各种各样的恶意软件已经无处不在，旧的恶意软件家族在不断变种，新型的恶意软件家族又不断涌现，基于全球主流的几大公开的样本沙箱平台以及各大安全厂商发布的安全分析报告，笔者给大家整理了2022年全球最流行的一些恶意软件家族，同时笔者将这些家族进行了相关分类，主要分为以下八类：

1.BOT类，该类恶意软件主要作为载体传播安装其他恶意软件家族，同时也会收集窃取一些信息，此前有一部分银行木马类家族，发展演变成这类家族，比较典型的家族有：Emotet、QakBot(QBot)、IcedID、TrickBot、Ursnif(Gozi)、Dridex、Ursnif、Tofsee、Bumblebee、Glupteba、Phorpiex、DanaBot、Hancitor等

2.Loader类,该类恶意软件与BOT类型的差不多，主要用于加载其他恶意软件，比较典型的家族有：GuLoader、ZLoader、SmokeLoader、BuerLoader、AmadeyLoader、BazarLoader、Matanbuchus Loader、batLoader、GraceWireLoader、PureCrypter、PrivateLoader、ChromeLoader、Gootkit Loader、PureCrypter Loader等

3.RAT类，该类型恶意软件主要用于入侵企业之后，远程监听控制企业，获取企业的重要数据，比较典型的家族有：NanoCore RAT、Quasar RAT、DarkComet RAT、WSH RAT、NjRAT、Remocs RAT、NetWire RAT、Warzon RAT、OrcusRAT、DcRAT、Gh0stRAT、Borat RAT、Crimson RAT、AsyncRAT、BitRAT等

4.Stealer类，该类恶意软件主要窃取受害者相关信息，并将这些信息卖给其他黑客组织进行获利，其他黑客组织再利用这些信息进行深入的攻击，同时也可以通过这些恶意软件家族传播其他恶意软件家族等，比较典型的家族有：Raccoon、Vidar、RedLine、Mars、Arkei、Pyrnt、StormKitty、AgentTesla、Lokibot、AZORult、FormBook、Jester、RisePro、Aurora、Rhadamanthys等

5.C2类，该类恶意软件主要用于在受害者机器上进行驻留，与黑客远程服务器进行通信，执行相关的命令操作，在企业中进行内网横向渗透等，比较典型的家族有：Cobalt Strike、Brute Ratel、Sliver、Nighthawk、Meterpreter、Empire、PoshC2、Havoc、Imaginary C2、Nimbo-C2、DeimosC2等

6.KeyLogger类，该类型恶意软件主要用于在受害者机器上进行键盘记录，窃取敏感信息等，比较典型的家族有：404 KeyLogger、MassLogger、FUD KeyLogger、Snake KeyLogger、HawkEye Keylogger等

7.Wiper类，该类型恶意软件主要用于破坏受害者主机或服务器数据，这种类型的恶意软件家族被应用到一些APT黑客组织攻击活动中，尤其今年俄乌网络战中被广泛应用，比较典型的家族有：CaddyWiper、IsaacWiper、HermeticWiper、WhisperGate、DoubleZero、DriveSlayer、RuRansomware、AcidRain等

8.RootKit类，该类型恶意软件主要是利用系统底层技术在系统底层进行持久化隐藏驻留，达到对受害者进行长期监控或安装其他恶意软件的目标，比较典型的家族有：Syslogk、FontOnLake、OldFox、Symbiote、HCRootkit、Skidmap，另外还有一些国外厂商报道的Windows下的UEFI BootKit类的家族等

上面的这些恶意软件家族，算是全球最主流的一些恶意软件家族了，已经被广泛应用于各种勒索、挖矿和APT攻击活动当中，也是全球各大安全厂商报道的一些黑客组织安全威胁攻击事件中经常提到的恶意软件家族，值得各安全厂商进行深入的跟踪分析与研究，挖矿类的一些家族，例如TeamTNT、柠檬鸭、驱动人生、8220等恶意家族，就不单独分类列举在上面了，上面这些类型的恶意软件家族基本上都是与笔者经常打交道的一些恶意软件家族，也是笔者比较关注的一些家族，至于勒索病毒家族和APT组织家族，笔者会在下面进行单独介绍。

勒索攻击早已经成为全球网络安全最大的威胁之一，未来随着全球数字经济的发展，勒索攻击在未来几年，甚至很长的一段时间内仍然是全球最大的网络安全威胁，同时勒索攻击已经在某些层面影响到了国家安全，全球一些国家已经组成了多个打击黑客组织进行勒索攻击的联盟，勒索攻击已经形成了一套完整的生态化商业体系，里面的利益链条错综复杂，全球大多数黑客组织都有可能参与到其中，要想彻底解决勒索病毒也需要涉及到很多层面的问题。

