Avast 2024年第一季度威胁报告 – Avast

近90%的阻挡威胁来自社交工程，显示诈骗活动激增，并揭露Lazarus APT行动的发现

前言

我们高兴地呈现2024年第一季度的最新报告，这段期间可谓百感交集。以下是一些亮点。

并非所有英雄都披著斗篷。就在几周前，开发者打击了一个运行超过两年的秘密威胁行动。这些威胁演奏者成功地在广泛使用的开源压缩库XZ/liblzma中插入了一个后门，但被Andres及时阻止。虽然这些威胁演奏者的身份仍不明，但他们行为的潜在影响可能是灾难性的——他们几乎获得了对任何运行被感染发行版的Linux机器的访问权。此事件引发了对开源代码安全性及其在关键系统和应用中的整合的重要问题。

社交工程攻击继续成为跨平台最大的威胁，并持续增加其占据的威胁份额。在移动设备领域，上一季度逾90%的被阻挡威胁源于诈骗及类似威胁类型。这一趋势在桌面平台上同样显著，87%的威胁落入相同类别。特别是诈骗活动的增长相当显著（移动端61%，桌面端23%），主要受到恶意广告及恶意推送通知激增的推动。某些地区，如乌克兰，受害风险几乎翻倍，凸显了这些恶意活动的全球影响。此外，诈骗作者正在部署越来越复杂的战术，包括使用深度伪造技术、人工智能操控的音频同步以及劫持流行的YouTube频道以散布欺诈性内容，提升财务损失的潜在风险。

约会诈骗同样在激增，特别是在北美和欧洲，其中中欧成为此类活动的热点。钓鱼攻击持续是个持久的威胁，在过去六个季度稳步增加。本报告中详述了普遍存在的钓鱼活动。

在桌面方面，我们发现由Lazarus集团策划的一个复杂的APT行动，他们针对亚洲的个人提供虚假的工作机会。此外，我们还发现并报告给微软，Windows驱动程序中有一个现场利用漏洞，该漏洞被此次行动中的一个复杂的根套件利用。此外，机器人网路活动也引起了我们的关注——Twizt机器人网路在此次更新中引入了暴力破解ServerMessage Block (SMB)
协议凭据的能力，并且恶意DDosia项目的扩展也备受关注。有趣的是，DDosia项目经常因不明个体的对策而面临频繁的停机。此外，我们成功协助乌克兰CERT修复了DirtyMoe机器人网路的问题。

作为一项服务的恶意软件（MaaS）窃取者，例如DarkGate和Luma，继续成为一个重大威胁。这些恶意演奏者利用各种机会部署社交工程策略来散布恶意软件。

2024年第一季度，勒索软件事件也出现了轻微的上升，尤其是LockBit勒索软件因其首次被执法单位突袭而成为新闻焦点，但不久后又重新出现。此外，我们的研究人员还发现了一种名为HomuWitch的新勒索软件变种，并迅速开发了解密工具以协助受害者。这一努力与我们之前创建的Rhysida解密工具相辅相成，后者仍然帮助Rhysida的受害者恢复他们的文件。

在远程访问木马（RAT）领域，执法单位成功打击了知名威胁，如WarzoneRAT，导致多名嫌疑人被捕。这一果断行动已经带来了明显的成果，正如我们的遥测数据所示。

在移动端，我们见证了几个有趣的发展，包括广告软件在PlayStore的回潮、MoqHao的出现——一个能够在受害者设备上自动启动的银行木马变种，还有GoldPickaxe的扩散，该木马试图偷取脸部识别生物识别数据以进行欺诈性支付。此外，国家赞助的间谍软件威胁公民的安全。

感谢您对Avast的持续信任。保持安全！

雅库布·克劳斯特克，恶意软件研究主管

方法论

本报告分为两大部分： 桌面相关威胁
，在此部分中，我们描述针对Windows、Linux和Mac操作系统的攻击情报，特别著重于网页相关威胁；和_移动相关威胁_，在此部分中，我们描述针对Android和iOS操作系统的攻击。

本报告中使用“ 风险比率
”来表示特定威胁的严重性。这是通过“被攻击用户数/特定国家活跃用户数”的月均值来计算的。除非另有说明，计算的风险仅针对每月活跃用户数超过10,000人的国家。

