概要

Q1最热门的安全事件是XZ/liblzma后门高危漏洞。开发人员Andres Freund一次偶然情况下，发现了XZ/liblzma存在后门并对该漏洞进行报告。XZ/liblzma是一个广泛使用的开源工具，掌握该后门攻击者几乎可以访问任何运行受感染发行版的 Linux 机器。这一事件提出了有关开源代码的安全性及其集成到关键系统和应用程序中的重要问题。

社会工程学仍然是各平台上最大的威胁，而且所占的份额还在继续增加。在移动设备领域，2023年Q4季度所有威胁 90% 以上来自诈骗和类似威胁类型。这一趋势也反映在PC平台上，87%的威胁属于同一类型。

在恶意广告和恶意推送通知激增的背景下，欺诈行为大幅增加（移动平台为 61%，PC平台为 23%）。在乌克兰等某些地区，这些风险几乎翻了一番，凸显了这些恶意活动的全球范围和影响。此外，诈骗者正在部署越来越复杂的战术，包括使用深度伪造技术、AI音频同步，以及劫持流行的 YouTube 频道来传播欺诈内容，从而扩大了造成经济损失的可能性。

在PC方面，恶意组织Lazarus Group 策划了一场复杂的 APT 活动，该活动以亚洲的个人为目标，以工作机会为由进行诈骗。

僵尸网络活动也令人担忧。例如Twizt 僵尸网络对服务器消息块（SMB）协议凭证暴力破解，恶意 DDosia 项目扩展等功能进行更新，从而大大增加了其危害性。此外，以 DarkGate 和 Luma 为代表的恶意软件即服务 (MaaS) 窃取程序也呈现出上升趋势。

Q1勒索软件攻击也呈现上升趋势， LockBit 勒索软件是其中的典型代表，且被执法单位打击后又再度复活。此外一种名为HomuWitch 的新型勒索软件也许引起注意，该勒索软件在信息加密方面有着不俗的效果。

YouTube成为网络钓鱼、恶意广告的“温床”

YouTube 具有25亿用户，目前已成为网络钓鱼、恶意广告等威胁行为的“温床”。自动广告系统和用户生成的内容相结合，为网络犯罪分子提供了绕过传统安全措施的通道，使 YouTube 成为部署网络钓鱼和恶意软件的重要渠道。

该平台上的显著威胁包括 Lumma 和 Redline 等凭证窃取程序、网络钓鱼和诈骗登陆页面，以及伪装成合法软件或更新的恶意软件。此外YouTube 还是流量分发系统 (TDS) 的通道，从而将用户引向恶意网站，并支持从虚假赠品到投资计划等各种高危害性的骗局。

在 YouTube 上兴起的 DeepFake 视频通过逼真地模仿人物或事件，由此误导观众，传播大量的虚假信息。Q1大量攻击者入侵用户的YouTube 帐户，约有5000 多万是订阅者被劫持，用于传播 Cryptoscam Deefake 视频。

威胁者经常利用自动上传和搜索引擎优化 (SEO) 中毒来提高有害内容的可见度。此外，虚假评论猖獗，欺骗观众，推广危险链接，利用 YouTube 的算法和用户参与传播网络威胁。

利用 YouTube 传播威胁的方式有很多。在 YouTube 上观察到的基本战术和程序 (TTP) 如下：

• 针对创作者的网络钓鱼活动： 攻击者向 YouTube 创作者发送个性化电子邮件，提出欺诈性的合作机会。一旦建立了信任，他们就会打着合作所需软件的幌子发送恶意软件链接，通常会导致 cookie 被盗或账户受损。
• 视频诈骗： 攻击者上传的视频描述包含恶意链接，其中包括伪装成与游戏、生产力工具甚至杀毒软件相关的合法软件下载，诱骗用户下载恶意软件。
• 劫持频道传播威胁： 攻击者通过网络钓鱼或恶意软件获得对 YouTube 频道的控制权，然后重新利用这些频道来宣传各类威胁，如加密货币诈骗。这类欺诈活动通常涉及需要观众提供初始押金的虚假赠品。
• 利用伪造的软件品牌和域名： 攻击者创建相似度极高的软件品牌，或者将威胁网站伪装成合法网站来获取用户的行人，从而诱导用户下载恶意软件。
• 越狱软件诱导： 攻击者发布教程视频或提供破解软件，引导用户下载伪装成有用工具的恶意软件。这种策略利用用户寻求免费访问付费服务或软件的心理，利用 YouTube 的搜索和推荐算法锁定潜在受害者。

