安天 “2024威胁通缉令”发布,看看都有哪些病毒上榜!
时间:2025年01月02日
随着新的一年到来,安天“威胁通缉令”发布更新版本。
自2011年起,安天CERT工程师依托年度监测分析统计结果,每年年初对上一年度有代表性的安全威胁进行提炼总结和分类整理,并印刷在一套扑克牌上,就成为了“威胁通缉令”。“红桃♥” “黑桃♠” “方块♦” “梅花♣” 4种花色分别对应上一年影响最大的4类威胁,同时每类威胁按照综合的评估原则,列出13个典型的具体威胁,大小王为上一年度最值得关注的TOP1和TOP2威胁。安天工作者们以威胁的名称、攻击手段、传播方式等特征作为基础,对其进行可视化的设计,从而让人们直观的感受到抽象的“威胁”所带来的威胁,理解安全工作者所带来的价值。
最新的威胁通缉令做了哪些更新?2024有哪些值得我们关注的威胁事件和病毒种类?如何加强有效防护?接下来一一揭晓。
▲ 2024威胁通缉令
梅花♣—特洛伊木马
梅花♣对应的是各类特洛伊木马,包括窃密、挖矿和远控等不同类型。2024年值得注意的是“游蛇”黑产团伙开发的SwimSnake木马。该黑产团伙主要通过即时通讯软件、搜索引擎SEO推广、钓鱼邮件等途径传播恶意文件,其传播的恶意文件变种多、免杀手段更换频繁且攻击目标所涉及的行业广泛。针对国内用户发起了大量攻击活动,以图窃密和诈骗,对企业及个人造成了一定的损失。
|
新增梅花牌号 |
病毒名称 |
发现时间 |
中文描述 |
|
Trojan/Win32.Qukart |
2004年 |
窃取用户信息的木马类程序,通过网络钓鱼等方式进行传播,监视用户的网络活动并窃取敏感信息,如登录凭证、用户数据等,具备传播其他木马程序的功能。 |
|
|
10 |
Trojan/Win32.Cosmu |
2009年 |
窃取用户信息的木马类程序,通过钓鱼邮件等方式进行传播,具备键盘记录、屏幕截图等功能,通过多种方式将窃取到的数据回传,造成受害者数据泄露。 |
|
9 |
Trojan/Win32.Remcos |
2016年 |
远程控制类木马程序,最初作为商业远程控制程序出售,攻击者通过网络钓鱼等方式进行传播,入侵至目标系统后建立远程控制,实现后续非法网络活动。 |
|
5 |
Trojan/MacOS.DarkMozzie |
2023年 |
“暗蚊”黑产团伙构造的MacOS平台下破解工具,受害者下载并执行含有恶意文件的工具,则会连接至攻击者服务器下载并执行远控木马。 |
|
3 |
Trojan/Win32.Blackmoon |
2014年 |
窃取用户信息的木马类程序,又名KRBanker,通过网络钓鱼和漏洞利用等方式进行传播,安装自动代理配置实现重定向银行账户登录页面,用以窃取登录凭证。
|
方块♦—勒索攻击
方块♦对应的是勒索攻击。据不完全统计,2024年有88个不同名称的勒索攻击组织通过Tor网站或Telegram频道等特定信息源发布受害者信息。这些组织发布的受害者信息涉及约5100个来自全球不同国家或地区的组织机构,覆盖多个行业,实际受害者数量可能远超这一数字。特别值得关注的是LockBit和RansomHub这两个勒索攻击组织,在2024年它们公布的受害者总数约为1100条,这一数字占到了全年勒索事件受害者总数的大约20%。
|
新增方块牌号 |
勒索软件名称 |
病毒名称 |
发现时间 |
中文描述 |
|
K |
RansomHub |
Trojan/Win32.RansomHub[Ransom] |
2024年 |
疑似Knight组织的品牌重塑,通过漏洞利用和非法获取访问凭证等方式实现入侵,具备定向攻击能力,采用“窃密+加密”双重勒索策略。 |
|
J |
Hunters |
Trojan/Win32.Hunters[Ransom] |
2023年 |
基于Hive勒索软件代码开发,通过漏洞利用、非法获取访问凭证和SharpRhino远控木马等方式实现入侵,具备定向攻击能力,采用“窃密+加密”双重勒索策略。 |
|
6 |
INC |
Trojan/Win32.INC[Ransom] |
2023年 |
通过CVE-2023-3519漏洞利用和非法获取访问凭证等方式实现入侵,利用多种工具实现内网传播,具备定向攻击能力,采用“窃密+加密”双重勒索策略。 |
|
5 |
BlackSuit |
Trojan/Win32.BlackSuit[Ransom] |
2023年 |
