Aggregator

Check Point 软件技术公司的最新威胁指数报告揭示了基于 AI 的勒索软件团伙 FunkSec 风头渐起，FakeUpdates 和 AgentTesla 威胁持续存在，网络犯罪手段在不断演进。

2025 年 1 月 – 网络安全解决方案先驱者和全球领导者 Check Point® 软件技术有限公司（纳斯达克股票代码：CHKP）发布了其 2024 年 12 月《全球威胁指数》报告，强调网络犯罪分子不断进行技术迭代。本月，利用人工智能 (AI) 的新兴勒索软件即服务 (RaaS) 运营组织 FunkSec 风头渐起，FakeUpdates 和 AgentTesla 等恶意软件家族威胁持续存在。

凭借先进的攻击手段，FunkSec 已成为头号双重勒索勒索软件团伙。仅在 2024 年 12 月，FunkSec 就公布了超过 85 家受害者，在数量上超过了其他团伙。但是，Check Point Research (CPR) 将其中许多泄露数据标记为回收数据或未经验证，这使人们对该团伙的可信性产生了怀疑。FunkSec 与阿尔及利亚有关，在经济利益的驱动下发起攻击。其 AI 辅助攻击策略表明，网络犯罪越来越多地使用先进技术。

在最猖獗的恶意软件威胁中，FakeUpdates 重登全球排行榜榜首，影响了全球 5% 的机构，紧随其后的是 AgentTesla (3%) 和 Androxgh0st (3%)。FakeUpdates（又名 SocGholish）是一种多功能下载程序，可引入其他恶意载荷；AgentTesla 继续瞄准敏感凭据。

Check Point 软件技术公司研究副总裁 Maya Horowitz 对此调查结果评论道：“最新网络犯罪趋势凸显了始终保持高度警惕并革新网络安全防护的重要性。各企业必须采取高级威胁防御措施，保护自身免受不断演变的复杂攻击。”

头号恶意软件家族

* 箭头表示与上月相比的排名变化。

1. ↑ FakeUpdates – 一种基于 JavaScript 的下载程序，全球 5% 的机构受到波及。它可引入其他恶意软件，从而加剧破坏。

2. ↑ AgentTesla – 一种用作键盘记录器和信息窃取程序的复杂 RAT，影响了 3% 的机构。

3. ↓ Androxgh0st – 一种利用物联网设备和 Web 服务器漏洞的跨平台僵尸网络，全球影响范围为 3%。

主要移动恶意软件

1. ↑ Anubis – 一种银行木马，具有针对 Android 设备的勒索软件功能。

2. ↑ Necro – 一种安装恶意软件并收取高级订阅费用的木马植入程序。

3. ↑ Hydra – 一种银行木马，在 Android 设备上利用高危权限来窃取凭证。

主要勒索软件团伙

勒索软件团伙此消彼长，仍是主要的网络安全威胁。来自勒索软件“羞辱网站”的数据显示，FunkSec 是 12 月份最猖獗的团伙，其攻击数量占所有已发布攻击的 14%。其他臭名昭著的团伙包括：

1. FunkSec – 借助 AI 和双重勒索手段，FunkSec 造成了更多的受害者。该团伙现已公布 85 家受害者信息，但数据可信度存疑。

2. RansomHub – RansomHub 别具破坏性，主要针对 VMware ESXi 等系统发起攻击，并采用复杂的加密方法。

3. LeakeData – LakeData 是一个运营透明 Web 数据泄漏网站 (DLS) 的新团伙，不仅发动勒索软件攻击，而且还会实施更广泛的勒索活动。

自 2024 年底起，IoT 僵尸网络的 C＆C 服务器便开始向日本及其他国家和地区发送大规模 DDoS 攻击命令。这些命令的目标涵盖了多家公司，其中不乏日本的大型企业与银行。

尽管目前无法确认直接联系，但一些目标组织反馈，在此期间出现了临时连接异常和网络中断的情况，而这些状况与观察到的攻击命令高度吻合。

物联网僵尸网络的新威胁聚焦日本

这个基于 Mirai/Bashlite 的僵尸网络利用 RCE 漏洞或弱密码来感染物联网设备。感染阶段包括下载一个脚本，该脚本会从分发服务器获取加载程序可执行文件。 

之后，加载程序使用专门的 User-Agent 标头从服务器成功检索实际的恶意软件负载，然后在内存中执行它。 

该恶意软件与 C＆C 服务器通信，以获取发起 DDoS 攻击（SYN Flood、TCP ACK Flood、UDP Flood 等）或将设备转变为代理服务器的命令。  

使用自定义 User-Agent 标头从分发服务器下载二进制文件的代码

它采用了多种规避技术，并通过镜像过去的 Mirai 僵尸网络行为来 停用阻止DDoS 攻击期间由高负载触发的系统重启的看门狗计时器。

它还操纵 iptables 规则来阻碍感染检测和 DDoS 攻击可见性。通过阻止 WAN 端 TCP 连接，它旨在防止交叉感染，同时保持内部管理访问。 

通过使用动态配置的 iptables 规则，恶意软件能够接收来自外界的 UDP 数据包，并通过隐藏其活动来抑制 TCP RST 数据包。

用于禁用看门狗定时器的恶意软件代码

2024 年 12 月 27 日至 2025 年 1 月 4 日期间观察到的 DDoS 攻击针对的是北美、欧洲和亚洲的组织，主要集中在美国、巴林和波兰。 

趋势科技的分析显示，不同目标地区的命令模式有所不同。针对日本目标的攻击经常使用“stomp”命令，而针对国际目标的攻击则更常使用“gre”命令。 

攻击主要集中在交通运输、信息通信、金融保险等领域。而国际攻击也主要集中在信息通信、金融保险行业，针对交通运输领域的攻击明显较少。 

目标行业

这些攻击背后的实施者表现出了适应性，并在实施初步防御措施后针对日本组织测试了“套接字”和“握手”等新命令。

恶意软件在初始化阶段设置的 iptables 规则

僵尸网络分析结果显示，共有 348 台设备遭到感染。受感染设备中，80% 主要是 TP-Link 和 Zyxel 等供应商生产的无线路由器，此外，来自海康威视的 IP 摄像机在受感染设备中也占了相当比例。

导致其被利用的因素包括默认设置的持久性、过时的固件和安全功能不充分，这些因素使攻击者能够轻易破坏这些设备并利用它们进行 DDoS 攻击和网络入侵等恶意活动。

针对 DDoS 攻击和物联网漏洞的缓解策略

为了减轻僵尸网络感染和 DDoS 攻击，请实施强大的安全措施。通过更改默认凭据、定期更新固件和分段物联网网络来保护物联网设备。 

同时，要严格限制设备的远程访问权限，对设备进行行之有效的管理，密切监控网络流量，一旦发现异常即刻响应处理。

针对 UDP 洪水攻击，可通过阻止特定的 IP 地址和协议来进行防范；还可以积极与服务提供商展开深度合作，共同应对风险；另外，加强路由器硬件的防护能力，也是减轻 UDP 洪水攻击影响的重要举措 。