2022年的5大威脅將繼續影響2023年

深入研究并準備好應對本文提到的五種威脅，你將能更好地保護企業的網絡、資產和員工。

威脅形勢是高度多樣化的，攻擊的復雜程度也從最基本的騙局發展為國家級別的網絡間諜活動。企業需要優先考慮可能影響業務運營和員工安全的最常見威脅，并部署針對性防御措施。

網絡安全公司Malwarebytes在其最新發布的《年度惡意軟件狀態報告》中，選擇了五種威脅，他們認為這些威脅是2022年觀察到的一些最常見的惡意軟件家族的原型：

? LockBit勒索軟件

? Emotet僵尸網絡

? SocGholish網頁掛馬攻擊/過路式下載攻擊( drive-by download )

? Android木馬

? macOS Genio廣告軟件

該公司在報告中指出，“想要在2023年剩余的時間里保護業務正常運營，你需要明白一點：你將面臨的最危險的網絡威脅并非你所見過的最奇怪的攻擊，也非最復雜或最引人注目的攻擊，它們甚至并非最普遍的攻擊。相反地，這些最危險的威脅往往來自一系列已知的、成熟的工具和策略，整個網絡犯罪生態系統都依賴這些工具和策略，且每年從中獲利數十億美元。”

勒索軟件之王LockBit

去年，勒索軟件威脅形勢發生了巨大變化，像Conti這樣非常成功的團伙關閉了業務。這一空白很快被大量其他規模較小的組織填補。到目前為止，最突出的是LockBit，這是一家勒索軟件即服務(RaaS)公司，它迅速創新并吸引了大量的附屬機構。

附屬機構是地下網絡犯罪組織的雇傭兵。無論是單獨的黑客還是專業的個人團體，他們主要負責處理入侵的初始訪問和橫向移動等任務，然后部署與他們相關的勒索軟件程序，以獲得受害者支付的很大一部分贖金。同時，勒索軟件的開發者負責提供軟件本身、后端基礎設施，并處理與受害者的談判過程。

LockBit并非一種新型威脅，它自2019年以來就已經存在了，最初的名字是ABCD。在成立后的頭兩年里，它們在Maze、Ryuk和Conti等更大、更多產的組織面前可謂黯然失色，后者也成功地吸引了大部分黑客人才。但這種情況在2021年隨著LockBit 2.0的發布開始發生改變，并在去年LockBit 3.0推出時真正呈現爆發態勢。現在的整個附屬計劃進行了大量修改，使其對在Conti消亡后尋找工作的附屬機構而言更有吸引力。

Malwarebytes的研究人員稱，LockBit花了很多精力向附屬機構推銷自己，維護一個光鮮的暗網網站，搞公關噱頭，并為發現軟件缺陷的人支付漏洞獎金。它聲稱自己已擁有100個附屬機構。因此，如果其中一個被捕獲，LockBit的運營也不會中斷。

根據Malwarebytes的遙測數據顯示，LockBit是去年迄今為止最活躍的勒索軟件，受害者數量是第二活躍的勒索軟件ALPHV的3.5倍。總體而言，2022年三分之一的勒索事件涉及LockBit，該團伙索要的最高贖金為5000萬美元。LockBit的附屬機構旨在攻擊所有類型的企業——從小型律師事務所到大型跨國公司——并使用各種方法獲得初始訪問權限，從濫用弱遠程訪問憑據(RDP和VPN)，到利用面向公眾的系統的漏洞，再到帶有惡意附件的釣魚電子郵件。成功入侵目標后，便會銷毀備份并使用橫向移動技術獲得域管理訪問權。

惡意軟件研究人員表示，如果能夠理解并解決LockBit問題，你將大大降低企業受到任何勒索軟件攻擊的風險。

不朽的僵尸網絡Emotet

地下網絡犯罪的另一個大玩家是Emotet，作為一個僵尸網絡，它是其他惡意軟件家族的傳播平臺，包括近年來最多產的一些勒索軟件和木馬程序。

從2014年開始，Emotet經歷了多次迭代，最初是一個銀行木馬——一個專注于竊取網上銀行憑證的程序。當這一網絡犯罪分支變得不那么受歡迎時，僵尸網絡的所有者開始將目光轉向了惡意軟件的傳播。Emotet的模塊化架構使其非常靈活，易于定制不同的任務。

歐洲刑警組織曾將Emotet稱為“世界上最危險的惡意軟件”。2021年，包括美國、英國、加拿大、德國和荷蘭在內的多個國家的執法機構成功接管了該僵尸網絡的C2基礎設施。可惜的是，拆除的喜悅只是短暫的，Emotet很快得以重建，凸顯出它的彈性。

