主要恶意软件家族

箭头表示与上月排名相比的变化。

1. ↔ FakeUpdates—FakeUpdates（又名 SocGholish）是一种于 2018 年首次发现的下载器恶意软件。它通过被入侵或恶意网站的驱动下载传播，诱导用户安装虚假的浏览器更新。FakeUpdates 恶意软件与俄罗斯黑客组织 Evil Corp 有关，在初始感染后用于投放二次攻击载荷。

2. ↑ Formbook – Formbook 于 2016 年首次发现，是一种主要针对 Windows 系统的信息窃取恶意软件。该恶意软件可从各种网络浏览器中获取凭据、收集屏幕截图、监控和记录键盘输入，并能下载和执行额外的攻击载荷。它通过钓鱼活动、恶意电子邮件附件和被入侵的网站传播，常伪装成合法文件。

3. ↑ Remcos—Remcos 是一种远程访问木马（RAT），首次出现于 2016 年。它通常通过钓鱼活动中的恶意文档传播。它被设计用来绕过 Windows 安全机制（如 UAC），并以提升的权限执行恶意软件，这使其成为威胁行为者的多功能工具。

4. ↓ Androxgh0st—AndroxGh0st 是一种基于 Python 的恶意软件，它针对使用 Laravel PHP 框架的应用程序，通过扫描暴露的 .env 文件来获取敏感信息，如 AWS、Twilio、Office 365 和 SendGrid 等服务的登录凭据。它通过僵尸网络识别运行 Laravel 的网站并提取机密数据。一旦获得访问权限，攻击者可以部署额外的恶意软件，建立后门连接，并利用云资源进行加密货币挖矿等活动。

5. ↔ AsyncRat – AsyncRAT 是一种针对 Windows 系统的远程访问木马（RAT），于 2019 年首次发现。它将系统信息泄露给命令和控制服务器，并执行下载插件、终止进程、捕获屏幕截图和自我更新等命令。它通常通过钓鱼活动传播，用于数据窃取和系统入侵。

6. ↑ SnakeKeylogger—Snake 是一种模块化的 .NET 键盘记录器和凭据窃取工具，首次发现于 2020 年 11 月底。其主要功能是记录用户的键盘输入并将收集的数据传输给威胁行为者。Snake 感染对用户的隐私和在线安全构成重大威胁，因为该恶意软件可以窃取各种敏感信息，且具有较强的规避性和持久性。

7. ↑ Phorpiex—Phorpiex（又名 Trik）是一个自 2010 年以来一直活跃的僵尸网络，主要针对 Windows 系统。在鼎盛时期，Phorpiex 控制了超过一百万台受感染的主机。Phorpiex 以通过垃圾邮件活动传播其他恶意软件家族（包括勒索软件和加密货币挖矿器）而闻名，并参与过大规模的性勒索活动。

8. ↓ Rilide – Rilide 是一种针对 Chrome、Edge、Brave 和 Opera 等基于 Chromium 的浏览器的恶意扩展。它伪装成合法的 Google Drive 扩展，使威胁行为者能够监控浏览历史、截取屏幕画面，并注入恶意脚本以从加密货币交易所提取资金。值得注意的是，Rilide 可以模拟对话框诱骗用户泄露双因素认证（2FA）详情，从而促成未经授权的加密货币交易。其传播方式包括恶意的 Microsoft Publisher 文件和诱导性的 Google 广告，这些广告推广虚假的软件安装程序。

9. ↑ Amadey – Amadey 是一个于 2018 年出现的模块化僵尸网络，主要针对 Windows 系统。它既是信息窃取工具又是恶意软件加载器，具备侦察、数据窃取和部署额外攻击载荷（包括银行木马和 DDoS 工具）的能力。Amadey 主要通过 RigEK 和 Fallout EK 等漏洞利用工具包传播，也通过钓鱼邮件和 SmokeLoader 等其他恶意软件传播。

10. ↓ AgentTesla—AgentTesla 是一种高级远程访问木马（RAT），具有键盘记录和密码窃取功能。自 2014 年活跃以来，AgentTesla 可以监控和收集受害者的键盘输入和系统剪贴板内容，记录屏幕截图，并窃取受害者机器上安装的各种软件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端）的凭据。AgentTesla 公开作为合法的 RAT 销售，客户需支付 15-69 美元的用户许可费。

主要移动恶意软件

本月，Anubis 位居最普遍移动恶意软件的第一位，其次是 AhMyth 和 Necro。

1. ↔ Anubis – Anubis 是一种多功能银行木马，最初针对 Android 设备，已发展出先进功能，如通过拦截基于短信的一次性密码（OTP）来绕过多重认证（MFA）、键盘记录、音频录制和勒索软件功能。它经常通过 Google Play 商店的恶意应用程序传播，已成为最普遍的移动恶意软件家族之一。此外，Anubis 还包括远程访问木马（RAT）功能，能够对受感染系统进行广泛的监视和控制。

