2020年第三季度恶意软件报告

Lazarus跨平台框架

攻击者正在不断开发自己的TTP（战术，技术和程序）和工具集。但是，多平台恶意工具集很少见，7月报告了Lazarus开发的多平台恶意软件框架。研究人员在2018年4月发现该框架的第一批样本（称为“ MATA”）。从那时起，Lazarus不断开发MATA， 现有适用于Windows，Linux和macOS操作系统的版本。

MATA框架由几个组件组成，包括加载器，协调器（一旦设备被感染，负责管理和协调进程），一个C＆C服务器和各种插件。

Lazarus已使用MATA渗透到世界各地的组织网络并从目标数据库中窃取数据。受害者包括软件开发商，互联网提供商和电子商务网站，在波兰，德国，土耳其，韩国，日本和印度都有其活动的迹象。

近年来，具有高针对性的勒索软件攻击一直在增长。攻击者从第三方恶意软件获得勒索软件服务，然后通过已建立的僵尸网络进行传播。

今年发现了一个与Lazarus APT组织有关的勒索软件家族。VHD勒索软件运行方式与其他勒索软件非常相似，它会加密受害者计算机上的文件，删除系统卷信息以防止数据恢复，暂停可能锁定文件的进程，例如Microsoft Exchange或SQL Server。传播程序包含特定受害者的管理凭据和IP地址列表，攻击者会在每台发现的计算机上暴力破解SMB服务。连接成功就会安装网络共享，并通过WMI调用复制并执行VHD勒索软件。

该恶意软件利用VPN网关来访问受害者系统，然后在受感染的计算机上获得管理权限，安装后门并控制Active Directory服务器。进一步的分析表明，后门是MATA框架的一部分。

WastedLocker

1月份发现攻击者使用WastedLocker对GPS和航空系统发起攻击，攻击导致某些系统被加密。

它包括一个命令行界面，攻击者可以使用它来控制指定目标目录并设置优先加密的文件， WastedLocker还具有Windows UAC绕过功能。WastedLocker使用AES和RSA算法组合来加密文件。

CactusPete Bisonal后门

CactusPete自2013年以来一直保持活跃状态。该组织针对日本，韩国，台湾和美国的军事，外交和基础设施，最近该组织将重点转向了亚洲和东欧组织。

该组织使用Bisonal后门新变种来窃取信息，在目标计算机上执行代码并在网络内横向移动，主要依靠鱼叉式网络钓鱼邮件进行传播。

Operation PowerFall

今年早些时候阻止了一起针对韩国公司的攻击，调查中发现了两个0day漏洞：Internet Explorer远程代码执行漏洞和Windows提权漏洞。受害者首先会被恶意脚本攻击，该脚本能够在Internet Explorer中运行，然后利用windows漏洞提权，攻击成功后攻击者会在目标网络上横向移动。

Transparent Tribe

Transparent Tribe是一个多产的攻击者，专门进行网络间谍活动，主要使用Crimson RAT，通过钓鱼邮件进行传播，调查期间发现了大约200个RAT样本。在2019年6月之后的一年中，有1000多名受害者，其主要目标是印度和巴基斯坦的外交和军事组织。

RAT包括一系列从受感染计算机中收集数据的功能。

还发现透明部落使用的新的Android恶意软件，用以监视移动设备。攻击者将其伪装成视频播放器和印度政府开发的Aarogya Setu COVID-19应用程序进行传播。

DeathStalker

8月报告了一个专门窃取商业机密的网络犯罪组织，该组织主要从金融科技公司，律师事务所和财务顾问窃取机密。已经在阿根廷，中国，塞浦路斯，以色列，黎巴嫩，瑞士，台湾，土耳其，英国和阿联酋看到了与其相关的活动。

该小组使用Powersing的PowerShell程序，利用钓鱼邮件进行传播。

恶意软件会定期截取屏幕，并将其发送到C2服务器。它还执行从C2服务器下载的其他PowerShell脚本。DeathStalker通过公共服务来伪装通信，例如公共帖子，评论，用户个人资料，内容描述等。

Tetrade

巴西拥有完整的地下犯罪组织，开发人员创建了许多银行木马，通常用于本地银行的客户。但是，巴西网络犯罪分子开始将攻击行动扩大到国外，目标是其他国家和银行。

巴西银行木马已经取得了长足的发展，黑客采用绕过检测技术，创建高度模块化和高度混淆的恶意软件，并使用了非常复杂的执行流程，使分析变得更加困难。银行木马家族通过使用DGA（域生成算法），加密有效载荷，DLL劫持，无文件感染以及其他阻碍分析和检测的技巧对木马进行更新研发。

流媒体攻击

随着流媒体电视服务的普及，家庭娱乐正在发生变化。到2024年，流媒体服务全球市场估计将达到6887亿美元。流媒体服务提供了潜在的攻击手段。例如，去年11月迪斯尼+推出后仅几小时，成千上万的帐户被黑客入侵，密码和电子邮件信息被更改，罪犯在网上以3至11美元的价格出售受感染帐户。

犯罪分子还利用人们对流媒体服务的需求来传播恶意软件。下图显示了在2019年1月至2020年4月8日期间，攻击者利用不同流媒体平台进行攻击的次数统计：

下图显示了在2019年1月至2020年4月8日之间以流行流媒体平台名义伪装的恶意程序类型分布：

数字教育面临的威胁

在线学习成为COVID-19之后的新趋势，但许多教育机构没有网络安全措施，在线教育面临较大网络攻击风险。6月17日，Microsoft Security Intelligence报告称，在过去30天内，770万恶意软件中教育行业占了61％。除恶意软件外，教育机构还面临着数据泄露和学生隐私泄露的风险。

2020年第一季度，与2019年同期相比，全球DDoS攻击总数增加了80％，其中很大一部分是对远程教育服务的攻击。

不可删除的广告软件

在某些情况下，由于广告软件已安装在系统分区中，尝试将其删除可能会导致设备故障。此外，广告可以在代码级别嵌入到不可删除的系统应用和库中。去年受到恶意软件或广告软件攻击的用户中，有14.8％的感染在系统分区中。

参考链接

securelist

精彩推荐

本文始发于微信公众号（FreeBuf）：2020年第三季度恶意软件报告