假如黑客也有饭圈，盘点过去一年间攻击者最pick的恶意软件

美国 络安全和基础设施安全局(CISA)和澳大利亚 络安全中心(ACSC)联合发布了安全公告。假如黑客也有饭圈，那么以下从多维度介绍了过去一年间攻击者中呼声高且利用率高的恶意软件。

2021年 最常见的恶意软件主要是远程访问木马(RAT)、银行木马、信息窃取程序和勒索软件。大多数恶意软件已经使用了五年多，各自的代码库演变成多种变体。

集体画像

Qakbot和TrickBot用于形成僵尸 络，由欧亚 络犯罪分子开发和运营，使用或代理支持僵尸 络访问来促进利润丰厚的勒索软件攻击。欧亚 络犯罪分子在俄罗斯和其他前苏联共和国享有宽松的运营环境。

TrickBot恶意软件通常会启用Conti勒索软件的初始访问权限，该勒索软件在2021年上半年被用于近450次全球勒索软件攻击。截至2020年，恶意 络行为者已多次购买受TrickBot恶意软件攻击的系统的访问权限，以进行 络犯罪行动。

2021年， 络犯罪分子利用Formbook、Agent Tesla和Remcos恶意软件开展了大规模 络钓鱼活动，这些恶意软件利用了新冠疫情流行为主题，以窃取企业和个人的个人数据和凭据。

在犯罪恶意软件行业，包括恶意软件即服务(MaaS)，开发人员创建恶意软件，恶意软件分发者通常会将其代理给恶意软件最终用户。这些常见的恶意软件的开发人员在几年内继续支持、改进和分发他们的恶意软件。恶意软件开发人员受益于利润丰厚的 络运营，负面后果风险较低。许多恶意软件开发人员通常在几乎没有法律禁止恶意软件开发和部署的地方开展业务。一些开发人员甚至将其恶意软件产品作为合法的 络安全工具进行营销。例如，Remcos和Agent Tesla的开发人员将该软件作为远程管理和渗透测试的合法工具进行营销。恶意 络行为者可以低成本在线购买Remcos和Agent Tesla，并且已观察到出于恶意目的使用这两种工具。

重点“ 选手 ”展示

Agent Tesla能够从邮件客户端、Web浏览器和文件传输协议(FTP)服务器窃取数据，还可以捕获屏幕截图、视频和Windows剪贴板数据。Agent Tesla可以在线购买，伪装成管理个人电脑的合法工具。开发人员继续添加新功能，包括模糊处理功能，和针对其他应用程序的凭据窃取功能。Agent Tesla自2014年开始活跃，是远程访问木马（RAT），通常作为 络钓鱼电子邮件中的恶意附件进行传播。

AZORult用于从受感染的系统中窃取信息，已在地下黑客论坛上出售，用于窃取浏览器数据、用户凭据和加密货币信息。AZORult的开发人员正在不断更新其功能。AZORult自2016年开始活跃，是特洛伊木马，通过 络钓鱼、受感染的 站、漏洞利用工具包、或通过下载和安装AZORult恶意软件来传播。

Ursnif是一种窃取金融信息的银行木马，也被称为Gozi，经过多年的发展，已经发展到包括持久性机制、避免沙箱和虚拟机检测、以及磁盘加密软件的搜索功能，以尝试提取未加密文件的密钥。截至2022年7月，Ursnif基础设施仍处于活跃状态。Ursnif自2007年开始活跃，是特洛伊木马，通常作为钓鱼邮件的恶意附件进行传播。

LokiBot是一种木马恶意软件，用于窃取敏感信息，包括用户凭据、加密货币钱包和其他凭据。2020年LokiBot变体被伪装成Fortnite多人视频游戏的启动器。Ursnif自2015年开始活跃，是特洛伊木马，通常作为恶意电子邮件附件进行传播。

MOUSEISLAND通常位于Microsoft Word文档的嵌入式宏中，并且可以下载其他有效负载。MOUSEISLAND可能是勒索软件攻击的初始阶段。Ursnif自2019年开始活跃，是宏下载器，通常作为电子邮件附件进行分发。