被阻挡的攻击定义为在指定时间范围内受保护用户与被阻挡威胁识别码的唯一组合。

精选故事：YouTube——钓鱼、恶意广告和加密诈骗的新战场

YouTube拥有25亿用户，已成为恶意广告的可信且重要目标。自动广告系统与用户生成内容的结合，为网络罪犯绕过传统安全措施提供了一条路径，让YouTube成为部署钓鱼和恶意软件的强大通道。该平台上的显著威胁包括如Lumma和Redline等凭证窃取者、钓鱼和诈骗登陆页面，以及伪装成合法软件或更新的恶意软件。此外，YouTube还作为流量分配系统（TDS）的媒介，将用户引导至恶意网站，支持从虚假赠品到投资计划的各类诈骗。

我们的网页扫描端点每天积极阻挡数千个HTTP请求，这些请求是从YouTube重定向而来的，当我们的用户观看内容时，这一活动反映出一个令人担忧的趋势：

• 400万 独特用户在2023年受到YouTube威胁的保护
• 大约50,000 独特用户每月在2024年第一季度受到保护

深度伪造视频在YouTube的兴起造成了显著风险，因为它们使得对人或事件的真实模仿变得愈加真实，误导了观众并传播虚假信息。在第一季度，我们观察到了多个被劫持的YouTube账号，被用来散布50多万订阅者的虚假加密视频（更多有关此主题的内容在诈骗部分进一步描述）。

威胁演奏者经常利用自动上传和搜寻引擎优化（SEO）毒化来增强有害内容的可见度。此外，虚假评论泛滥，欺骗观众，推广危险链接，并利用YouTube的算法和用户参与度来传播网络威胁。

YouTube被利用的方式多种多样。观察到的基本策略和程序（TTP）包括：

1. 针对创作者的钓鱼活动 ：攻击者将个性化电子邮件发送给YouTube创作者，提议虚假的合作机会。一旦建立起信任，他们会以合作所需软件的名义发送恶意链接，这通常导致窃取cookies或账号被侵犯。
2. 被妥协的视频描述 ：攻击者上传包含恶意链接的视频，伪装成与游戏、产品工具甚至杀毒软件相关的合法软件下载，诱骗用户下载恶意软件。
3. 频道劫持以扩散威胁 ：通过钓鱼或恶意软件控制YouTube频道，攻击者重新利用这些频道来推广各种类型的威胁，例如加密货币诈骗，通常涉及需要观众先存入金钱的虚假赠品。
4. 利用软件品牌和合法外观域名 ：攻击者创建模仿可信公司并提供不合法可下载软件的网站，利用用户的信任。
5. 通过视频内容进行社交工程 ：攻击者发布教程视频或诱人提供的破解软件，指导用户下载伪装成有用工具的恶意软件。此策略利用了用户寻求免费访问本应收费的服务或软件的愿望，利用YouTube的搜寻和推荐算法来锁定潜在受害者。

微策略公司联合创始人Michael Saylor在深度fake加密诈骗视频中

大卫·尤尔莎，恶意软件研究员
路易斯·科伦斯，安全传道者

桌面相关威胁

进阶持久性威胁（APTs）：Lazarus集团引发关注

进阶持久性威胁（APT）是一种网络攻击，由高度技术熟练和下定决心的黑客进行，他们拥有穿透目标网络并保持长期隐蔽存在的资源和专业知识。

我们发现了一个针对亚洲特定个体的Lazarus集团行动，使用虚假的工作机会。其具体目的尚不清楚，但这些攻击的针对性表明他们对拥有技术专长的个人表现了高度兴趣。我们怀疑这些技术熟练的个人可能与赌博或下注行业的公司有关联，这与Lazarus集团的经济动机是一致的。

我们认为Lazarus集团利用制作的工作机会获得了这些受害者的个人电脑访问权，而这些受害者也利用这些设备进行工作。攻击者可能在最初的入侵几天后意识到受害者可以访问他们的公司网络。因此，Lazarus使用了复杂的根套件技术来绕过一些安全措施和安全厂商。