Lazarus 黑客组织利用 Windows 零日漏洞获取内核权限

2024年第一季度，Lazarus 黑客组织试图利用 Windows AppLocker 驱动程序  appid.sys 中的零日漏洞 CVE-2024-21338，获得内核级访问权限并关闭安全工具，从而能够轻松绕过 BYOVD（自带漏洞驱动程序）技术。

Avast 网络安全分析师发现了这一网络攻击活动，随后便立刻向微软方面上报。微软在 2024 年 2 月发布的安全更新中解决安全漏洞的问题。不过，微软并未将 CVE-2024-21338 安全漏洞标记为零日漏洞。

Lazarus 黑客组织利用 CVE-2024-21338 安全漏洞在其 FudModule rootkit 的更新版本中创建了一个读/写内核基元（ESET 于 2022 年底首次记录了 CVE-2024-21338 漏洞，此前，rootkit 曾滥用戴尔驱动程序进行了 BYOVD 攻击。）新版 FudModule 在隐蔽性和功能性方面有了显著增强，包括但不限于采用了新技术逃避检测和关闭 Microsoft Defender 和 CrowdStrike Falcon 等安全保护。此外通过检索大部分攻击链，Avast 还发现了 Lazarus 黑客组织使用了一种此前从未记录的远程访问木马 (RAT)。

Lazarus 黑客组织利用了微软 "appid.sys "驱动程序中的一个漏洞，该驱动程序是 Windows AppLocker 组件，主要提供应用程序白名单功能。Lazarus 团队成员通过操纵 appid.sys 驱动程序中的输入和输出控制（IOCTL）调度程序来调用任意指针，诱使内核执行不安全代码，从而绕过安全检查。

FudModule rootkit 与漏洞利用程序构建在同一模块内，执行直接内核对象 DKOM 操作，以关闭安全产品、隐藏恶意活动并维持被入侵系统的持久性。（安全产品包括 AhnLab V3 Endpoint Security、Windows Defender、CrowdStrike Falcon 等以及 HitmanPro 反恶意软件解决方案）

Avast 在新版 rootkit 中发现了新的隐身特性和扩展功能，例如通过 DKOM 进行选择性和有针对性的破坏、增强篡改驱动程序签名执行和安全启动功能等。Avast 还指出，这种新的安全漏洞利用策略标志着威胁攻击者内核访问能力有了重大突破，使其能够发起更隐蔽的网络攻击，并在被入侵网络系统上持续更长时间。

目前，针对 CVE-2024-21338 安全漏洞唯一有效的安全措施就是尽快应用 2024 年 2 月的 发布的安全更新。

这些攻击链的复杂性表明，Lazarus 投入了大量资源进行策划和执行。在执行攻击之前，Lazarus 通过部署无文件恶意软件和将工具直接加密到硬盘驱动器上进行了精心的准备。对受害者的精心选择和高度针对性表明，在启动恶意软件之前，建立某种程度的信任或联系很可能是必要的。部署如此复杂的武器库，再加上利用漏洞，凸显了重大的战略远见和资源投入。

僵尸网络依旧不容小觑

僵尸网络主要目的是确保对设备的长期访问，以利用其资源，包括远程控制、垃圾邮件分发、拒绝服务（DoS）攻击等等。

需要注意的是，Twizt 僵尸网络在其更新中获得了一个新模块，该模块提供的功能为其sextortion 活动提供了动力。该模块依赖于一种常见的策略，即用据称从用户设备或账户中恢复的虚假敏感信息敲诈用户。威胁方通常会提及感染了 RAT 的设备，而信息中通常会包含伪造的发件人头信息和密码，让人以为用户的邮件账户已被黑客入侵。事实上，所有发送的信息都是伪造的，密码很可能是从暗网上流传的某个泄露密码数据库中获取的。

2023年，Twizt 开始对虚拟网络计算（VNC）凭证进行暴力破解。2024年初，该组织改用暴力破解 SMB 凭据。Twizt 包含一个用户名/密码对的硬编码列表，该列表针对随机生成的目标进行尝试。验证成功后会向其命令与控制（C&C）服务器报告。

Q1季度，曾经 叱咤风云的DDosia遭遇了有史以来的“滑铁卢”。据推测，有人在积极攻击 DDosia的 C&C 基础设施，多次造成面向真实 C&C 服务器的代理服务器中断。这导致该外层的基础架构迅速变化，每个新的代理 C&C 在再次不可用之前都有大约 2 天的生命周期。由于缺乏 C&C 中断时的客户端更新机制，项目所有者不得不每隔几天就制作新的客户端。

