主动安全 业务驱动
《2022年度窃密木马攻击态势报告》
新华三主动安全系列报告
自全球进入数字化转型阶段以来,数字驱动经济增长,机遇与风险并存,数字化转型带来的以数据为核心的威胁态势不断升级。窃密木马以其极高的隐蔽性、成熟的商业化模式以及巨大的数据价值等特点,不断寻求更复杂的技术手段、更具针对性的定制攻击,已发展为危害网络数据资产的主要威胁之一。新华三聆风实验室持续跟踪数据窃密等网络攻击活动,基于对全网窃密木马攻击活动的监测、分析与处置,结合国内外有关窃密木马的研究报告进行综合研判、梳理汇总为——2022年度窃密木马攻击态势报告。
PART ONE
窃密木马攻击事件频发
影响范围不断扩大
01
2022年度大事件
从攻击事件上来看,2022年窃密木马攻击事件频频发生,攻击方式多种多样,受害者遍布全球各地,影响范围十分广泛。
-- 1月 --
AgentTesla:攻击者利用 欺骗性的 PowerPoint 文档大范围投递 AgentTesla,窃取用户登录凭证等重要数据。
-- 2月 --
RedLine:攻击者将 RedLine 窃密木马伪装成Windows 11升级程序实施窃密攻击。
-- 3月 --
FormBook:针对物流运输行业的网络钓鱼活动投递 FormBook 窃密木马进行攻击。
-- 4月 --
SolarMarker:攻击者通过 SEO 投毒方式大肆向用户投递 SolarMarker 窃密木马。
RedLine:攻击者使用 RIG 漏洞利用工具投递 RedLine 进行窃密攻击
-- 5月 --
Vidar:假冒的 Pixelmon NFT 网站向受害者投递 Vidar 窃密木马。
Raccoon、AZORult:攻击者利用 Raccoon 和 AZORult 窃密木马对德国汽车经销商和制造商实施多起窃密攻击。
-- 6月 --
Raccoon:Raccoon v2 新版本伪装成各种破解软件进行广泛分发。
-- 7月 --
Amadey:Amadey 窃密木马利用 SmokeLoader 进行快速传播。
DUCKTAIL:DUCKTAIL 窃密木马针对 FaceBook 商业账户发起窃密攻击。
-- 8月--
AgentTesla:一个大规模网络钓鱼活动针对企业员工投递 AgentTesla 窃密木马。
RedLine:盗版的 3DMark 基准测试工具传播 RedLine 窃密木马。
-- 9月 --
“魔盗”:“魔盗”窃密木马伪装成多款实用工具软件进行大范围窃密攻击,受感染主机过万。
Raccoon、Vidar:Uber 某员工个人设备遭到 Raccoon 和Vidar窃密木马攻击,登录凭证被窃取,导致 Uber 内部系统遭入侵,发生严重数据泄露。
-- 10月 --
Mars Stealer:伪造的 Solana Phantom 安全更新推送 Mars Stealer 窃密木马。
-- 11月 --
ViperSoftX:ViperSoftX 针对 Chrome 浏览器进行窃密攻击,超9.3万名用户受到影响。
-- 12月 --
Vidar:攻击者利用 Google Ads 和 Anydesk 大范围分发Vidar。
W4SP Stealer:攻击者通过大量恶意 Python 库投递 W4SP Stealer 窃密木马。
02
窃密木马活跃家族TOP10
从活跃家族上来看,2022年窃密木马发展迅速。本年度,全球范围内流行的窃密木马超过60种,相比2021年增加了十余个新型窃密木马家族。以RedLine、AgentTesla、FormBook为代表的商业窃密木马最为活跃,因其窃取数据类型多、操作便捷、售价低而被广泛传播。
03
全球受害者地域分布
从全球影响上来看,北美洲、欧洲和亚洲是窃密木马受害者的“重灾区”,其他地区也受到不同程度的影响。其中,北美地区受到的窃密木马攻击最为严重,美国以受害者数量占比33.47%占据全球首位,加拿大以占比12.02%排在第二。欧洲区域的受害者主要集中在法国、捷克、德国和西班牙等地区,亚洲区域以中国和韩国较为严重。总体而言,全球范围内互联网和经济发达地区的受害程度普遍较高,正是由于这些地区数据资产价值更高,网络用户基数更大,窃密木马更加有利可图。
PART TWO
窃密攻击技术不断升级
数据失窃风险加剧
01
入侵传播方式
2022年窃密木马最常用的入侵方式分别为网络钓鱼、破解/激活软件以及远程代码执行漏洞,这些方式由于效果较好而被广泛使用,其中网络钓鱼占比高达46.15%。此外,攻击者还会尝试利用更加高级的攻击手段,如供应链攻击方式投放恶意载荷。
02
检测规避手段
窃密木马常用的检测规避手段中,技术成熟、成本低廉的加壳/混淆技术使用频次占据榜首,占比为28.30%,同时2022年流行的窃密木马中超过七成的家族使用了加壳/混淆技术,可见,加壳/混淆仍是最常用规避手段。此外,单一的规避手段所能起到的作用总是有限的,因此,窃密木马往往会通过多重规避手段持续叠加以达到最好的检测规避效果。统计表明,近五成的窃密家族均使用3种及以上的规避手段。
03
窃取数据类型
在不断演化升级中, 窃密木马衍生出众多窃取特定目标数据类型的木马种类。考虑到敏感数据的变现价值和影响范围,攻击者在对窃取数据目标的选择上具有一定程度的倾向性。2022年,网络浏览器数据是窃密攻击首选目标,作为主要的互联网入口始终存在海量使用需求,其中隐含的数据价值一直倍受窃密木马攻击者觊觎。从数据变现上来看,变现更快的加密货币钱包更受“青睐”。加密货币因其交易便利、不受管制、匿名化等特点,使攻击者能够直接获得巨额利益的归属权,是本年度窃密攻击的主要目标。
PART THREE
总结
窃密木马行业发展迅速,商业化模式愈加成熟
面对日益严峻的网络空间安全威胁,以及网络攻击产业化、生态化的趋势,各组织机构、企业乃至个体,应需了解自身网络安全脆弱点,充分把握当前网络威胁格局,专注构建主动安全防御体系,在网络空间各方威胁势力并起的大潮中防患于未然。
完整报告下载链接:
https://www.h3c.com/cn/d_202303/1802612_30003_0.htm