这一做法反映了Lazarus集团历史上的行动策略，即利用易受攻击的驱动程序并应用先进的根套件技术来破坏安全系统并保持持久的访问。

在此特定情况下，Lazarus利用了标准Windows驱动程序appid.sys中的漏洞（CVE-2024-21338）来中和安全软件。该漏洞的进一步详细资料可以在我们的相关中找到。

这些攻击链的复杂性表明Lazarus在其规划和执行中投入了相当的资源。在执行攻击之前，Lazarus仔细准备，部署了无档案的恶意软件并直接加密其工具，详情可参见以及我们近期在Black Hat Asia2024大会上。

Lazarus集团的工具包与C
&C伺服器的通信

对受害者的精确且高度针对性的选择表明，在启动恶意软件之前，很可能需要建立某种程度的信任或联系。如此复杂的武器库部署，加上漏洞的利用，显示出重大的战略前瞻性和资源投入。

路易吉诺·卡马斯特拉，恶意软件研究员
伊戈尔·摩根斯特恩，恶意软件研究员

机器人（有趣的变化）

机器人是主要希望长期获取设备访问权的威胁，目的是利用其资源，无论是远程控制、垃圾邮件分发，还是拒绝服务（DoS）攻击。

从轻松一点开始，机器人网络领域的最大新闻是瑞士媒体《AarguaerZeitung》的一篇不幸报导，称有数百万台运行Java的牙刷进行了大规模的DDoS攻击。尽管考虑到一台连网的牙刷运行Java（其他还声称DDOS某个随机的瑞士网页）实在令人恐惧，但这篇报导随后被纠正为不准确的报导，并且并不存在像最初报导所述的那样一整个亲俄罗斯的牙刷军队。

现在，不幸的是，让我们转向更严肃的话题。在威胁景观的地缘政治方面，乌克兰的国有企业受到DirtyMoe的重大打击。由于我们对，CERT-
UA与我们取得了联系以协助他们修复问题。基于此次成功修复的经验，CERT-
UA发布了有关DirtyMoe的。

Twizt机器人网络在其更新中引入了一个新模组，为其性勒索活动提供了功能。此模组依赖于用户提供假冒的敏感信息，通常是声称从其设备或帐户中恢复的数据。在前者的情况下，威胁演奏者通常提到带RAT感染的设备，至于后者，信息通常包含假冒的发件人标头和密码，以给用户一种其邮件账户受到黑客侵扰的印象。然而，所有发送的信息都是虚构的，而密码很可能来自暗网中流通的某个泄露的密码数据库。

性勒索电子邮件提及受感染的设备

性勒索电子邮件包含一个密码和对RAT的参考

去年，Twizt开始暴力破解虚拟网络计算（VNC）凭据。在年初，他们转向暴力破解SMB凭据。同时，Twizt包含一个硬编码的用户名/密码组合列表，对随机生成的目标进行尝试。成功的身份验证会报告给其指挥控制（C&C）伺服器。

关于DDosia的常规故事在本季度有一个非常意外的转折。假设某人正积极针对DDosia的C&C基础设施，导致前往真实C&C伺服器的代理伺服器交替出现多重宕机。这导致了外层的快速基础设施更改，随著每个新的代理C&C大约存在2天便无法使用。由于在C&C宕机的情况下缺乏客户端更新机制，这迫使项目所有者每几天便需生产新的客户端。随后，他们开始只通过私人信息分发新的客户端，显然是为了减少信息曝光。

被DDosia针对的顶级域名分布

DDosia的Telegram群组发布的目标

此需手动更新每次更新的DDosia二进制文件加上频繁的C&C宕机导致其攻击影响显著下降，这也在该项目的Telegram频道引发了激烈的反弹，“爱国活动者”们开始抱怨这些问题严重影响了他们的现金流。

这在2月19日尤为明显，当时八个代理C&C因五天的宕机而被关闭。甚至在这之后，他们也无法恢复到先前的效力。在2024年第一季度，唯一的高峰出现在3月底，当时DDosia针对与卢森堡政府相关的服务。尽管成功的目标数似乎相当高，但实际上只针对了由3个IP地址托管的基础设施，并有许多子域名。这些剧变由于3月7日转移至称为“DDoSiaProject”的另一个Telegram群组而画上了句号，原先的群组被删除。
截至那时，原始群组仍在增长，最终达到约20,000名成员，而新群组仅以约12,000名成员启动，但随后的趋势却逐渐下降。