由于每次更新都需要手动更新 DDosia 的二进制文件，再加上 C&C 频繁中断，他们的攻击影响力显著下降。尤其是在 2 月 19 日前后，八个代理 C&C 被关闭了五天。即使在这之后，它们也无法恢复以前的效率。

随着原来的群组被删除，DDoSia 转移到了另一个名为 "DDoSia 项目 "的 Telegram 群组，为这些动荡的变化画上了句号。在此之前，原始群组一直在发展壮大，最终拥有约 20000 名成员，而新群组开始时只有约 12000 名成员，并且很快继续呈下降趋势。

在2023年Q4，"DDosia "主要关注银行，而在 2024 年第一季度，"DDosia "主要关注各种行业联盟、法院、新闻机构、计算机应急小组以及运输和物流公司。其基本逻辑基本保持不变——在各国境内寻找有损害俄罗斯利益的目标。

至于整个僵尸网络的发展趋势，许多流行的病毒已经停滞不前。尽管如此，我们还是看到它们的流行程度发生了一些较大的变化，包括 BetaBot（13%）的活动增加。另一方面，大多数其他病毒似乎都在下降，其中以下病毒的降幅最大： Pikabot（-48%）、Tofsee（-31%）、MyKings（-21%）和 Dridex（-21%）。

挖矿恶意软件正在继续减少

在2023年第4度，挖矿恶意组织的猖獗程度持续下降，这种下降趋势一直延续至2024 年第一季度，风险率大幅下降了 28%。其中最主要是由于XMRig 恶意软件份额略有下降的影响，而 XMRig 在上一季度的份额曾一度飙升。与之对应的是，几乎所有其他主要的代币制造者的活动实际上都有所增加，从而扩大了其份额。

在上一季度美国和土耳其的风险激增之后，情况稍有缓和，这两个国家的风险比率下降了 39%。其他国家也有下跌，其中印度（22%）、埃及（19%）和巴基斯坦（13%）的下降幅度更大。目前，马达加斯加（风险率为 2.18%）、土耳其（1.47%）、巴基斯坦（1.35%）和埃及（1.14%）仍然是挖矿风险最大的几个国家。

XMRig 是长期以来最受欢迎的推币机，本季度其推币机恶意软件份额下降了 6%，但它仍然占据了总份额的 60%。所有其他主要挖币者的活动都有所增加，包括网络挖币者（增加 5%）、CoinBitMiner（24%）、FakeKMSminer（37%）等。

在 2024 年第一季度，最常见的恶意软件占比如下：

XMRig (59.53%)

网络矿工 (20.20%)

CoinBitMiner (2.67%)

FakeKMSminer (2.03%)

NeoScrypt (1.75%)

CoinHelper (1.05%)

VMiner (0.86%)

SilentCryptoMiner (0.84%)

信息窃取仍以 AgentTesla 为主

AgentTesla是一款“老牌”恶意软件即服务“MAAS”恶意程序，在过去的几年间，一直保持着较高的活跃度。其主要通过社工钓鱼邮件传播，“商贸信”和伪装航运公司钓鱼邮件是该木马经常使用的社工钓鱼方式。通过社工钓鱼方式获取初始访问权限后，作为第一阶段的恶意软件，AgentTesla提供对受感染系统的远程访问，然后用于下载更复杂的第二阶段工具，包括勒索软件。

AgentTesla是基于.Net的远程访问木马 (RAT)和数据窃取程序，旨在窃取用户的敏感信息，如登录凭据、银行账户信息、电子邮件等。其具有强大的远程控制功能，可以通过键盘记录、屏幕截图、摄像头监控等方式监视用户行为。该间谍木马具有反调试功能，同时诱饵文件使用了多层解密，大大增加了分析难度。

恶意软件即服务（MaaS）窃取信息继续茁壮成长，并尽可能寻找新的传播方式。例如DarkGate 通过 Microsoft Teams 使用网络钓鱼进行传播。从技术角度看，DarkGate 还利用了 Microsoft Windows SmartScreen（CVE-2024-21412）漏洞。此外， DarkGate 还曾试图通过恶意 PDF 文件传播滥用了加密交换和 WebDAV 服务器。恶意软件通过 InternetShortcut 链接（.URL 文件）从 opendir 下载内容。

Lumma Stealer 是另一种 MaaS 窃取程序，它继续通过在 YouTube 上传播的破解软件进行传播，利用虚假教程误导受害者。这进一步说明，此类病毒及其制造者从不放过任何利用社交工程传播恶意软件的机会。