NanoCore用于窃取受害者的信息，包括密码和电子邮件，还可能允许恶意用户激活计算机的 络摄像头来监视受害者。恶意软件开发人员继续开发附加功能，作为可供购买的插件或恶意软件工具包在恶意 络行为者之间共享。NanoCore自2013年开始活跃，是远程访问木马，已在电子邮件中作为恶意ZIP文件中的ISO磁盘映像传播，也在云存储服务上托管的恶意PDF文档中发现。

Qakbot最初被视为银行木马，其功能已发展到包括执行侦察、横向移动、收集和泄露数据、以及交付有效负载。Qakbot也称为QBot或Pinksllot，本质上是模块化的，使恶意 络行为者能够根据自己的需要对其进行配置。Qakbot也可用于形成僵尸 络。Qakbot自2007年开始活跃，是特洛伊木马，可以通过电子邮件作为恶意附件、超链接或嵌入图像形式传递。

Remcos是一种合法的软件工具，用于远程管理和渗透测试。Remcos是Remote Control and Surveillance的缩写，在新冠疫情期间被恶意 络行为者利用进行大规模 络钓鱼活动，来窃取个人数据和凭据。Remcos在目标系统上安装后门，然后恶意 络攻击者使用Remcos后门发出命令并获得管理员权限，同时绕过防病毒产品、保持持久性、并通过将自身注入Windows进程作为合法进程运行。Remcos自2016年开始活跃，是远程访问木马（RAT），通常在钓鱼邮件中作为恶意附件传播。

TrickBot恶意软件通常用于形成僵尸 络或启用Conti勒索软件或Ryuk银行木马的初始访问权限。TrickBot由一群复杂的恶意 络行为者开发和运营，并已发展成为高度模块化的多阶段恶意软件。2020年， 络犯罪分子使用TrickBot攻击医疗保健和公共卫生部门，然后发起勒索软件攻击、泄露数据或破坏医疗保健服务。TrickBot的基础设施在2022年7月仍处于活跃状态。TrickBot自2016年开始活跃，是特洛伊木马，通常通过电子邮件作为超链接传递。

GootLoader是与GootKit恶意软件相关的恶意软件加载程序。随着其开发人员更新其功能，GootLoader已从下载恶意负载的加载程序演变为多负载恶意软件平台。作为加载程序恶意软件，GootLoader通常是系统入侵的第一阶段。通过利用搜索引擎，GootLoader的开发人员可能会破坏或创建在搜索引擎结果中排名靠前的 站，例如谷歌搜索结果。GootLoader至少自2020年开始活跃，是一款加载程序，可在搜索引擎结果排名靠前的受感染 站上下载恶意文件。

应对策略

CISA和ACSC建议关键基础设施组织采取以下缓解措施来应对潜在的 络威胁：

更新IT 络资产上的软件，包括操作系统、应用程序和固件。优先修补已知被利用的漏洞，以及允许在面向互联 的设备上远程执行代码或拒绝服务的严重和高危漏洞。

强制执行多因子身份验证，并要求使用密码登录的账户（包括服务账户）具有强密码。不允许密码跨多个账户使用，或将密码存储在攻击者可能有权访问的系统上。

维护数据离线备份，物理断开连接。应经常定期进行备份程序，至少每90天一次。定期测试备份程序，并确保备份与可能导致恶意软件传播的 络连接隔离。确保备份密钥也保持离线状态，以防止在勒索软件事件中也被加密。确保所有备份数据都是加密的、不可变的，即不能更改或删除，并涵盖整个组织的数据基础设施，特别关注关键数据资产。

提供终端用户意识培训，以帮助防止成功的有针对性的 会工程和鱼叉式 络钓鱼活动。 络钓鱼是勒索软件的主要感染媒介之一。员工了解潜在的 络威胁和交付方法。员工在收到可疑 络钓鱼电子邮件或怀疑 络事件时知道该做什么以及与谁联系。

根据角色和功能进行 络分段。通过控制各种子 络之间的流量和访问， 络分段有助于防止勒索软件的传播和威胁行为者的横向移动。例如跨国公司的澳大利亚部门受到勒索软件事件的影响，也影响到其控制范围之外的离岸分部维护和托管的资产。