疑似Royal组织的品牌重塑,通过漏洞利用和非法获取访问凭证等方式实现入侵,利用C2下载多个工具实现恶意行为,具备定向攻击能力,采用“窃密+加密”双重勒索策略。 |
|
4 |
Meow |
Trojan/Win32.Meow[Ransom] |
2022年 |
基于Conti勒索软件代码开发,通过网络钓鱼、漏洞利用和非法获取访问凭证等方式实现入侵,具备定向攻击能力,采用“窃密+加密”双重勒索策略。 |
|
3 |
Cactus |
Trojan/Win32.Cactus[Ransom] |
2023年 |
通过网络钓鱼、Qlik与VPN设备相关漏洞利用和非法获取访问凭证等方式实现入侵,具备定向攻击能力,采用“窃密+加密”双重勒索策略。 |
|
2 |
DragonForce |
Trojan/Win32.DragonForce[Ransom] |
2023年 |
基于LockBit和Conti勒索软件代码开发,通过非法获取访问凭证的方式实现入侵,组合利用多种黑客工具实现恶意行为,采用“窃密+加密”双重勒索策略。 |
红桃♥—漏洞利用
红桃♥对应的是漏洞利用,一旦漏洞被发现,攻击者可以针对未修补的目标环境发动攻击。漏洞利用是攻击者将这些漏洞实现武器化的过程,通过漏洞实现初始访问、恶意代码执行等恶意行为。
2024年,网络安全漏洞的数量呈现出显著的增长态势,尤其是在云计算和物联网(IoT)领域;攻击方式与攻击来源更加多样化,攻击者越来越多地利用逻辑类和传输加密类的0day漏洞,以隐藏其攻击特征,并且更倾向于通过多个0day和Nday漏洞的组合利用,开发出工具以形成自动化攻击链;漏洞从披露到被利用之间的时间差明显缩短,而企业与机构在发现和修复这些漏洞上却需要花费较长的时间;漏洞修复不彻底的问题也愈发凸显;针对开源软件等供应链的攻击也在不断增加,而且一旦爆发,将对整个软件供应链产生深远影响。
|
新增红桃牌号 |
漏洞名称 |
CVE编号 |
发现时间 |
中文描述 |
|
A |
XZ-Utils代码植入 |
CVE-2024-3094 |
2024年3月 |
其广泛应用于Linux、Unix等系统中,其通过供应链被植入恶意代码,造成漏洞。攻击者可绕过SSH的认证获得未授权访问权限,执行任意代码。 |
|
K |
TCP/IP RCE漏洞 |
CVE-2024-38063 |
2024年8月 |
攻击者可利用该漏洞向目标设备发送特制的IPv6数据包即可触发远程代码执行,获取目标系统访问权限,对目标系统执行远程控制操作。 |
|
Q |
Outlook RCE漏洞 |
CVE-2024-21413 |
2024年2月 |
攻击者可以通过制作恶意链接,在编辑模式下绕过Office的保护打开文件或预览也可触发。将会造成泄露NTLM凭据或远程代码执行。 |
|
J |
WPS RCE漏洞 |
CVE-2024-7262 |
2024年8月 |
因对自定义协议处理程序的处理方式不当,攻击者可通过恶意URL在文档中执行外部应用程序。已被APT-C-60利用安装名为SpyGlace的后门程序。 |
|
10 |
MOVEit认证绕过 |
CVE-2024-5806 |
2024年6月 |
该漏洞是一个严重的认证绕过缺陷,它使得攻击者能够在没有任何有效凭证的情况下,来冒充服务器上的任何用户,获取对敏感数据的未授权访问。 |
|
9 |
VMware溢出漏洞 |
CVE-2024-38812 |
2024年9月 |
具有vCenter Server网络访问权限的攻击者可通过远程发送特制网络数据包来触发该漏洞,可执行任意代码或实现对服务器的权限获取进而完全控制。 |
|
8 |
Windows RDL RCE漏洞 |
CVE-2024-38077 |
2024年11月 |
Windows远程桌面许可服务未能正确验证解码后的数据长度与缓冲区大小之间的关系导致堆缓冲区溢出。攻击者通过发送恶意构造的数据包执行任意代码。 |
|
7 |
Wi-Fi驱动RCE漏洞 |
CVE-2024-30078 |
2024年6月 |
攻击者无需物理访问目标计算机,仅需要攻击者在目标的物理范围内通过WiFi发起攻击,获取周围使用Windows系统用户的隐私信息,甚至控制设备。 |
|
6 |
OpenSSH RCE漏洞 |
CVE-2024-6387 |
2024年7月 |
该漏洞是由于OpenSSH服务器中的信号处理程序竞争问题导致,未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码。 |
|
5 |