这种典型的混淆型恶意软件以窃取密码、加密货币钱包和 cookie 而闻名。它通常通过伪造应用程序或谷歌广告中毒渗透系统。这种威胁存在多代，这表明它在未来很可能会持续存在，而年初恶意广告活动携带的新版本则进一步凸显了这一点。

就 Linux 而言，Python 信息窃取程序是此类恶意软件中较为流行的病毒，其中包括 Spidey、Creal、Wasp 或 PirateStealer 等著名恶意软件家族。此外，还有一种名为 PassSniff/Putin 的新恶意软件，它是用 C++ 编写的，不是从磁盘上窃取密码，而是通过使用通用规则和针对流行服务和应用程序的特定规则来嗅探 HTTP 流量，从而窃取密码。

总体而言，2024 年第一季度全球信息窃取程序的风险率下降了 8%。不过，许多流行的窃取程序进一步扩大了覆盖范围，包括 AgentTesla、Stealc、Fareit 和 ViperSoftX。

其中，AgentTesla 是最流行的信息窃取程序，其恶意软件份额增加了 17%。其活动主要针对中欧、北美和南美，现占据了 30.31% 的恶意软件份额。值得注意的是，几乎所有较大的信息窃取者的活动都有所增加，包括 Fareit（增加 34%）、Stealc（33%）、ViperSoftX（28%）和 Azorult（14%）。FormBook 的份额下降了 32%，Lokibot 的份额下降了 50%，从而平衡了信息窃取者整体活动的天平。

以下是2024 年第一季度最常见的信息窃取者及其恶意软件份额：

• AgentTesla (30.31%)
• Fareit (7.55%)
• FormBook (6.92%)
• RedLine (4.37%)
• Stealc (2.81%)
• ViperSoftX (2.28%)
• Azorult (1.93%)
• ClipBanker (1.72%)
• Raccoon (1.56%)
• Lokibot (1.41%)
• Rhadamanthys (1.36%)

勒索软件依旧是最严重的威胁

勒索软件最常见的子类型是加密受害者电脑上的文档、照片、视频、数据库和其他文件。如果不先解密，这些文件就无法使用。为了解密文件，攻击者会索要钱财，即 "赎金"。

LockBit是勒索软件的顶级流派之一，它的加密和勒索攻击力度丝毫未减。由于 LockBit 声名狼藉，其在 2024 年第一季度被曾存在短暂被清除的情况。10 个国家的执法机构联合宣布了 Cronos 行动，联邦调查局成功攻破了 LockBit 基础设施，获得了大约 1000 个私人加密密钥，并发布了一个公共解密器。

勒索软件操作员渗透公司的常见手法如下：

勒索软件操作员 "购买访问权限"，这意味着获取有关公司、公司漏洞以及如何入侵公司网络的信息。然后操作员绘制公司网络地图，最终部署勒索软件。当被攻击的公司支付赎金后，"接入卖家 "就能获得接入费。

与 LockBit、Akira 或 BlackCat 等更流行的威胁相比，以下这些勒索软件很少出现在媒体的报道中，因为这些勒索软件不是攻击大公司并要求数百万美元的赎金，而是主要针对个人用户或小型企业，要求的赎金在数千美元左右。

• WannaCry（21%）
• STOP (12%)
• Mallox（又名 TargetCompany） (3%)
• DarkSide (2%)
• Cryptonite (1%)

与上一季度相比，用户群中勒索软件的总体风险率有所上升，且从 2024 年 3 月开始升级。

技术支持诈骗 (TSS)： 攻击持续增加

技术支持诈骗威胁涉及骗子冒充合法的技术支持代表，试图远程访问受害者的设备或获取敏感的个人信息，如信用卡或银行详细信息。这些骗局依靠骗取信任的伎俩来获得受害者的信任，通常包括说服他们为不必要的服务付费或购买昂贵的礼品卡。互联网用户一定要提高警惕，并核实任何声称提供技术支持服务的人的资质。

在整个 2023 年，与技术支持诈骗有关的活动持续减少。2024年第一季度，这一趋势不仅没有预想中的结束，反而有所增加，目前已经上升至2024年度第4季度的水平。

2024 年第一季度技术支持诈骗风险率详情

瑞士的增长最为迅猛，技术支持欺诈活动增加了 177%，为本季度最高。奥地利的增幅也很大，达到 101%。德国的增幅虽然较低，但也达到了 65%。此外，日本作为传统的 TSS 热点国家，也出现了 153% 的大幅增长。