DDosiaTelegram群组成员

虽然在上个季度，DDosia主要集中于银行，但在2024年第一季度，DDosia主要针对各行业联盟、法院、新闻机构、CERT和运输物流公司。其潜在逻辑仍主要是发现与反对俄国利益的国家内的目标。

在整个机器人网络景观的趋势方面，许多主流变种已经停滞不前。不过，我们见证了几个更大变化的出现，包括BetaBot活动提升了13%。另一方面，其他大多数变种似乎正在减少，以下变种的降幅最大：Pikabot（-48%）、Tofsee（-31%）、MyKings（-21%）和Dridex（-21%）。

_2024年第一季度机器人在Q4/2023和Q1/2024的全球风险比率。

阿道夫·斯特雷达，恶意软件研究员

币挖掘器持续下降

币挖掘器是利用设备硬件资源来验证加密货币交易并获得加密货币作为报酬的程序。然而，在恶意软件的世界中，币挖掘器悄无声息地劫持受害者的计算机资源，以为攻击者产生加密货币。无论币挖掘器是否合法或恶意，遵循我们的 依然重要。

在上一季度，我们观察到币挖掘器的流行程度持续下降。这一下降趋势在2024年第一季度持续，风险比率减少了28%。这一减少是由于XMRig币挖掘恶意软件的份额略微下降，而在上一季度却旺盛增长。然而，几乎所有其他主流币挖掘器的活跃度实际上在增长，从而扩大了其份额。

_2024年第一季度币挖掘器的全球风险比率。

在过去一季度的美国和土耳其激增之后，局势略有平息，这两国的风险比率分别下降了39%。根据我们的数据，印度（22%）、埃及（19%）和巴基斯坦（13%）的降幅比率更大。总体来看，获得币挖掘器感染的最高风险仍在马达加斯加（2.18%风险比率）、土耳其（1.47%）、巴基斯坦（1.35%）和埃及（1.14%）。

在下面的图中，我们可以看到币挖掘活动的稳步减少。

_2024年第一季度在我们用户中币挖掘器的每日风险比率。

长期以来最受欢迎的币挖掘器XMRig在这季度的币挖掘恶意软件份额下降了6%。然而，它仍占据60%的总份额。所有其他主流币挖掘器的活跃度有所提升，包括Web挖掘器（5%增长）、CoinBitMiner（24%）、FakeKMSminer（37%）等等。另一方面，SilentCryptoMiner此次损失了58%的市场份额。

在2024年第一季度最常见的币挖掘器及其恶意软件份额为：

• XMRig（59.53%）
• Web挖掘器（20.20%）
• CoinBitMiner（2.67%）
• FakeKMSminer（2.03%）
• NeoScrypt（1.75%）
• CoinHelper（1.05%）
• VMiner（0.86%）
• SilentCryptoMiner（0.84%）

雅各布·鲁宾，恶意软件研究员

信息窃取者依然以AgentTesla为主导

信息窃取者专注于从受害者的设备中窃取任何有价值的东西。通常，它们集中在存储的凭证、加密货币、浏览器会话/ Cookies、浏览器密码和私人文件等方面。

AgentTesla，零星的最流行的信息窃取者，依然通过电子邮件活动攻击用户。
以捷克作为目标，透过恶意附件散播窃取者。

带有AgentTesla的电子邮件附件

，明确针对墨西哥用户，是信息窃取者领域的新来者。该恶意软件相当先进且多模组，包含许多技术，如Heaven’sgate等。它还引入了许多防止在沙盒中执行和适当调试的技巧。

恶意软件即服务（MaaS）窃取者仍在蓬勃发展，随时寻找新方式进行分发。例如，DarkGate已被透过MicrosoftTeams进行散播，使用钓鱼手段。此外，从更技术的角度来看，DarkGate还 Microsoft WindowsSmartScreen（CVE-2024-21412）。