2022年11月，該僵尸網絡在中斷四個月后，以新的迭代形式回歸，每天分發數十萬封惡意電子郵件。使用電子郵件作為主要的傳遞機制，Emotet的創建者專門利用線程劫持和語言本地化等技術來發送垃圾郵件。最新的垃圾郵件活動將包含惡意宏的Excel文件與存檔一起分發。

部署后，Emotet將在系統中刪除額外的惡意軟件。在過去，它曾安裝與Ryuk勒索軟件有密切關系的另一個僵尸網絡TrickBot。在最近的攻擊中，可以看到僵尸網絡丟棄了XMRig加密程序和IcedID木馬，后者本身與其他惡意軟件家族有關。Emotet還會從安裝在電腦上的Outlook帳戶中竊取聯系人，并使用它們發送更多的垃圾郵件，并試圖破解網絡共享的密碼。

Malwarebytes的研究人員指出，“因為Emotet病毒會非常兇猛地感染和重新感染其他機器，所以從企業中刪除Emotet病毒可能是一項極其復雜和代價高的任務。例如，在賓夕法尼亞州阿倫敦市，一次錯誤的點擊便導致了病毒爆發，據報道花費了100萬美元才完成補救。”

就像LockBit是現代勒索軟件程序的原型一樣，Emotet也是僵尸網絡的原型，充當惡意軟件傳遞平臺，是進入企業網絡的初始訪問提供商之一。

SocGholish網頁掛馬攻擊十分活躍

網頁掛馬攻擊，也稱過路式下載攻擊(Drive-by download)，指的是通過網站而非電子郵件發送的惡意軟件威脅。在Java、Flash Player和Adobe Reader等瀏覽器插件的時代，這曾經是一種流行的技術，因為攻擊者可以利用這些插件的過時版本中的漏洞。然而，這種方法仍然在使用，即使它現在需要用戶交互和一點社交工程手段。

SocGholish是一種遠程訪問木馬(RAT)，用作惡意軟件加載程序。它通常是通過虛假的彈出窗口傳播的，這些彈出窗口會顯示在受攻擊的網站上，或者通過惡意廣告傳播。如果用戶接受了惡意的瀏覽器更新，他們通常會得到一個包含JavaScript文件的ZIP存檔。如果執行，該文件將對機器和網絡執行偵察，然后部署一些其他惡意軟件威脅，通常是勒索軟件。

Malwarebytes的研究人員警告稱，“SocGholish很簡單，但它利用了社交工程和目標指紋技術，其有效性足以危及知名公司，甚至關鍵的基礎設施。它的最終目標是傳播勒索軟件，這是一個需要認真對待的威脅。”

Android dropper

由于移動設備在任何公司的設備中都占了很大比例，Android的威脅不應被忽視。Android droppers是一種木馬程序，通常偽裝成合法應用程序或付費應用程序的免費版本，由第三方應用商店和用戶可能訪問的各種網站分發。

一般來說，在Windows上安裝它們不像安裝惡意軟件那么容易，因為用戶需要更改默認的安全設置并忽略警告，但在谷歌官方Play商店中也有惡意應用程序被發現的案例。這些dropper可用于部署其他威脅，如隱藏廣告、銀行木馬和竊取密碼、電子郵件、錄制音頻和拍照的應用程序。

Malwarebytes表示，在2022年，安卓系統檢測到的漏洞中，有14%是dropper。其他惡意軟件的傳播更為廣泛，但dropper對企業構成的威脅最大。

廣告軟件是Mac電腦上最普遍的威脅

與Windows相比，macOS惡意軟件生態系統要小得多，但威脅確實存在。其中最常見的一種是廣告軟件(adware)，即注入不必要廣告的應用程序。macOS上最古老的此類程序之一叫做Genio，用于劫持瀏覽器搜索。

就像Android dropper一樣，大多數macOS廣告軟件和惡意軟件一般都是作為虛假應用程序或更新分發的。Genio曾經偽裝成Flash Player更新或捆綁視頻編解碼器，最近它開始偽裝成PDF閱讀或視頻轉換應用程序。

一旦部署了Genio，就很難刪除，因為它非常積極地隱藏自己。它會模仿系統文件和屬于其他應用程序的文件，并使用代碼混淆。它還會向其他進程注入庫，利用系統缺陷授予自己權限，未經同意安裝瀏覽器擴展，并操縱用戶的密碼密鑰鏈。

Malwarebytes的研究人員表示，盡管Genio被歸類為廣告軟件，但它也包含了一系列類似惡意軟件的行為，旨在隱藏自己以進一步深入安裝它的計算機，穿透防御系統并危及安全。去年，在macOS上檢測到的威脅中，有10%是這種威脅。