这些不断攀升的数字，在欧洲较富裕的国家尤为明显，凸显了这些地区网络安全威胁日益增长的趋势。

被积极利用的零日漏洞

漏洞利用利用合法软件中的缺陷，执行本不应允许的操作。它们通常分为远程代码执行（RCE）漏洞和本地权限升级（LPE）漏洞，前者允许攻击者感染另一台机器，后者允许攻击者对部分受感染的机器进行更多控制。

在二月份的 "星期二补丁 "更新中，微软修补了一个涉及管理员到内核的零日漏洞 CVE-2024-21338。这个零日漏洞最初被 Lazarus Group 在野外利用，他们利用这个漏洞启用了更新版的 FudModule 数据专用 rootkit。这标志着 FudModule rootkit 功能的重大改进，因为以前版本的 FudModule rootkit 是通过针对已知的易受攻击驱动程序进行 BYOVD（自带易受攻击驱动程序）攻击来启用的。

从 BYOVD 技术升级到内置驱动程序中的零日攻击，使整个攻击变得更加隐蔽，但这并不是唯一的升级。Lazarus 还改进了 rootkit 功能，针对注册表回调、对象回调、进程/线程/图像回调、文件系统迷你过滤器、Windows 过滤平台、Windows 事件跟踪和图像验证回调。此外，威胁者还实施了一种值得注意的句柄表入口操纵技术，试图暂停与 Microsoft Defender、CrowdStrike Falcon 和 HitmanPro 相关的关键进程。

其他新闻方面，xz/liblzma 后门漏洞的发现震惊了开源圈。这个后门是由软件工程师Andres Freund发现。他注意到 ssh 登录失败会消耗大量的 CPU，于是决定调查其根本原因，最后发现了这个后门漏洞。攻击者名叫 Jia Tan，在整个过程中攻击者表现出了非凡的耐心，通过两年多来对开源项目的贡献慢慢建立起了信任。最终发动攻击，并通过多次提交引入了后门，其最终目的是允许拥有正确私钥（CVE-2024-3094）的用户远程登录 SSH。

由于后门发现得比较早，因此攻击者没有足够的时间将恶意代码合并到 Debian 或 Red Hat 等主要 Linux 发行版中。这应该引起安全圈的警惕，因为这很可能成为我们近年来看到的最大的安全事件之一。虽然开源代码通常被认为比闭源代码更值得信赖，但这次攻击表明，开源代码也面临着自身的挑战。许多重要的开源项目都是由工作过度的志愿者在几乎没有资金的情况下维护的，这可能会不幸地使它们容易受到类似的攻击。

另一个有趣的发现与 Outlook 中的超链接有关。通常情况下，Outlook 不会跟踪指向远程资源的 "file://"协议链接，但 Check Point Research 的研究人员发现，只需在一些任意字符后添加一个感叹号（"!"），就可能完全改变这种行为。这个漏洞编号为CVE-2024-21413，并被称为 MonikerLink，因为感叹号实质上将链接变成了一个复合单词。当用户收到电子邮件并点击这样的链接时，远程文件就会被获取，并可能在后台进行解析。

这样做会产生两方面的影响。首先，点击链接从远程 SMB 服务器加载资源代表了另一种强制 NTLM 身份验证的方法，允许远程服务器捕获 NTLMv2 哈希值。其次，攻击者可能会利用这一点来触发一些有漏洞的代码，因为获取的资源可能会在后台打开，并试图查找项目单名（感叹号后附加的字符串）。Check Point 博客在一个 RTF 文件上演示了这种情况，该文件会在受保护视图之外的 Microsoft Word 中打开，这是一种非常隐蔽的一键式 RTF 漏洞利用载体。

网络钓鱼：达到新高度

网络钓鱼是一种在线诈骗，欺诈者通过在电子邮件、短信或即时信息等电子通信中冒充可信实体，试图获取包括密码或信用卡详细信息在内的敏感信息。欺诈信息通常包含一个与真实网站相似的虚假网站链接，要求受害者在该网站上输入敏感信息。

现在我们来看看网络威胁中的最后一类，也是最经典的一类： 网络钓鱼。与几乎所有网络威胁一样，这一类威胁的活动在 2024 年第一季度有所增加，延续了过去四个季度的增长趋势。

攻击者继续大量使用通过跨专有文件系统 (IPFS) 基础设施共享文件的方式来传播网络钓鱼内容。统计数据显示，IPFS 上最常见的目标品牌是 Microsoft，目前在被阻止的攻击中占比高达 20%，同时这些威胁在 2024 年第一季度末最为明显。

参考来源：https://decoded.avast.io/threatresearch/avast-q1-2024-threat-report/