我们还观察到了透过分发DarkGate，其结合加密货币和WebDAV伺服器进行交付。恶意软件的传递是透过InternetShortcut链接（.URL文件），其从opendir下载内容。

_导致DarkGate部署的PDF
(__

另一方面，LummaStealer，另一个MaaS窃取者，继续通过，使用虚假教学来误导受害者。这进一步强调了这类变种及其创作者总是利用社交工程机会来分发恶意软件。

在macOS平台上，AtomicStealer，也称为AMOS，在2024年第一季度的事件上持续上升。这种通常进行混淆的恶意软件以窃取密码、加密货币钱包和Cookies而闻名。它通常通过伪造应用程序或毒害Google广告进入系统。这一威胁的多个世代的存在表明，它可能在未来持续存在，而其在年初因恶意广告活动而出现。

至于Linux，Python信息窃取者是普遍存在的变种，包括已知的恶意软件家族，如Spidey、Creal、Wasp或PirateStealer。此外，在本季度中，我们发现了一种名为的新恶意软件，编写于C++，其是通过嗅探HTTP流量来窃取密码，而不是从磁碟中盗取。

统计数据

整体来看，2024年第一季度的信息窃取风险比率较上一季度下降了8%。然而，许多热门的窃取者的覆盖范围进一步扩大，包括AgentTesla、Stealc、Fareit和ViperSoftX。

_我们用户中关于信息窃取者的每日风险比率在2024年第一季度。

在我们观察到的涉及信息窃取者的风险比率的各个国家中，拥有更显著用户基础的国家在活动上也有幸较上一季度下降：

• 土耳其（2.29%）下降23%
• 巴基斯坦（2.05%）下降11%
• 埃及（1.78%）下降10%

另一方面，我们也观察到墨西哥和捷克的活动增加，这与上述TimbreStealer和AgentTesla活动有关，风险比率分别上升25%和14%。

_2024年第一季度信息窃取者的全球风险比率。

根据我们的数据，AgentTesla是最常见的信息窃取者，其恶意软件份额提高了17%。其活动主要针对中欧以及北美和南美。由于此，AgentTesla现在占有相当重要的30.31%恶意软件份额。值得注意的是，几乎所有大型信息窃取者的活动都有所提高，包括Fareit（34%增长）、Stealc（33%）、ViperSoftX（28%）和Azorult（14%）。FormBook的份额下降了32%，而Lokibot则下降了50%，这平衡了信息窃取者整体活动的局势。

2024年第一季度最常见的信息窃取者及其恶意软件份额如下：

• AgentTesla（30.31%）
• Fareit（7.55%）
• FormBook（6.92%）
• RedLine（4.37%）
• Stealc（2.81%）
• ViperSoftX（2.28%）
• Azorult（1.93%）
• ClipBanker（1.72%）
• Raccoon（1.56%）
• Lokibot（1.41%）
• Rhadamanthys（1.36%）

雅各布·鲁宾，恶意软件研究员
大卫·阿尔瓦雷斯，恶意软件分析员

勒索软件：抵抗反击

勒索软件是一种扩张性恶意软件。最常见的子类型是对文件（如文档、照片、视频、数据库等）进行加密。这些文件在未经解密的情况下变得无法使用。为了解密文件，攻击者要求支付钱，“赎金”，这也是勒索软件的名称由来。

LockBit事件

在中，我们讨论过新的勒索软件攻击。LockBit是最主要的勒索软件变种之一，它以未减少的强度进行加密和勒索攻击。

由于LockBit的恶名，关于它在2024年第一季度的短暂降服事件备受公众注目。2月19日，的行动宣布，该行动是来自10个国家执法机构的联合行动。在此次行动中，FBI成功侵入了LockBit的基础设施，并发布了公共解密器。以下是围绕该行动的时间表：

