壯大，最終擁有約 20000 名成員，而新群組開(kāi)始時(shí)只有約 12000 名成員，并且很快繼續(xù)呈下降趨勢(shì)。

在2023年Q4，"DDosia "主要關(guān)注銀行，而在 2024 年第一季度，"DDosia "主要關(guān)注各種行業(yè)聯(lián)盟、法院、新聞機(jī)構(gòu)、計(jì)算機(jī)應(yīng)急小組以及運(yùn)輸和物流公司。其基本邏輯基本保持不變——在各國(guó)境內(nèi)尋找有損害俄羅斯利益的目標(biāo)。

至于整個(gè)僵尸網(wǎng)絡(luò)的發(fā)展趨勢(shì)，許多流行的病毒已經(jīng)停滯不前。盡管如此，我們還是看到它們的流行程度發(fā)生了一些較大的變化，包括 BetaBot（13%）的活動(dòng)增加。另一方面，大多數(shù)其他病毒似乎都在下降，其中以下病毒的降幅最大： Pikabot（-48%）、Tofsee（-31%）、MyKings（-21%）和 Dridex（-21%）。

挖礦惡意軟件正在繼續(xù)減少

在2023年第4度，挖礦惡意組織的猖獗程度持續(xù)下降，這種下降趨勢(shì)一直延續(xù)至2024 年第一季度，風(fēng)險(xiǎn)率大幅下降了 28%。其中最主要是由于XMRig 惡意軟件份額略有下降的影響，而 XMRig 在上一季度的份額曾一度飆升。與之對(duì)應(yīng)的是，幾乎所有其他主要的代幣制造者的活動(dòng)實(shí)際上都有所增加，從而擴(kuò)大了其份額。

在上一季度美國(guó)和土耳其的風(fēng)險(xiǎn)激增之后，情況稍有緩和，這兩個(gè)國(guó)家的風(fēng)險(xiǎn)比率下降了 39%。其他國(guó)家也有下跌，其中印度（22%）、埃及（19%）和巴基斯坦（13%）的下降幅度更大。目前，馬達(dá)加斯加（風(fēng)險(xiǎn)率為 2.18%）、土耳其（1.47%）、巴基斯坦（1.35%）和埃及（1.14%）仍然是挖礦風(fēng)險(xiǎn)最大的幾個(gè)國(guó)家。

XMRig 是長(zhǎng)期以來(lái)最受歡迎的推幣機(jī)，本季度其推幣機(jī)惡意軟件份額下降了 6%，但它仍然占據(jù)了總份額的 60%。所有其他主要挖幣者的活動(dòng)都有所增加，包括網(wǎng)絡(luò)挖幣者（增加 5%）、CoinBitMiner（24%）、FakeKMSminer（37%）等。

在 2024 年第一季度，最常見(jiàn)的惡意軟件占比如下：

• XMRig (59.53%)
• 網(wǎng)絡(luò)礦工 (20.20%)
• CoinBitMiner (2.67%)
• FakeKMSminer (2.03%)
• NeoScrypt (1.75%)
• CoinHelper (1.05%)
• VMiner (0.86%)
• SilentCryptoMiner (0.84%)

信息竊取仍以 AgentTesla 為主

AgentTesla是一款“老牌”惡意軟件即服務(wù)“MAAS”惡意程序，在過(guò)去的幾年間，一直保持著較高的活躍度。其主要通過(guò)社工釣魚(yú)郵件傳播，“商貿(mào)信”和偽裝航運(yùn)公司釣魚(yú)郵件是該木馬經(jīng)常使用的社工釣魚(yú)方式。通過(guò)社工釣魚(yú)方式獲取初始訪問(wèn)權(quán)限后，作為第一階段的惡意軟件，AgentTesla提供對(duì)受感染系統(tǒng)的遠(yuǎn)程訪問(wèn)，然后用于下載更復(fù)雜的第二階段工具，包括勒索軟件。

AgentTesla是基于.Net的遠(yuǎn)程訪問(wèn)木馬 (RAT)和數(shù)據(jù)竊取程序，旨在竊取用戶的敏感信息，如登錄憑據(jù)、銀行賬戶信息、電子郵件等。其具有強(qiáng)大的遠(yuǎn)程控制功能，可以通過(guò)鍵盤(pán)記錄、屏幕截圖、攝像頭監(jiān)控等方式監(jiān)視用戶行為。該間諜木馬具有反調(diào)試功能，同時(shí)誘餌文件使用了多層解密，大大增加了分析難度。