未来“APT攻击模式”的勒索攻击活动会成为勒索攻击的主流，近期云计算开源产业联盟联合国内各大安全企业发布了《勒索软件防护发展报告》，笔者也详细阅读学习了一下，结合笔者的跟踪分析经验，给大家整理了2022年全球流行的主流勒索病毒家族，其中有一些是2022年最新出现的勒索病毒家族，有一些是以前勒索病毒家族的最新变种，这些主流的勒索病毒家族，也经常出现在全球各大安全厂商的勒索攻击事件报道当中，笔者发现一些流行的勒索病毒家族开始使用GO或Rust语言更新改写之前的版本，也出现了一些新型的使用GO或Rust语言开始的勒索病毒家族，同时一些勒索病毒家族变种都开始使用参数密钥，主要可以反沙箱，又可以对抗安全研究人员的逆向分析，在一些勒索病毒应急响应的过程中，常常会发现找不到病毒样本的情况，这可能也是勒索攻击的未来一个趋势，清理痕迹导致安全研究人员无法通过勒索病毒样本进行溯源分析和家族归类，也没办法根据勒索病毒样本进行解密研究等，从简单的勒索病毒到勒索病毒RAAS平台化，从单一平台攻击到跨平台攻击，从最初的一重勒索模式发展到多重勒索模式，从开始的简单RDP暴破攻击到APT、供应链攻击，可以发现勒索攻击对抗一直在持续升级，未来可能会有更多新的攻击手法和攻击技术被应用到勒索攻击当中，随着巨大利益的诱惑，越来越多的黑客组织会直接或间接参与到勒索攻击活动当中。

同时笔者也给大家整理了最近几年全球主流的针对Linux平台的勒索病毒黑客组织，其中有大部分勒索病毒黑客组织主要是针对VMWare ESXi等云平台基础设施进行勒索攻击。

随着全球云计算、大数据等技术的快速发展与普及，Linux平台上的恶意软件在最近几年都呈现爆发式增长状态，在Linux平台上不仅仅有上面提到的挖矿、勒索、RootKit后门，远控等类型的恶意软件家族，还有很多僵尸网络类的恶意软件家族，比较有代表性的，例如：XorDDoS、XnoteDDoS、Gafgyt、Elknot、Mirai、Mozi、Kaiji、wszero、Fodcha、RedGoBot、RobinBot、KmsdBot、Zerobot等，就不一一列举了，这些都是全球主流的一些僵尸网络恶意软件家族了，另外还有一些Android/OSX平台的恶意软件家族，笔者在此就不做介绍了。

2022年全球的APT攻击事件，应该从俄乌网络战开始说起了，从俄乌网络战可以发现Wiper(擦除器)类的恶意软件被大量应用到国与国真实的APT网络战当中，其主要的功能就是利用这些Wiper恶意软件对敌对国家的基础设施进行毁灭性破坏攻击，导致敌对国家的一些基础设施无法正常工作运转，从而达到攻击的目的，未来使用这种Wiper类恶意软件可能会成为APT攻击主流之一，当然也还会有更多Wiper类型的恶意软件出现，现在大家都喜欢谈数据安全，其实针对企业数据安全的攻击活动，要么就是破坏，要么就是窃取，Wiper类恶意软件和勒索病毒恶意软件主要针对核心数据进行破坏，同时现在一些勒索病毒黑客组织为了逼迫受害企业交付赎金，会对企业数据进行窃取。

笔者整理了2022年全球主流的一些APT黑客组织家族，这些APT组织也是国内外安全厂商报道比较多的一些APT组织，例如：响尾蛇、海莲花、白象、蔓灵花、拉撒路、透明部落、Kimsuky、Gamaredon、Turla、Confucius、Donot、KONNI、DarkHotel等。

国外一些安全厂商还很喜欢报道俄罗斯的黑客组织，像APT28,APT29等，除了这些已知常见的APT组织之外，全球各安全厂商也时不时会报道一些新发现的APT黑客组织攻击事件，里面会涉及到一些新型的恶意软件家族,APT攻击过程中会利用一些最新曝光的0day/1day/Nday漏洞等。

今年国内一些厂商还发布了一些针对博彩等特殊行业进行的APT攻击事件，也曝光了一些新的APT组织家族，也值得关注一下，同时国内安全厂商在今年都发布了一些与NSA组织相关的APT报道，笔者从这些报道中也学习到了很多新鲜的名词。

国外某厂商还发布了一个MuddyWater(污水）的最新报道，今年这个组织的报道相对比较少，针对这些已知的APT组织家族，我们需要去重点关注这些APT组织攻击事件中使用的最新的攻击武器和攻击技术，目前大部分APT攻击，主要的攻击手段还是通过钓鱼邮件、网站、浏览器漏洞、社会工程等，作为APT组织攻击活动核心入口攻击点，还会使用水坑攻击等攻击手段，例如先攻陷某个网站，然后再对目标企业的员工进行社会工程与水坑钓鱼攻击相结合，一些黑客组织会通过攻击企业邮件服务器的方式作为APT攻击的入口点，对企业员工进行钓鱼攻击等，拿到企业员工的凭证信息或者前期通过社工等方式诱骗企业的员工安装其他恶意软件收集获取到企业员工的凭证信息之后，利用这些凭证信息入侵企业，植入安装各种类型的恶意软件，进行持久化操作，再进行内网横向渗透操作，直到拿到企业核心服务器数据，随着一些企业IOT等设备的应用与普及，部分黑客组织也开始利用IOT设备或者移动终端设备作为APT攻击入口点之一，最后值得一提的就是今年微软、思科、优步、三星、英伟达等均被一个称为LAPSUS$黑客组织攻击并泄露部分企业数据，笔者也对其中的几例典型攻击事件，进行了深度的追踪分析。

