根据 IT 安全公司 ReliaQuest 的威胁研究人员的说法,QakBot、SocGholish 和 Raspberry Robin 这三种恶意软件加载程序在 80% 的事件中造成了严重破坏。
恶意软件加载程序用作传递和执行其他形式恶意软件的工具,例如勒索软件、病毒、木马或蠕虫。它们是攻击者在网络攻击初始阶段投放有效负载的最常用工具之一。
ReliaQuest 研究人员观察了消费者环境中最常见的变体,发现自今年年初以来,仅三个恶意软件加载程序就造成了大部分事件。
恶意软件加载程序对于网络安全团队来说很棘手,因为即使加载的恶意软件相同,一个加载程序的缓解措施也可能不适用于另一个加载程序。
仅仅因为检测到恶意软件加载程序,并不意味着目标网络受到损害;在观察到的大多数情况下,恶意软件加载程序都会在杀伤链的早期被检测到并停止。但至关重要的是,不要忽视任何加载程序的威胁,尤其是三种最受欢迎的加载程序。
但我们对主犯 QakBot(QBot、QuackBot、Pinkslipbot)、SocGholish 和 Raspberry Robin 了解多少?
根据最近的趋势,这些加载程序很可能会继续对组织构成威胁。
QakBot 变化很快
QakBot 与Black Basta 勒索软件组织相关,被设计为银行木马,然后通过新功能进行升级,成为一种通用的常见恶意软件。
QakBot 用于允许对目标网络的初始访问,还提供远程访问有效负载、窃取敏感数据并帮助横向移动和远程代码执行。
通常,QakBot 通过网络钓鱼电子邮件进行传递,该电子邮件为收件人提供定制的诱饵,例如工作订单、紧急请求、发票、文件附件或超链接。有效负载以 PDF、HTML 或 OneNote 文件的形式下载。
QakBot 然后使用 WSF、JavaScript、Batch、HTA 或 LNK 文件,这些文件在执行时通常通过计划任务或注册表运行键建立持久性。
QakBot 运营商足智多谋,能够快速响应或改变其交付策略。这种恶意软件是一种不断发展的持续威胁,用于伺机针对任何行业或地区。
SocGholish,一个用户可以影响整个系统
SocGholish,也称为 FakeUpdates,伪装成合法的软件更新。此 JavaScript 恶意软件加载程序针对基于 Microsoft Windows 的环境,并通过偷渡式攻击(无需用户交互即可下载)进行交付。
广泛的受感染网站网络的访问者通常会通过过时的浏览器提示或 Microsoft Teams 和 Adobe Flash 的其他更新诱惑,被诱骗下载'更新'。
SocGholish 与总部位于俄罗斯的出于经济动机的网络犯罪组织 Evil Corp 有联系。典型的目标是住宿和食品服务、零售贸易和法律服务,主要在美国。
SocGholish 还与初始访问代理 Exotic Lily 存在联系,后者开展高度复杂的网络钓鱼活动,以获得初始访问权限并将其出售给勒索软件组织或其他威胁行为者。
SocGholish 运营商使用令人信服的社会工程策略,而意识对于最大限度地减少这种威胁至关重要。
其庞大的恶意软件分发网络在受感染的网站和社交工程上运行;只需四次用户点击就可以在几天内影响整个计算机系统域或网络。
Raspberry Robin 一位全能选手
Raspberry Robin 与各种强大的恶意组织(包括 Evil Corp 和 Silence (Whisper Spider))相关,是一种高度难以捉摸的蠕虫病毒加载程序,针对 Microsoft Windows 环境。
当 cmd.exe 在受感染的 USB 上运行并执行 LNK 文件时,通过恶意 USB 设备进行初始感染后,其卓越的传播能力就会发挥作用。
LNK 文件包含触发本机 Windows 进程的命令,例如 msiexec.exe,以启动出站连接以下载 Raspberry Robin DLL。
除了 Cobalt Strike 工具之外,Raspberry Robin 还被用来传播多种勒索软件和其他恶意软件变体,例如"Cl0p"、"LockBit"、"TrueBot"和"Flawed Grace"。
2023 年,Raspberry Robin 运营商的目标是金融机构、电信、政府和制造组织。
Raspberry Robin 是威胁行为者武器库中非常有用的补充,可以帮助建立最初的网络立足点并提供多种形式的有效负载。
如何防御恶意软件加载程序?
有几个步骤可以帮助最大限度地减少恶意软件加载程序的威胁。以下是 ReliaQuest 的建议:
配置 GPO(组策略对象)以将 JS 文件的默认执行引擎从 Wscript 更改为记事本,以及您认为合适的任何其他脚本文件。这将阻止这些文件在主机上执行。
阻止具有通常用于恶意软件传递的文件扩展名的入站电子邮件。
通过防火墙或代理配置限制公司资产与互联网进行任意连接,以最大程度地减少恶意软件和 C2 活动。
限制远程访问软件的使用,除非个人工作绝对需要;或者,加强监控以发现滥用行为。网络犯罪分子(尤其是 IAB 和勒索软件运营商)喜欢使用此软件来获取和维护对网络的访问。
禁用 ISO 安装,这是绕过防病毒或端点检测工具的日益可靠的方法。
实施 USB 访问控制和 GPO 以防止自动运行命令执行。如果业务条件允许,请考虑禁用任何可移动媒体访问。
培训员工识别网络上使用的社会工程策略,并为他们打开适当的渠道来报告可疑电子邮件或其他活动。