惡意軟件即服務(wù)（MaaS）竊取信息繼續(xù)茁壯成長(zhǎng)，并盡可能尋找新的傳播方式。例如DarkGate 通過(guò) Microsoft Teams 使用網(wǎng)絡(luò)釣魚(yú)進(jìn)行傳播。從技術(shù)角度看，DarkGate 還利用了 Microsoft Windows SmartScreen（CVE-2024-21412）漏洞。此外， DarkGate 還曾試圖通過(guò)惡意 PDF 文件傳播濫用了加密交換和 WebDAV 服務(wù)器。惡意軟件通過(guò) InternetShortcut 鏈接（.URL 文件）從 opendir 下載內(nèi)容。

Lumma Stealer 是另一種 MaaS 竊取程序，它繼續(xù)通過(guò)在 YouTube 上傳播的破解軟件進(jìn)行傳播，利用虛假教程誤導(dǎo)受害者。這進(jìn)一步說(shuō)明，此類病毒及其制造者從不放過(guò)任何利用社交工程傳播惡意軟件的機(jī)會(huì)。

這種典型的混淆型惡意軟件以竊取密碼、加密貨幣錢(qián)包和 cookie 而聞名。它通常通過(guò)偽造應(yīng)用程序或谷歌廣告中毒滲透系統(tǒng)。這種威脅存在多代，這表明它在未來(lái)很可能會(huì)持續(xù)存在，而年初惡意廣告活動(dòng)攜帶的新版本則進(jìn)一步凸顯了這一點(diǎn)。

就 Linux 而言，Python 信息竊取程序是此類惡意軟件中較為流行的病毒，其中包括 Spidey、Creal、Wasp 或 PirateStealer 等著名惡意軟件家族。此外，還有一種名為 PassSniff/Putin 的新惡意軟件，它是用 C++ 編寫(xiě)的，不是從磁盤(pán)上竊取密碼，而是通過(guò)使用通用規(guī)則和針對(duì)流行服務(wù)和應(yīng)用程序的特定規(guī)則來(lái)嗅探 HTTP 流量，從而竊取密碼。

總體而言，2024 年第一季度全球信息竊取程序的風(fēng)險(xiǎn)率下降了 8%。不過(guò)，許多流行的竊取程序進(jìn)一步擴(kuò)大了覆蓋范圍，包括 AgentTesla、Stealc、Fareit 和 ViperSoftX。

其中，AgentTesla 是最流行的信息竊取程序，其惡意軟件份額增加了 17%。其活動(dòng)主要針對(duì)中歐、北美和南美，現(xiàn)占據(jù)了 30.31% 的惡意軟件份額。值得注意的是，幾乎所有較大的信息竊取者的活動(dòng)都有所增加，包括 Fareit（增加 34%）、Stealc（33%）、ViperSoftX（28%）和 Azorult（14%）。FormBook 的份額下降了 32%，Lokibot 的份額下降了 50%，從而平衡了信息竊取者整體活動(dòng)的天平。

以下是2024 年第一季度最常見(jiàn)的信息竊取者及其惡意軟件份額：

• AgentTesla (30.31%)
• Fareit (7.55%)
• FormBook (6.92%)
• RedLine (4.37%)
• Stealc (2.81%)
• ViperSoftX (2.28%)
• Azorult (1.93%)
• ClipBanker (1.72%)
• Raccoon (1.56%)
• Lokibot (1.41%)
• Rhadamanthys (1.36%)

勒索軟件依舊是最嚴(yán)重的威脅

勒索軟件最常見(jiàn)的子類型是加密受害者電腦上的文檔、照片、視頻、數(shù)據(jù)庫(kù)和其他文件。如果不先解密，這些文件就無(wú)法使用。為了解密文件，攻擊者會(huì)索要錢(qián)財(cái)，即 "贖金"。

LockBit是勒索軟件的頂級(jí)流派之一，它的加密和勒索攻擊力度絲毫未減。由于 LockBit 聲名狼藉，其在 2024 年第一季度被曾存在短暫被清除的情況。10 個(gè)國(guó)家的執(zhí)法機(jī)構(gòu)聯(lián)合宣布了 Cronos 行動(dòng)，聯(lián)邦調(diào)查局成功攻破了 LockBit 基礎(chǔ)設(shè)施，獲得了大約 1000 個(gè)私人加密密鑰，并發(fā)布了一個(gè)公共解密器。

勒索軟件操作員滲透公司的常見(jiàn)手法如下：

勒索軟件操作員 "購(gòu)買(mǎi)訪問(wèn)權(quán)限"，這意味著獲取有關(guān)公司、公司漏洞以及如何入侵公司網(wǎng)絡(luò)的信息。然后操作員繪制公司網(wǎng)絡(luò)地圖，最終部署勒索軟件。當(dāng)被攻擊的公司支付贖金后，"接入賣(mài)家 "就能獲得接入費(fèi)。

