自全球進入數字化轉型階段以來���,數字驅動經濟增長��,機遇與風險并存��,數字化轉型帶來的以數據為核心的威脅態勢不斷升級�����。竊密木馬以其極高的隱蔽性��、成熟的商業化模式以及巨大的數據價值等特點����,不斷尋求更復雜的技術手段���、更具針對性的定制攻擊���,已發展為危害網絡數據資產的主要威脅之一����。新華三聆風實驗室持續跟蹤數據竊密等網絡攻擊活動���,基于對全網竊密木馬攻擊活動的監測����、分析與處置����,結合國內外有關竊密木馬的研究報告進行綜合研判��、梳理匯總為——2022年度竊密木馬攻擊態勢報告��。
PART ONE
竊密木馬攻擊事件頻發
影響范圍不斷擴大
01
2022年度大事件
從攻擊事件上來看�����,2022年竊密木馬攻擊事件頻頻發生����,攻擊方式多種多樣����,受害者遍布全球各地����,影響范圍十分廣泛����。
— 1月 —
AgentTesla:攻擊者利用 欺騙性的 PowerPoint 文檔大范圍投遞 AgentTesla�����,竊取用戶登錄憑證等重要數據���。
— 2月 —
RedLine:攻擊者將 RedLine 竊密木馬偽裝成Windows 11升級程序實施竊密攻擊���。
— 3月 —
FormBook:針對物流運輸行業的網絡釣魚活動投遞 FormBook 竊密木馬進行攻擊���。
— 4月 —
SolarMarker:攻擊者通過 SEO 投毒方式大肆向用戶投遞 SolarMarker 竊密木馬����。
RedLine:攻擊者使用 RIG 漏洞利用工具投遞 RedLine 進行竊密攻擊
— 5月 —
Vidar:假冒的 Pixelmon NFT 網站向受害者投遞 Vidar 竊密木馬�。
Raccoon�、AZORult:攻擊者利用 Raccoon 和 AZORult 竊密木馬對德國汽車經銷商和制造商實施多起竊密攻擊��。
— 6月 —
Raccoon:Raccoon v2 新版本偽裝成各種破解軟件進行廣泛分發���。
— 7月 —
Amadey:Amadey 竊密木馬利用 SmokeLoader 進行快速傳播���。
DUCKTAIL:DUCKTAIL 竊密木馬針對 FaceBook 商業賬戶發起竊密攻擊����。
— 8月–
AgentTesla:一個大規模網絡釣魚活動針對企業員工投遞 AgentTesla 竊密木馬��。
RedLine:盜版的 3DMark 基準測試工具傳播 RedLine 竊密木馬�。
— 9月 —
“魔盜”:“魔盜”竊密木馬偽裝成多款實用工具軟件進行大范圍竊密攻擊���,受感染主機過萬����。
Raccoon���、Vidar:Uber 某員工個人設備遭到 Raccoon 和Vidar竊密木馬攻擊��,登錄憑證被竊取��,導致 Uber 內部系統遭入侵���,發生嚴重數據泄露���。
— 10月 —
Mars Stealer:偽造的 Solana Phantom 安全更新推送 Mars Stealer 竊密木馬�����。
— 11月 —
ViperSoftX:ViperSoftX 針對 Chrome 瀏覽器進行竊密攻擊�����,超9.3萬名用戶受到影響��。
— 12月 —
Vidar:攻擊者利用 Google Ads 和 Anydesk 大范圍分發Vidar�����。
W4SP Stealer:攻擊者通過大量惡意 Python 庫投遞 W4SP Stealer 竊密木馬�����。
02
竊密木馬活躍家族TOP10
從活躍家族上來看���,2022年竊密木馬發展迅速�。本年度����,全球范圍內流行的竊密木馬超過60種�����,相比2021年增加了十余個新型竊密木馬家族�。以RedLine���、AgentTesla��、FormBook為代表的商業竊密木馬最為活躍���,因其竊取數據類型多�、操作便捷����、售價低而被廣泛傳播����。
03
全球受害者地域分布
從全球影響上來看���,北美洲��、歐洲和亞洲是竊密木馬受害者的“重災區”��,其他地區也受到不同程度的影響�����。其中����,北美地區受到的竊密木馬攻擊最為嚴重����,美國以受害者數量占比33.47%占據全球首位����,加拿大以占比12.02%排在第二�。歐洲區域的受害者主要集中在法國��、捷克��、德國和西班牙等地區��,亞洲區域以中國和韓國較為嚴重���?�?傮w而言���,全球范圍內互聯網和經濟發達地區的受害程度普遍較高�����,正是由于這些地區數據資產價值更高����,網絡用戶基數更大��,竊密木馬更加有利可圖����。
PART TWO
竊密攻擊技術不斷升級
數據失竊風險加劇
01
入侵傳播方式
2022年竊密木馬最常用的入侵方式分別為網絡釣魚��、破解/激活軟件以及遠程代碼執行漏洞��,這些方式由于效果較好而被廣泛使用����,其中網絡釣魚占比高達46.15%����。此外�����,攻擊者還會嘗試利用更加高級的攻擊手段�,如供應鏈攻擊方式投放惡意載荷��。
02
檢測規避手段
竊密木馬常用的檢測規避手段中�����,技術成熟��、成本低廉的加殼/混淆技術使用頻次占據榜首�����,占比為28.30%���,同時2022年流行的竊密木馬中超過七成的家族使用了加殼/混淆技術�����,可見���,加殼/混淆仍是最常用規避手段����。此外�,單一的規避手段所能起到的作用總是有限的��,因此���,竊密木馬往往會通過多重規避手段持續疊加以達到最好的檢測規避效果���。統計表明��,近五成的竊密家族均使用3種及以上的規避手段����。
03
竊取數據類型
在不斷演化升級中�, 竊密木馬衍生出眾多竊取特定目標數據類型的木馬種類��?���?紤]到敏感數據的變現價值和影響范圍���,攻擊者在對竊取數據目標的選擇上具有一定程度的傾向性��。2022年�����,網絡瀏覽器數據是竊密攻擊首選目標��,作為主要的互聯網入口始終存在海量使用需求�,其中隱含的數據價值一直倍受竊密木馬攻擊者覬覦��。從數據變現上來看��,變現更快的加密貨幣錢包更受“青睞”����。加密貨幣因其交易便利�、不受管制�����、匿名化等特點����,使攻擊者能夠直接獲得巨額利益的歸屬權����,是本年度竊密攻擊的主要目標�����。
PART THREE
總結
竊密木馬行業發展迅速�����,商業化模式愈加成熟
面對日益嚴峻的網絡空間安全威脅���,以及網絡攻擊產業化��、生態化的趨勢�����,各組織機構�����、企業乃至個體���,應需了解自身網絡安全脆弱點����,充分把握當前網絡威脅格局����,專注構建主動安全防御體系����,在網絡空間各方威脅勢力并起的大潮中防患于未然����。
RSS訂閱