• 2月19 : 揭露了运行Cronos的行动。LockBit泄露网站被相关执法机关的登陆页取代：

• 主要面板转变为由当局增加的版本，抨击勒索软件操作员的罪行：

• 2月20 : ，还有其他几个人因涉及LockBit操作而被起诉。
• LockBit 关于此次攻击
• 四天内，没有提到LockBit勒索软件的新受害者
• 2月24 : LockBit曾发布的一则长篇信息由公布。这条消息解释了发生了什么并质疑执法机构的成功。作者的消息中提到他的某些_伺服器运行的是旧版PHP，因而容易受到的攻击。
• 2月25 : LockBit泄露网站恢复，上面显示FBI成为受害者之一的说明。此外，来自的信息也重新上传。请注意，富尔顿县政府据称于2月14日被LockBit攻击，并在LockBit的信息中提到泄露数据是FBI在阻止行动而非默默观察伺服器及不断窃取LockBit的数据的原因。

• 2月26 : LockBit操作员恢复了其网络攻击，并。不，这不是个幸福的结局（迄今为止）。

使用1000个被没收的加密钥匙的解密工具。这些加密钥匙的意义受到LockBit操作员本人质疑，他说（引文）“
请注意，绝大多数无保护的解密器来自那些对拒绝服务器进行强力攻击的合作伙伴，对单一计算机加密，索取2000美元赎金
”（引文结束）。受LockBit勒索软件攻击的用户可以使用该工具来检查他们的数据是否可以使用被塞入的加密键之一进行解密。

另一个与LockBit相关的事件是在2024年初，展示了某些勒索软件运作模式。在LockBitSupp获得一家不明公司访问权，对其数据进行加密并获得赎金，然后提供对网络的访问。

这一小事件表明勒索软件操作员如何进入公司：

1. 勒索软件操作员“购买访问权”，这意味著获取有关公司的信息、漏洞及侵入其网络的方法。
2. 然后操作员制作公司网络布局，最终部署勒索软件。
3. 当受攻击的公司支付赎金时，“访问权出售者”也会因为访问获益。

勒索软件解密器

作为对抗勒索软件持续战斗的一部分，Avast推出了两个勒索软件解密器：HomuWitch和Rhysida。

HomuWitch

HomuWitch是一个自2023年7月以来一直保持低调的勒索软件，因为其针对终端用户的赎金需求较小（25-75美元）。查找盗版软件是最常见的感染途径——用户下载的不是期望的软件，而是SmokeLoader后门，进而安装恶意加载器为勒索软件有效负载。

与大多数勒索变种专注于文件加密不同，HomuWitch还进行压缩，因此加密文件比其原始文件小。执行HomuWitch后，它会搜索本地驱动器和用户文件夹（图片、下载、文档）。所有感兴趣的文件（.pdf、.doc、.docx、.ppt、.pptx、.xls、.py、.rar、.zip、.7z、.txt、.mp4、.JPG、.PNG、.HEIC、.csv）会被加密并重命名为.homuencrypted
扩展名：

，我们发现了一个允许受影响的用户免费恢复文件的漏洞。我们释出了可在下载的免费解密器。

Rhysida

Rhysida是另一种勒索变种，被免费解密工具击败。该勒索软件自2023年5月以来活跃，专注于企业行业。在夏季，我们发现这种勒索软件变种可在不拥有私密RSA密钥的情况下被解密，因此我们一直在帮助遭到Rhysida勒索软件攻击的人。

2024年2月，韩国研究人员也并公开发布了。公开发布有关漏洞的详细信息总是令人感到遗憾——我们希望其他恶意软件研究人员不世而无odov而是专注于帮助受到勒索软件攻击的人们。

随著漏洞详细信息的公开，我们也释出了在及作为的一部分提供的免费解密工具。

统计数据

在我们用户中最普遍的勒索变种如下面所列。与LockBit、Akira或BlackCat这类更流行的威胁相比，你很少在媒体上读到它们——因为这些变种并不是攻击大型公司并勒索数百万美元赎金，而是集中于个别用户或小型企业，要求的赎金一般也在几千美元范围内。

• WannaCry（21%的勒索软件份额）
• Enigma（12%）
• STOP（12%）
• Mallox（又名TargetCompany）（3%）
• DarkSide（2%）
• Cryptonite（1%）

与上一季度相比，我们用户中的总体勒索风险比率显示出上升。在2024年3月，情况开始升级：

每个国家的勒索风险比率在下图中展示。我们注意到保加利亚、日本、捷克和匈牙利的风险比率显著上升，其中风险比率较上一季度增长了两倍