好了，就先写到这里吧，安全本身就是一个持续对抗不断升级的过程，笔者上面提到的各种恶意软件、勒索病毒、APT攻击组织等都是今年全球主流的一些安全攻击事件以及全球各大安全厂商报道中经常涉及到的家族，也是笔者比较关注的一些黑客组织。

全球每天都在发生各种各样的安全攻击事件，这些安全攻击事件的背后其实都是一个个真实的黑客组织，他们隐藏在全球各地，无时无刻不在寻找着下一个攻击目标，都值得深入的跟踪分析和研究，真实的黑客组织攻击事件每天都在上演，笔者一直在跟踪全球最新的黑客组织攻击活动与安全事件，通过深入的分析和研究这些攻击事件中涉及到的各种最新的攻击武器和攻击技术，能够更熟悉和了解这些黑客组织的攻击意图、攻击武器和攻击手法，构建完整的黑客组织画像。

笔者之前已经提到未来黑客组织可能会越来越多的进行定向攻击活动，这种定向攻击过程是一个长期的持续过程，前期会组合利用各种不同的攻击方式寻找攻击入点口，再进行后面更深入的攻击活动，未来每一个安全攻击事件的背后，可能都不是一个单一的攻击活动，也不是一个单一恶意软件家族，使用单一的攻击技术，未来每个安全攻击事件的背后可能都是黑客组织进行了一连串的攻击行为，在这一连串攻击活动的每个阶段黑客组织可能会使用不同的攻击武器和攻击方式，每个安全攻击事件中可能都会使用多种不同类型的恶意软件家族、多种不同的攻击技术、并利用多个不同类型的漏洞等。

如果要对这些安全事件进行分析溯源、还原完整的攻击过程，构䢖黑客组织完整画像，都需要花费安全研究人员大量的时间和精力，也需要安全研究人员平时大量的知识积累，不断提升自己的安全分析和研究能力，对全球各种黑客组织有更深入的理解和研究，做到知已知彼，一切尽在掌控之中，只有这样在应对真实的安全事件的时候，才能更好的帮助企业解决安全问题，更快的帮助企业发现安全威胁，安全的路还很长，国内安全企业未来需要走的路也还很长，现在才刚刚开始，全球化也是安全企业发展的必然趋势。

2023年注定将是收获的一年，也是笔者在公司从事To B安全满五个年头了，这五年笔者跟着公司一起成长，确实学到了很多，例如客户导向、奋斗进取、精益求精、敢为人先等，这五年也是笔者十几年安全职业生涯里面成长最快、最踏实、最专注的五年(唐三在海神岛修练了五年，通过不断考核升级，终于拿到了三叉戟，一转眼斗罗大陆也更新五年了，笔者一直在追每周一集，确实非常好看，国产动画能做到这个水平真的很不错了，每集都做的很用心，其中笔者最喜欢的两个人物，一个是唐昊，一个是比比东，哈哈哈哈)。

正所谓爱拼才会赢，敢做就能成，安全的路还很长，需要继续努力奋斗，不断追求，不断前行，安全对抗会永远存在，而且会不断的升级变化，随着时代的发展，会出现各种各样的新型安全威胁，我们要活到老，学到老。

马上就2023年了，不知道大家计划和目标都定好了吗？是不是都做好准备了？2023年，我相信只要大家努力奋斗，积极进取，一定将会是收获满满的一年，送自己，也送给所有安全从业者：做安全，不忘初心，与时俱进，方得始终。

笔者一直从事与恶意软件威胁情报等相关安全分析与研究工作，包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等，涉及到多种不同的平台(Windows/Linux/Mac/Android/iOS)，笔者做安全研究的兴趣就是喜欢研究一些最新的恶意软件家族样本，跟踪国内外报道的各种安全事件中涉及到的攻击样本等，通过详细分析各种安全攻击事件中涉及的样本、漏洞和攻击技巧等，可以了解全球黑客组织最新的攻击技术以及攻击活动趋势等，同时还可以推判出他们大概准备做什么，发起哪些攻击活动，以及客户可能会受到什么危害等，通过研究全球的黑客组织以及攻击活动，做到知已知彼，各位读者朋友如果有遇到什么新的恶意软件家族样本或最新的家族变种都可以私信发给笔者，感谢给笔者提供样本的朋友们！

做安全，不忘初心，与时俱进，方得始终！

安全分析与研究，专注于全球恶意软件的分析与研究，追踪全球黑客组织攻击活动，欢迎大家关注。