阿里云優(yōu)惠券 先領(lǐng)券再下單

Check Point研究人員揭示了利用合法程序進(jìn)行隱蔽的多階段惡意軟件活動(dòng)

2025年5月，全球領(lǐng)先的AI驅(qū)動(dòng)型云安全平臺(tái)提供商 Check Point® 軟件技術(shù)有限公司（納斯達(dá)克股票代碼：CHKP）發(fā)布了2025年4月全球威脅指數(shù)。FakeUpdates仍然是本月最流行的惡意軟件，影響了全球6%的企業(yè)與機(jī)構(gòu)，緊隨其后的是Remcos和AgentTesla。

在本月，研究人員發(fā)現(xiàn)了一個(gè)復(fù)雜的多階段惡意軟件活動(dòng)，其中包括 AgentTesla、Remcos 和 Xloader（FormBook 的進(jìn)化版）。攻擊從偽裝成訂單確認(rèn)的釣魚郵件開始，誘使受害者打開惡意 7-Zip 壓縮包。該壓縮包包含一個(gè) JScript Encoded (.JSE) 文件，可啟動(dòng) Base64 編碼的 PowerShell 腳本，執(zhí)行第二階段的 .NET 或基于 AutoIt 的可執(zhí)行文件。最終的惡意軟件會(huì)被注入合法的 Windows 進(jìn)程，如 RegAsm.exe 或 RegSvcs.exe，從而大大提高了隱蔽性和逃避檢測(cè)的能力。

這一發(fā)現(xiàn)凸顯了當(dāng)前網(wǎng)絡(luò)犯罪的一個(gè)重要趨勢(shì)：常見惡意軟件與高級(jí)攻擊技術(shù)融合。曾經(jīng)以低價(jià)在暗網(wǎng)出售的工具如AgentTesla與Remcos，如今已被整合進(jìn)復(fù)雜的攻擊鏈中。

Check Point 軟件公司威脅情報(bào)總監(jiān) Lotem Finkelstein 評(píng)論表示："最新的攻擊活動(dòng)體現(xiàn)了網(wǎng)絡(luò)威脅日益增長(zhǎng)的復(fù)雜性。攻擊者正在將編碼腳本、合法進(jìn)程和模糊的執(zhí)行鏈層層疊加，以便不被發(fā)現(xiàn)。過去被視為‘低級(jí)’的惡意軟件，如今正在被廣泛應(yīng)用于高度復(fù)雜的攻擊行動(dòng)中。企業(yè)必須采取‘預(yù)防優(yōu)先’策略，整合實(shí)時(shí)威脅情報(bào)、人工智能與行為分析技術(shù)來應(yīng)對(duì)不斷演化的威脅。”

頂級(jí)惡意軟件家族

(箭頭表示與 3 月份相比的排名變化）。

FakeUpdates - Fakeupdates（又名 SocGholish）是一款下載惡意軟件，最初發(fā)現(xiàn)于 2018 年。它通過“下載即感染”的方式傳播，誘導(dǎo)用戶安裝虛假瀏覽器更新。Fakeupdates 惡意軟件與黑客組織 Evil Corp 有關(guān)，通常用于在首次感染后投遞更多惡意負(fù)載。（影響率：6%）

Remcos - Remcos 是一種遠(yuǎn)程訪問木馬（RAT），首次發(fā)現(xiàn)于 2016 年，通常通過網(wǎng)絡(luò)釣魚活動(dòng)中的惡意文檔傳播。其設(shè)計(jì)目的是繞過 Windows 安全機(jī)制（如 UAC），以提升的權(quán)限執(zhí)行惡意軟件，使其成為威脅行為者的多功能工具。(影響率：3%）。

AgentTesla - AgentTesla 是一款高級(jí) RAT（遠(yuǎn)程訪問木馬），具有鍵盤記錄和密碼竊取功能。AgentTesla自2014年開始活躍，它可以監(jiān)控并收集受害者的鍵盤輸入和系統(tǒng)剪貼板，還可以記錄截圖并竊取受害者設(shè)備上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox和Microsoft Outlook電子郵件客戶端）的輸入憑證。AgentTesla 被公開作為合法工具在線出售，客戶需要為許可證支付 15 - 69 美元（影響率：3%）。

2025年四月勒索軟件組織榜單

Akira - Akira 勒索軟件于 2023 年初首次被披露，目標(biāo)是 Windows 和 Linux 系統(tǒng)。它使用 CryptGenRandom() 和 Chacha 2008 對(duì)文件進(jìn)行對(duì)稱加密，與泄露的 Conti v2 勒索軟件類似。Akira 通過多種途徑傳播，包括受感染的電子郵件附件和 VPN 端點(diǎn)漏洞。感染后，它會(huì)對(duì)數(shù)據(jù)進(jìn)行加密，并在文件名后添加".akira "擴(kuò)展名，然后展示贖金條，要求支付解密費(fèi)用。