Ivanti EPM反序列化 |
CVE-2024-29847 |
2024年9月 |
未经身份验证的攻击者可利用该漏洞对目标系统执行远程代码攻击,从而控制受影响的系统,造成敏感信息泄露甚至获取系统权限等危害。 |
|
4 |
Rust命令注入 |
CVE-2024-24576 |
2024年4月 |
在Windows上使用Command API调用批处理文件时,Rust标准库没有正确的对参数进行转义。攻击者如能控制传递的参数,就可以通过绕过转义来执行任意的Shell命令。 |
|
3 |
Apache路径遍历 |
CVE-2024-36104 |
2024年6月 |
远程攻击者可以在未授权的情况下通过构造恶意请求绕过认证,进⽽访问系统中的敏感接口,造成任意代码执行,获取目标系统的敏感信息。 |
|
2 |
Fluent Bit RCE漏洞 |
CVE-2024-4323 |
2024年5月 |
攻击者可通过构造特殊请求,使服务崩溃或执行任意代码。该漏洞影响了Crowdstrike、趋势科技等网络安全厂商以及思科、英特尔、Adobe和戴尔等科技公司。 |
黑桃♠—APT攻击装备
“黑桃(APT攻击装备)”花色中的各APT组织在2024年展现了不同国家和地区在网络攻击中的复杂性与多样性。从美国NSA背景的方程式到朝鲜背景的Kimsuky和Lazarus,再到俄罗斯的奇幻熊与图拉,以及今年新出现的舒适熊和沙漠猎鹰,每个组织都有独特的攻击手段与目标,涉及范围广泛,涵盖政府、军事、学术、虚拟货币等多个领域。方程式组织通过QUANTUM系统与DoubleFantasy后门进行精准攻击,展示了其在全球网络战中的高效渗透能力。Kimsuky则持续在韩国学术界进行间谍活动,凸显其对信息战的深远影响。Konni通过AutoIt恶意软件的钓鱼邮件袭击虚拟货币行业,体现了其对金融和加密货币行业的关注。与此同时,俄罗斯背景的奇幻熊和图拉继续在地缘政治敏感地区发动网络攻击,尤其在外交事务中,显现出其网络渗透力和数据窃取能力。
|
新增黑桃牌号 |
组织名称 |
英文名称 |
发现时间 |
中文描述 |
|
4 |
舒适熊 |
Cozy Bear |
2013年 |
舒适熊是具有俄罗斯背景的APT组织,主要针对欧洲和北约成员国的政府发起攻击。2024年7月,舒适熊通过蒙古政府网站向iOS和Android用户发起水坑攻击。 |
|
3 |
沙漠猎鹰 |
Arid Viper |
2014年 |
沙漠猎鹰的攻击活动集中在中东,包括以色列的军事资产。2024年6月,沙漠猎鹰组织向埃及和巴勒斯坦目标发起基于AridSpy木马的Android间谍攻击活动。 |
|
2 |
透明部落 |
Transparent Tribe |
2016年 |
透明部落是巴基斯坦背景的APT组织,主要针对南亚次大陆发起攻击。2024年5月,透明部落组织针对印度政府、国防和航空航天领域发起攻击活动。 |
大小王
在2024年,我们对威胁通缉令中的“大王”和“小王”的牌型进行了调整,高级持续性威胁(APT)重新回归“大王”的位置,将2023年的勒索软件即服务及定向勒索攻击(RaaS+APT+Ransomware)调整为勒索威胁并列为“小王”。
回顾2024年的勒索威胁事件,攻击者更多依赖于APT水平的勒索攻击能力,他们利用勒索软件对特定目标实施有针对性的勒索攻击,形成了一种综合的威胁模式,这种模式通常包括加密、窃密、曝光和售卖等多个环节,每个环节都旨在增加受害者的紧迫感和支付赎金的压力。这种威胁模式的演化意味着勒索攻击已不仅仅是简单的勒索行为,标志着一种新型网络威胁生态系统的形成。
|
牌号 |
类别 |
中文描述 |
|
大王 |
高级持续性威胁(APT) |
APT是当前国家、企业和组织面临的最严峻的安全威胁。攻击者投入大量人力、财力和时间,综合运用社会工程学以及零日漏洞,进行目的明确的针对性攻击。 |
|
小王 |
勒索攻击 |
勒索攻击是由定向入侵、窃取数据、加密数据瘫痪系统、勒索金钱、挖掘数据关联价值二次利用、贩卖数据、公开窃取数据所构成的一条价值侵害链,已经形成一个规模极为庞大的犯罪产业。 |
受限于卡片的数量、更新频率、卡片版面的大小,感兴趣的用户很难深入了解威胁的行为机理、防御方案等信息。2023年9月,我们将威胁通缉令上线计算病毒百科virusview.net,用户在浏览威胁通缉令专题的时候,可以查看关联的威胁词条,进一步了解威胁的详细信息。2024版“威胁通缉令”已在安天官网-安天开放资料平台同步更新。