2. ↑ AhMyth – AhMyth 是一种针对 Android 设备的远程访问木马（RAT），通常伪装成屏幕录制器、游戏或加密货币工具等合法应用。一旦安装，它获得广泛权限，可在重启后持续存在，并窃取敏感信息，如银行凭据、加密货币钱包详情、多重认证（MFA）代码和密码。AhMyth 还支持键盘记录、屏幕捕获、摄像头和麦克风访问以及短信拦截，使其成为数据窃取和其他恶意活动的多功能工具。

3. ↓ Necro – Necro 是一种恶意的 Android 下载器，根据其创建者的命令在受感染设备上获取和执行有害组件。它已在 Google Play 上的多个热门应用和非官方平台上修改版的 Spotify、WhatsApp 和 Minecraft 等应用中被发现。Necro 可以向智能手机下载危险模块，实现显示和点击隐形广告、下载可执行文件和安装第三方应用等操作。它还可以打开隐藏窗口运行 JavaScript，可能使用户订阅不想要的付费服务。此外，Necro 可以通过受感染设备重新路由互联网流量，使其成为网络犯罪分子代理僵尸网络的一部分。

全球受攻击行业排名

本月，教育行业位居全球受攻击行业首位，其次是政府和电信行业。

1. 教育
2. 政府
3. 电信

主要黑客组织

1. Clop – Clop 是一种自 2019 年起活跃的勒索软件，针对全球各行业，包括医疗保健、金融和制造业。源自 CryptoMix，Clop 使用 .clop 扩展名加密受害者文件，并采用"双重勒索"策略，威胁泄露被窃数据除非支付赎金。作为勒索软件即服务（RaaS）模式运营，Clop 利用漏洞、钓鱼和其他方法入侵系统，关闭 Windows Defender 等安全防御，并与高调攻击事件有关，如 2023 年利用 MOVEit 文件传输软件漏洞。

2. FunkSec – FunkSec 是一个新兴的勒索软件组织，首次出现于 2024 年 12 月。他们的数据泄露网站（DLS）将勒索软件事件报告与数据泄露混合在一起，导致报告的受害者数量异常高。然而，这些报告的准确性尚未得到验证，其受害者名单包含许多来自其他威胁行为者公布的重复内容。

3. RansomHub – RansomHub 是一个勒索软件即服务（RaaS）组织，是之前已知的 Knight 勒索软件的重新品牌版本。在 2024 年初的地下网络犯罪论坛中崭露头角，RansomHub 因其针对各种系统（包括 Windows、macOS、Linux 和 VMware ESXi 环境）的激进活动而迅速声名狼藉。这种恶意软件以采用复杂的加密方法而闻名。

4. Lazarus Group - 拉撒路组织（Lazarus Group）是朝鲜国家支持的高级持续性威胁（APT）组织之一，以间谍活动、金融盗窃和破坏性攻击而臭名昭著。该组织隶属于朝鲜侦察总局（RGB），自至少2009年以来一直活跃，执行与朝鲜战略和财务目标一致的行动。与许多仅专注于情报收集的APT不同，拉撒路组织优先考虑经济利益，实施大规模的网络盗窃、勒索软件活动和加密货币窃取。

5. Kimsuky - 又名APT43，是一个自2013年以来一直活跃的朝鲜网络间谍组织。该组织主要针对韩国、美国和欧洲，专注于情报收集，特别是在政治和军事领域。

6. Cozy Bear -又名APT29，是一个与俄罗斯对外情报局 (SVR) 有关联的俄罗斯网络间谍 APT组织。该组织自 2008 年以来一直活跃，以针对美国和欧洲的政府、外交机构和关键行业而闻名。

7. Star Blizzard - 以前称为SEABORGIUM 和 Callisto Group，是俄罗斯政府支持的 APT，与联邦安全局 (FSB) 有关。该组织至少自 2019 年以来一直活跃，针对北约国家、智库、国防实体、学术界、非政府组织和政府组织开展长期间谍活动。Star Blizzard 以其高度针对性的鱼叉式网络钓鱼攻击而闻名，使用社交工程、虚假域名和电子邮件模仿来渗透高价值目标。

8. APT28 - 又名Fancy Bear、STRONTIUM、BlueDelta 和 Forest Blizzard，是一个由俄罗斯政府支持的 APT组织，与俄罗斯军事情报机构 (GRU) 有关联。该组织针对欧洲、中亚和北美的政府机构、国防承包商和关键基础设施开展了网络间谍活动。2024 年，APT28 加强了行动，部署了新的恶意软件毒株并利用漏洞渗透高价值网络。

结论

网络威胁环境日益复杂和动态，恶意软件继续给全球组织带来重大挑战。此类威胁的持续性和复杂性凸显了实施强大网络安全措施和保持持续警惕的必要性。随着攻击者不断改进其技术——利用先进的混淆、AI 辅助编码和利用性策略——企业和个人必须优先考虑网络、教育和实施全面的安全协议。通过了解当前的恶意软件趋势并及时了解新兴威胁，组织能够在不断发展的数字环境中更好地保护其资产并降低风险。