FakeUpdates 繼續(xù)助長勒索軟件攻擊，網(wǎng)絡(luò)犯罪分子利用 AI 技術(shù)來增強(qiáng)其攻擊能力

2025 年 2 月 ， ?網(wǎng)絡(luò)安全解決方案先驅(qū)者和全球領(lǐng)導(dǎo)者?Check Point 軟件技術(shù)有限公司（納斯達(dá)克股票代碼：CHKP）發(fā)布了其 2025 年 1 月《全球威脅指數(shù)》報(bào)告，其中特別指出 FakeUpdates 仍是重大網(wǎng)絡(luò)安全威脅，在勒索軟件攻擊中發(fā)揮著關(guān)鍵作用。

安全研究人員最近開展的一項(xiàng)調(diào)查研究顯示，RansomHub 的成員團(tuán)伙利用基于 Python 的后門來保持持續(xù)訪問，并跨不同網(wǎng)絡(luò)部署勒索軟件。該后門在 FakeUpdates 獲得初始訪問權(quán)限后快速安裝，采用了先進(jìn)的混淆技術(shù)和 AI 輔助編碼模式。攻擊會通過遠(yuǎn)程桌面協(xié)議 (RDP) 進(jìn)行橫向移動，并通過創(chuàng)建計(jì)劃任務(wù)來建立持續(xù)訪問。

Check Point 軟件技術(shù)公司研究副總裁 Maya Horowitz 表示：“AI 正在改變網(wǎng)絡(luò)威脅形勢，網(wǎng)絡(luò)犯罪分子紛紛快速升級其攻擊手段，利用 AI 來自動執(zhí)行和擴(kuò)展攻擊策略并增強(qiáng)攻擊能力。為了有效地應(yīng)對這些威脅，企業(yè)不能再僅限于實(shí)施傳統(tǒng)防御機(jī)制，必須采用主動式自適應(yīng) AI 安全防護(hù)措施，以始終領(lǐng)先新興威脅一步。”

頭號惡意軟件家族

箭頭表示與上月相比的排名變化。

1.? ?FakeUpdates ?– FakeUpdates（又名 SocGholish）是一種下載程序惡意軟件，于 2018 年首次現(xiàn)身。它通過受感染網(wǎng)站或惡意網(wǎng)站上的偷渡式下載進(jìn)行傳播，引導(dǎo)用戶安裝虛擬的瀏覽器更新。FakeUpdates 惡意軟件與俄羅斯黑客團(tuán)伙 Evil Corp 有關(guān)，用于在初始感染后發(fā)送輔助有效載荷。

2.? ↑ Formbook ?– Formbook 于 2016 年首次被發(fā)現(xiàn)，是一種主要針對 Windows 系統(tǒng)的信息竊取惡意軟件。該惡意軟件可從各種 Web 瀏覽器中獲取憑證、收集截圖、監(jiān)控和記錄擊鍵次數(shù)，并下載和執(zhí)行其他有效載荷。它通過網(wǎng)絡(luò)釣魚攻擊活動、惡意電子郵件附件和受感染的網(wǎng)站進(jìn)行傳播，通常偽裝成合法文件。

3.? ↑ Remcos ?- Remcos 是一種遠(yuǎn)程訪問木馬 (RAT)，于 2016 年首次現(xiàn)身。它通常通過網(wǎng)絡(luò)釣魚攻擊活動中的惡意文件傳播，不僅可以繞過 UAC 等 Windows 安全防護(hù)機(jī)制，而且還能以最高權(quán)限執(zhí)行惡意軟件，堪稱攻擊者的“萬金油”。

主要移動惡意軟件

1.? ?Anubis ?– Anubis 是一種最早專為 Android 設(shè)備設(shè)計(jì)的多功能銀行木馬，具有多重身份驗(yàn)證 (MFA) 繞過、鍵盤記錄、錄音和勒索軟件等多種功能。

2.? ↑ AhMyth ?– AhMyth 是一種針對 Android 設(shè)備的遠(yuǎn)程訪問木馬 (RAT)，通常偽裝成合法應(yīng)用。它會竊取廣泛的權(quán)限，從而泄露銀行憑證和 MFA 代碼等敏感信息。

3.? ↓ Necro ?– Necro 是一種惡意 Android 下載程序，可根據(jù)其創(chuàng)建者的命令檢索和執(zhí)行惡意插件。

主要勒索軟件團(tuán)伙

根據(jù)來自勒索軟件“羞辱網(wǎng)站”的數(shù)據(jù)， Clop ?是最猖獗的勒索軟件團(tuán)伙，其攻擊數(shù)量占已發(fā)布攻擊的 10%，其次是? FunkSec ?和? RansomHub ，分別占 8% 和 7%。

1.? Clop? - Clop 是一種勒索軟件病毒，自 2019 年以來一直活躍至今，攻擊范圍覆蓋全球。它采用雙重勒索手段，威脅稱若不支付贖金，就泄露被盜數(shù)據(jù)。

2.? FunkSec ?– FunkSec 是一個新興的勒索軟件團(tuán)伙，于 2024 年 12 月嶄露頭角。在其數(shù)據(jù)泄漏網(wǎng)站中，勒索軟件事件和數(shù)據(jù)泄露事件兼有。

3.? RansomHub? – RansomHub 是一種勒索軟件即服務(wù) (RaaS) 操作，據(jù)稱是 Knight 勒索軟件的翻版。它因其針對 Windows、macOS、Linux 和 VMware ESXi 環(huán)境的破壞性攻擊活動而臭名昭著。

如欲獲取完整的 2025 年 1 月全球威脅指數(shù)報(bào)告及其他洞察，請?jiān)L問 ?Check Point 博客 。??

關(guān)于 Check Point 軟件技術(shù)有限公司?

Check Point 軟件技術(shù)有限公司是一家領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺提供商，為全球超過 10 萬家用戶提供安全保護(hù)。Check Point 利用強(qiáng)大的 AI 技術(shù)通過 Infinity 平臺提高了網(wǎng)絡(luò)安全防護(hù)效率和準(zhǔn)確性，憑借業(yè)界領(lǐng)先的捕獲率實(shí)現(xiàn)了主動式威脅預(yù)測和更智能、更快速的響應(yīng)。該綜合型平臺集多項(xiàng)云端技術(shù)于一身，包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網(wǎng)絡(luò)安全的 Check Point Quantum，以及支持協(xié)同式安全運(yùn)維和服務(wù)的 Check Point Infinity Core Services。

關(guān)于 ? Check Point Research

Check Point Research 能夠?yàn)?Check Point Software 客戶以及整個情報(bào)界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報(bào)。Check Point 研究團(tuán)隊(duì)負(fù)責(zé)收集和分析 ThreatCloud 存儲的全球網(wǎng)絡(luò)攻擊數(shù)據(jù)，以便在防范黑客的同時，確保所有 Check Point 產(chǎn)品都享有最新保護(hù)措施。此外，該團(tuán)隊(duì)由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機(jī)關(guān)及各個計(jì)算機(jī)安全應(yīng)急響應(yīng)組展開合作。