與 LockBit、Akira 或 BlackCat 等更流行的威脅相比，以下這些勒索軟件很少出現(xiàn)在媒體的報(bào)道中，因?yàn)檫@些勒索軟件不是攻擊大公司并要求數(shù)百萬(wàn)美元的贖金，而是主要針對(duì)個(gè)人用戶或小型企業(yè)，要求的贖金在數(shù)千美元左右。

• WannaCry（21%）
• STOP (12%)
• Mallox（又名 TargetCompany） (3%)
• DarkSide (2%)
• Cryptonite (1%)

與上一季度相比，用戶群中勒索軟件的總體風(fēng)險(xiǎn)率有所上升，且從 2024 年 3 月開(kāi)始升級(jí)。

技術(shù)支持詐騙 (TSS)： 攻擊持續(xù)增加

技術(shù)支持詐騙威脅涉及騙子冒充合法的技術(shù)支持代表，試圖遠(yuǎn)程訪問(wèn)受害者的設(shè)備或獲取敏感的個(gè)人信息，如信用卡或銀行詳細(xì)信息。這些騙局依靠騙取信任的伎倆來(lái)獲得受害者的信任，通常包括說(shuō)服他們?yōu)椴槐匾姆?wù)付費(fèi)或購(gòu)買(mǎi)昂貴的禮品卡?；ヂ?lián)網(wǎng)用戶一定要提高警惕，并核實(shí)任何聲稱提供技術(shù)支持服務(wù)的人的資質(zhì)。

在整個(gè) 2023 年，與技術(shù)支持詐騙有關(guān)的活動(dòng)持續(xù)減少。2024年第一季度，這一趨勢(shì)不僅沒(méi)有預(yù)想中的結(jié)束，反而有所增加，目前已經(jīng)上升至2024年度第4季度的水平。

2024 年第一季度技術(shù)支持詐騙風(fēng)險(xiǎn)率詳情

瑞士的增長(zhǎng)最為迅猛，技術(shù)支持欺詐活動(dòng)增加了 177%，為本季度最高。奧地利的增幅也很大，達(dá)到 101%。德國(guó)的增幅雖然較低，但也達(dá)到了 65%。此外，日本作為傳統(tǒng)的 TSS 熱點(diǎn)國(guó)家，也出現(xiàn)了 153% 的大幅增長(zhǎng)。

這些不斷攀升的數(shù)字，在歐洲較富裕的國(guó)家尤為明顯，凸顯了這些地區(qū)網(wǎng)絡(luò)安全威脅日益增長(zhǎng)的趨勢(shì)。

被積極利用的零日漏洞

漏洞利用利用合法軟件中的缺陷，執(zhí)行本不應(yīng)允許的操作。它們通常分為遠(yuǎn)程代碼執(zhí)行（RCE）漏洞和本地權(quán)限升級(jí)（LPE）漏洞，前者允許攻擊者感染另一臺(tái)機(jī)器，后者允許攻擊者對(duì)部分受感染的機(jī)器進(jìn)行更多控制。

在二月份的 "星期二補(bǔ)丁 "更新中，微軟修補(bǔ)了一個(gè)涉及管理員到內(nèi)核的零日漏洞 CVE-2024-21338。這個(gè)零日漏洞最初被 Lazarus Group 在野外利用，他們利用這個(gè)漏洞啟用了更新版的 FudModule 數(shù)據(jù)專用 rootkit。這標(biāo)志著 FudModule rootkit 功能的重大改進(jìn)，因?yàn)橐郧鞍姹镜?FudModule rootkit 是通過(guò)針對(duì)已知的易受攻擊驅(qū)動(dòng)程序進(jìn)行 BYOVD（自帶易受攻擊驅(qū)動(dòng)程序）攻擊來(lái)啟用的。

從 BYOVD 技術(shù)升級(jí)到內(nèi)置驅(qū)動(dòng)程序中的零日攻擊，使整個(gè)攻擊變得更加隱蔽，但這并不是唯一的升級(jí)。Lazarus 還改進(jìn)了 rootkit 功能，針對(duì)注冊(cè)表回調(diào)、對(duì)象回調(diào)、進(jìn)程/線程/圖像回調(diào)、文件系統(tǒng)迷你過(guò)濾器、Windows 過(guò)濾平臺(tái)、Windows 事件跟蹤和圖像驗(yàn)證回調(diào)。此外，威脅者還實(shí)施了一種值得注意的句柄表入口操縱技術(shù)，試圖暫停與 Microsoft Defender、CrowdStrike Falcon 和 HitmanPro 相關(guān)的關(guān)鍵進(jìn)程。

