AsyncRAT 威脅日益嚴(yán)峻，網(wǎng)絡(luò)犯罪分子繼續(xù)利用合法平臺(tái)逃避檢測(cè)并持久部署惡意軟件

2025 年 3 月 ，?網(wǎng)絡(luò)安全解決方案先驅(qū)者和全球領(lǐng)導(dǎo)者?Check Point? 軟件技術(shù)有限公司（納斯達(dá)克股票代碼：CHKP）發(fā)布了其 2025 年 2 月《全球威脅指數(shù)》報(bào)告，其中特別指出遠(yuǎn)程訪問木馬 AsyncRAT 風(fēng)頭漸起，并不斷演變，對(duì)網(wǎng)絡(luò)安全構(gòu)成嚴(yán)重威脅。

安全研究人員發(fā)現(xiàn)，AsyncRAT 正被運(yùn)用于愈加復(fù)雜的攻擊活動(dòng)，通過 TryCloudflare 和 Dropbox 等平臺(tái)傳播惡意軟件。這表明越來越多的網(wǎng)絡(luò)犯罪分子利用合法平臺(tái)繞過安全防御系統(tǒng)，確保持久駐留于目標(biāo)網(wǎng)絡(luò)中。這些攻擊往往先發(fā)送網(wǎng)絡(luò)釣魚電子郵件，其中包含 Dropbox URL，點(diǎn)擊后會(huì)觸發(fā)涉及 LNK、JavaScript 和 BAT 文件的多步驟感染流程。

Check Point 軟件技術(shù)公司研究副總裁 Maya Horowitz 表示：“網(wǎng)絡(luò)犯罪分子正利用合法平臺(tái)部署惡意軟件并逃避檢測(cè)。各機(jī)構(gòu)必須保持警惕，并實(shí)施主動(dòng)安全防護(hù)措施，以緩解此類不斷演變的威脅所帶來的風(fēng)險(xiǎn)。”

頭號(hào)惡意軟件家族

箭頭表示與上月相比的排名變化。FakeUpdates 是 2 月份最猖獗的惡意軟件，緊隨其后的是 Androxgh0st 和 Remcos，分別影響了全球 3% 的機(jī)構(gòu)與企業(yè)。

1.? ?FakeUpdates ?– FakeUpdates（又名 SocGholish）仍然位居榜首，它通過受感染網(wǎng)站或惡意網(wǎng)站上的偷渡式下載發(fā)送輔助有效載荷。

2.? ↑ Androxgh0st ?– Androxgh0st 是一種針對(duì) Laravel 應(yīng)用的 Python 惡意軟件，目前排名躍升。它會(huì)掃描暴露的 .env 文件，然后竊取其中所含的登錄憑證等敏感信息。在獲得訪問權(quán)限后，網(wǎng)絡(luò)犯罪分子便可部署更多惡意軟件，并盜用云資源。

3.? ?Remcos ?– 遠(yuǎn)程訪問木馬 (RAT) Remcos 仍是一種流行的惡意軟件，常被用于網(wǎng)絡(luò)釣魚攻擊活動(dòng)。它能夠繞過用戶賬戶控制 (UAC) 等安全防護(hù)機(jī)制，堪稱網(wǎng)絡(luò)犯罪分子的“萬金油”。

4.? ↑ AsyncRAT ?- AsyncRAT 是一種針對(duì) Windows 系統(tǒng)的遠(yuǎn)程訪問木馬 (RAT)，于 2019 年首次被發(fā)現(xiàn)。它會(huì)將系統(tǒng)信息泄露到命令與控制服務(wù)器，并可執(zhí)行各種命令，例如下載插件、終止進(jìn)程、截取屏幕截圖和進(jìn)行自我更新。AsyncRAT 通常通過網(wǎng)絡(luò)釣魚攻擊活動(dòng)傳播，用于數(shù)據(jù)竊取和系統(tǒng)入侵。

5.? ↑ AgentTesla? - AgentTesla 是一種高級(jí) RAT（遠(yuǎn)程訪問木馬），常被用作鍵盤記錄器和密碼竊取程序。它自 2014 年以來一直活躍至今，不僅能夠監(jiān)控和收集受害者的鍵盤輸入與系統(tǒng)剪貼板，而且還可以記錄截圖和竊取為受害者設(shè)備上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）輸入的證書。AgentTesla 作為合法 RAT 公開出售，客戶只需支付 15-69 美元即可獲得用戶許可。?????????