SatanLock - SatanLock - 新近活躍的勒索組織，自4月初起在暗網(wǎng)上公開活動(dòng)，目前已泄露67名受害者。但其中超過65%此前已被其他組織披露，活躍度仍在觀察中。

Qilin - Qilin 也被稱為 Agenda，是一種勒索軟件即服務(wù)（ransomware-as-a-service）犯罪活動(dòng)，它與其他關(guān)聯(lián)機(jī)構(gòu)合作，對(duì)被入侵機(jī)構(gòu)的數(shù)據(jù)進(jìn)行加密和外泄，隨后索要贖金。該勒索軟件變種于 2022 年 7 月首次被發(fā)現(xiàn)，采用 Golang 語言開發(fā)。Agenda 以針對(duì)大型企業(yè)和高價(jià)值機(jī)構(gòu)而聞名，尤其側(cè)重于醫(yī)療保健和教育部門。Qilin 通常通過包含惡意鏈接的釣魚郵件滲透受害者，以建立對(duì)其網(wǎng)絡(luò)的訪問權(quán)限并外泄敏感信息。一旦進(jìn)入，Qilin 通常會(huì)在受害者的基礎(chǔ)設(shè)施中橫向移動(dòng)，尋找要加密的關(guān)鍵數(shù)據(jù)。

移動(dòng)惡意軟件榜單

Anubis-- Anubis是一種多用途銀行木馬，起源于安卓設(shè)備，目前已發(fā)展出多種高級(jí)功能，如通過攔截基于短信的一次性密碼（OTP）繞過多因素身份驗(yàn)證（MFA）、鍵盤記錄、錄音和勒索軟件功能。它通常通過 Google Play Store 上的惡意應(yīng)用程序傳播，已成為最流行的移動(dòng)惡意軟件系列之一。此外，Anubis 還具有遠(yuǎn)程訪問木馬 (RAT) 功能，可對(duì)受感染系統(tǒng)進(jìn)行廣泛監(jiān)視和控制。  

↑ AhMyth - AhMyth 是一種針對(duì)安卓設(shè)備的遠(yuǎn)程訪問木馬（RAT），通常偽裝成屏幕記錄器、游戲或加密貨幣工具等合法應(yīng)用程序。一旦安裝，它就會(huì)獲得大量權(quán)限，在重啟后繼續(xù)運(yùn)行，并外泄敏感信息，如銀行憑證、加密貨幣錢包詳情、多因素身份驗(yàn)證（MFA）代碼和密碼。AhMyth 還支持鍵盤記錄、屏幕捕獲、攝像頭和麥克風(fēng)訪問以及短信攔截，是一款用于數(shù)據(jù)竊取和其他惡意活動(dòng)的多功能工具。

↑ Hydra - Hydra 是一種銀行木馬，旨在竊取銀行憑證，每次進(jìn)入任何銀行應(yīng)用程序時(shí)都會(huì)要求受害者啟用危險(xiǎn)的權(quán)限和訪問。

四月份的數(shù)據(jù)顯示，隱蔽、多階段惡意軟件活動(dòng)的使用越來越多，并持續(xù)關(guān)注防御能力較低的部門。由于 FakeUpdates 仍是最普遍的威脅，而新的勒索軟件行為者如 SatanLock 又不斷涌現(xiàn)，因此企業(yè)必須優(yōu)先考慮積極主動(dòng)的分層安全，才能在不斷演變的攻擊中保持領(lǐng)先。

關(guān)于 Check Point 軟件技術(shù)有限公司 

Check Point 軟件技術(shù)有限公司（www.checkpoint.com）是數(shù)字信任領(lǐng)域的領(lǐng)先保護(hù)者，通過 AI 驅(qū)動(dòng)的網(wǎng)絡(luò)安全解決方案，保護(hù)全球超過 100,000 家組織免受網(wǎng)絡(luò)威脅。Check Point 通過其 Infinity 平臺(tái)與開放生態(tài)系統(tǒng)，堅(jiān)持“預(yù)防為先”的理念，在提升安全效能的同時(shí)降低企業(yè)風(fēng)險(xiǎn)。依托以 SASE 為核心的混合網(wǎng)格架構(gòu)，Infinity 平臺(tái)實(shí)現(xiàn)了本地、云端及辦公環(huán)境的統(tǒng)一管理，為企業(yè)及服務(wù)提供商帶來靈活、簡(jiǎn)潔、可擴(kuò)展的網(wǎng)絡(luò)安全能力。

關(guān)于 Check Point Research

Check Point Research 能夠?yàn)?Check Point Software 客戶以及整個(gè)情報(bào)界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報(bào)。Check Point 研究團(tuán)隊(duì)負(fù)責(zé)收集和分析 ThreatCloud 存儲(chǔ)的全球網(wǎng)絡(luò)攻擊數(shù)據(jù)，以便在防范黑客的同時(shí)，確保所有 Check Point 產(chǎn)品都享有最新保護(hù)措施。此外，該團(tuán)隊(duì)由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機(jī)關(guān)及各個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)組展開合作。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！