其他新聞方面，xz/liblzma 后門(mén)漏洞的發(fā)現(xiàn)震驚了開(kāi)源圈。這個(gè)后門(mén)是由軟件工程師Andres Freund發(fā)現(xiàn)。他注意到 ssh 登錄失敗會(huì)消耗大量的 CPU，于是決定調(diào)查其根本原因，最后發(fā)現(xiàn)了這個(gè)后門(mén)漏洞。攻擊者名叫 Jia Tan，在整個(gè)過(guò)程中攻擊者表現(xiàn)出了非凡的耐心，通過(guò)兩年多來(lái)對(duì)開(kāi)源項(xiàng)目的貢獻(xiàn)慢慢建立起了信任。最終發(fā)動(dòng)攻擊，并通過(guò)多次提交引入了后門(mén)，其最終目的是允許擁有正確私鑰（CVE-2024-3094）的用戶遠(yuǎn)程登錄 SSH。

由于后門(mén)發(fā)現(xiàn)得比較早，因此攻擊者沒(méi)有足夠的時(shí)間將惡意代碼合并到 Debian 或 Red Hat 等主要 Linux 發(fā)行版中。這應(yīng)該引起安全圈的警惕，因?yàn)檫@很可能成為我們近年來(lái)看到的最大的安全事件之一。雖然開(kāi)源代碼通常被認(rèn)為比閉源代碼更值得信賴，但這次攻擊表明，開(kāi)源代碼也面臨著自身的挑戰(zhàn)。許多重要的開(kāi)源項(xiàng)目都是由工作過(guò)度的志愿者在幾乎沒(méi)有資金的情況下維護(hù)的，這可能會(huì)不幸地使它們?nèi)菀资艿筋愃频墓簟?/p>

另一個(gè)有趣的發(fā)現(xiàn)與 Outlook 中的超鏈接有關(guān)。通常情況下，Outlook 不會(huì)跟蹤指向遠(yuǎn)程資源的 "file://"協(xié)議鏈接，但 Check Point Research 的研究人員發(fā)現(xiàn)，只需在一些任意字符后添加一個(gè)感嘆號(hào)（"!"），就可能完全改變這種行為。這個(gè)漏洞編號(hào)為CVE-2024-21413，并被稱為 MonikerLink，因?yàn)楦袊@號(hào)實(shí)質(zhì)上將鏈接變成了一個(gè)復(fù)合單詞。當(dāng)用戶收到電子郵件并點(diǎn)擊這樣的鏈接時(shí)，遠(yuǎn)程文件就會(huì)被獲取，并可能在后臺(tái)進(jìn)行解析。

這樣做會(huì)產(chǎn)生兩方面的影響。首先，點(diǎn)擊鏈接從遠(yuǎn)程 SMB 服務(wù)器加載資源代表了另一種強(qiáng)制 NTLM 身份驗(yàn)證的方法，允許遠(yuǎn)程服務(wù)器捕獲 NTLMv2 哈希值。其次，攻擊者可能會(huì)利用這一點(diǎn)來(lái)觸發(fā)一些有漏洞的代碼，因?yàn)楂@取的資源可能會(huì)在后臺(tái)打開(kāi)，并試圖查找項(xiàng)目單名（感嘆號(hào)后附加的字符串）。Check Point 博客在一個(gè) RTF 文件上演示了這種情況，該文件會(huì)在受保護(hù)視圖之外的 Microsoft Word 中打開(kāi)，這是一種非常隱蔽的一鍵式 RTF 漏洞利用載體。

網(wǎng)絡(luò)釣魚(yú)：達(dá)到新高度

網(wǎng)絡(luò)釣魚(yú)是一種在線詐騙，欺詐者通過(guò)在電子郵件、短信或即時(shí)信息等電子通信中冒充可信實(shí)體，試圖獲取包括密碼或信用卡詳細(xì)信息在內(nèi)的敏感信息。欺詐信息通常包含一個(gè)與真實(shí)網(wǎng)站相似的虛假網(wǎng)站鏈接，要求受害者在該網(wǎng)站上輸入敏感信息。

現(xiàn)在我們來(lái)看看網(wǎng)絡(luò)威脅中的最后一類，也是最經(jīng)典的一類： 網(wǎng)絡(luò)釣魚(yú)。與幾乎所有網(wǎng)絡(luò)威脅一樣，這一類威脅的活動(dòng)在 2024 年第一季度有所增加，延續(xù)了過(guò)去四個(gè)季度的增長(zhǎng)趨勢(shì)。

攻擊者繼續(xù)大量使用通過(guò)跨專有文件系統(tǒng) (IPFS) 基礎(chǔ)設(shè)施共享文件的方式來(lái)傳播網(wǎng)絡(luò)釣魚(yú)內(nèi)容。統(tǒng)計(jì)數(shù)據(jù)顯示，IPFS 上最常見(jiàn)的目標(biāo)品牌是 Microsoft，目前在被阻止的攻擊中占比高達(dá) 20%，同時(shí)這些威脅在 2024 年第一季度末最為明顯。

參考來(lái)源：https://decoded.avast.io/threatresearch/avast-q1-2024-threat-report/