主要移動(dòng)惡意軟件

1.? ?Anubis ?– Anubis 不僅仍是頭號(hào)移動(dòng)惡意軟件，而且還是一種危害嚴(yán)重的銀行木馬，具有多重身份驗(yàn)證 (MFA) 繞過、鍵盤記錄和勒索軟件等多種功能。

2.? ↑ Necro ?– Necro 是一種惡意 Android 下載程序，目前排名有所上升。它允許網(wǎng)絡(luò)犯罪分子根據(jù)其創(chuàng)建者的命令執(zhí)行惡意組件，從而在受感染設(shè)備上進(jìn)行一系列惡意操作。

3.? ↓ AhMyth ?– AhMyth 是一種針對(duì) Android 設(shè)備的遠(yuǎn)程訪問木馬 (RAT)，其肆虐程度略有下降。由于它能夠竊取銀行憑證和 MFA 代碼等敏感信息，因此仍是一個(gè)重大威脅。

全球首當(dāng)其沖的行業(yè)

1.? 教育

2.? 電信

3.? 政府

主要勒索軟件團(tuán)伙

上月，Clop 仍是最猖獗的勒索軟件團(tuán)伙，其攻擊數(shù)量占已發(fā)布攻擊的 35%。其次是 RansomHub 和 Akira。

1.? Clop ?– Clop 仍是主要的勒索軟件團(tuán)伙，利用雙重勒索手段威脅受害者，若不支付贖金，就對(duì)外公布被盜數(shù)據(jù)。

2.? RansomHub? – RansomHub 采用典型的勒索軟件即服務(wù) (RaaS) 操作，據(jù)稱是 Knight 勒索軟件的翻版。它因其針對(duì)各種系統(tǒng)（包括 Windows、macOS 和 Linux）發(fā)起的大規(guī)模復(fù)雜攻擊活動(dòng)而臭名昭著。

3.? Akira ?– Akira 是新興勒索軟件團(tuán)伙，主要瞄準(zhǔn) Windows 和 Linux 系統(tǒng)發(fā)起攻擊。該團(tuán)伙涉及多起網(wǎng)絡(luò)釣魚攻擊活動(dòng)和 VPN 端點(diǎn)漏洞利用，對(duì)受害者構(gòu)成嚴(yán)重威脅。

關(guān)于 Check Point 軟件技術(shù)有限公司?

Check Point 軟件技術(shù)有限公司是一家領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺(tái)提供商，為全球超過 10 萬家用戶提供安全保護(hù)。Check Point 利用強(qiáng)大的 AI 技術(shù)通過 Infinity 平臺(tái)提高了網(wǎng)絡(luò)安全防護(hù)效率和準(zhǔn)確性，憑借業(yè)界領(lǐng)先的捕獲率實(shí)現(xiàn)了主動(dòng)式威脅預(yù)測(cè)和更智能、更快速的響應(yīng)。該綜合型平臺(tái)集多項(xiàng)云端技術(shù)于一身，包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網(wǎng)絡(luò)安全的 Check Point Quantum，以及支持協(xié)同式安全運(yùn)維和服務(wù)的 Check Point Infinity Core Services。

關(guān)于 ? Check Point Research

Check Point Research 能夠?yàn)?Check Point Software 客戶以及整個(gè)情報(bào)界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報(bào)。Check Point 研究團(tuán)隊(duì)負(fù)責(zé)收集和分析 ThreatCloud 存儲(chǔ)的全球網(wǎng)絡(luò)攻擊數(shù)據(jù)，以便在防范黑客的同時(shí)，確保所有 Check Point 產(chǎn)品都享有最新保護(hù)措施。此外，該團(tuán)隊(duì)由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機(jī)關(guān)及各個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)組展開合作。