零日攻击在野外被发现，Arkei Stealer 和 LimeRAT 增强了他们的存在，继续进行亲俄DDoS攻击

前言

欢迎阅读最新一期的 Avast 威胁报告，本期涵盖了 2022年第4季度。随著2022年的结束和2023年的开始，我们回顾了去年最后一季度所面临的挑战，以及当中出现的许多新威胁和恶意软体变种。2022年对于网路安全来说是一个具挑战性的年份，而其最后一季度也不例外。威胁情势持续快速演变，各类人员及组织都面临著新型且愈加复杂的攻击。在本报告中，我们将仔细探讨第4季度的趋势和发展，为当前的网路犯罪状态提供宝贵的见解。

在我看来，2022年第4季度 最有趣的事并不直接与恶意软体相关至少现在是如此。我指的是 ChatGPT 的发布，这是一个由 OpenAI 开发的聊天机器人。一些人已经开始将其用作 虚拟助手，用于创建短代码序列、解释组合代码，甚至撰写报告前言中的一段文字眨眼。无论该工具的准确性如何，它产生了多少通用语句或错误信息，ChatGPT 已经被有恶意意图的网路罪犯分析。钓鱼讯息的创建 和 为小白用户生成简单的代码片段 是易于实现的，但现在下结论说 ChatGPT 的恶意使用将如何在未来一年内持续流行为时尚早。

在更传统的威胁主题中，本报告将重点聚焦于我的同事们所发现、阻止并负责披露了两个在野外被高级威胁行为者使用的零日漏洞 CVE20223723 和 CVE202321674。同样重要的是，我们深入报导了在缅甸进行的 Mustang Panda 的重大追踪工作。

此外，我们将重点关注在巴西和欧洲发生的 DealPly 广告软体洪流。类似地，Arkei Stealer 的全球流行度增长了四倍，而 LimeRAT 则增长了三倍，尤其是在亚洲和拉丁美洲。接下来，随著 比特币在2022年第4季度跌至当地低点，恶意矿币挖掘活动的情况则截然不同，巴尔干国家尤为受到攻击。此外，该季度的 技术支援诈骗TSS达到峰值。

威胁行为者也表现出了他们的创造力，当他们处理 他们喜爱的感染途径：办公室文件的废止。我们在第三季度报告中已经提及过这个主题，但恶意软体开发者未停下脚步，他们在最新的恶意攻击中采用了如 HTML smuggling、SEO毒化及办公室模板注入 等技术。

移动设备的情况同样引人关注，出现了新的 Bully Facestealer 或自动化的诈骗付款的 BrasDex 银行木马。同时，广告软体Adware 在移动威胁中仍然保持著其首位地位。

不幸的是，勒索病毒依然没有被根除。但针对它的斗争仍在继续，取得了一些特定的成功；例如，一名 Netwalker 勒索病毒 的联盟成员将享受 应得的监禁时间，而我们还解密了 MafiaWare666 勒索病毒 并为其受害者提供了 免费解密工具。

最后，我也想提到有关 DDosia 的故事，这是一种由亲俄组织开发和使用的攻击工具，这次攻击也试图在2023年1月初 干预捷克总统选举。我们希望你会喜欢接下来对上述威胁和发现的深入探讨。

Jakub Koustek 恶意软体研究主管

方法论

本报告分为两个主要部分：与桌面相关的威胁，其中描述了我们对针对Windows、Linux和Mac操作系统进行攻击的情报，包括对网络相关威胁的特别关注；以及与移动设备相关的威胁，其中描述了针对Android和iOS操作系统的攻击。

此外，本报告中使用的术语 风险比 旨在描述特定威胁的严重性，计算方法是“被攻击用户的数量 / 在特定国家活跃用户的数量”的月均值。除非另有说明，计算风险仅适用于每月活跃用户超过10000的国家。

与桌面相关的威胁

进阶持续威胁APTs

ShadowPad/ScatterBee 是最活跃的APT攻击之一，在2022年第4季度于巴基斯坦扩散。然而，我们团队还发现了另一个更重要且影响力更大的APT攻击：Mustang Panda 对缅甸政府机构和人权活动家的强烈活动。我们获得了他们活动和攻击的最新见解，但他们的运作方式和目标与往常并无二致。我们最近在 AVAR 会议上发表了我们对 Mustang Panda 的研究报告。

我们已经发表了关于缅甸一个间谍行动的报告，该行动被归因于 Mustang Panda。我们还在AVAR会议上向安全研究人员展示了我们对这次行动的发现。根据我们的遥测数据，我们发现缅甸的一些政府机构遭受了无情的攻击和突破。Mustang Panda 正在外泄敏感文件、录音和邮件数据，包括一些寻求缅甸签证的亚洲、北美和欧洲公民及外交官的护照扫描。

当我们发现与缅甸的一次恶意感染有关的发布伺服器时，我们确定了这起行动。虽然 主要的数据外泄 路径是通过 Google Drive，但从 Google Drive 中的文件在后来被转移到发布伺服器。一旦威胁行为者从发布伺服器检索到数据，这些数据就会被删除。这意味著我们只能访问到有限的一部分数据。由于日均 数据吞吐量可达数千兆，我们已经成功建立了一个基本的受害者模型，以便通知受影响方。

虽然所用的工具包含了 Mustang Panda 的标准工具，如 Korplug 或 Delphi USB 安装程式，但大多数发现的工具相对简单，且没有复杂的混淆技术。在大多数分析中，DLL侧载 样式的工具仍是一个共同主题。

Luigino Camastra 恶意软体研究员Igor Morgenstern 恶意软体研究员

广告软体

在 2022年第3季度 结尾，我们记录到了广告软体活动的快速增长，该增长持续到了 2022年第4季度 的开始，下图显示了这一点。

保护桌面广告软体的Global Avast用户数从2022年第一季到第四季

季度之交的增长反映了我们在先前的2022年第3季度威胁报告中提到的 DealPly 广告软体。DealPly 家族被归类为不必要的应用程式，因为它可以默默安装在一些其他浏览器扩展和免费软体中，还可以通过恶意软体进行安装。

在 2022年第4季度，DealPly 的风险比在大多数国家中比前一季度有所上升。该广告软体在亚洲的风险比仍然保持不变或略微增加，但有一些例外。DealPly 在南亚和东南亚的风险比增加；如印度、缅甸和印尼等地。有更明显的 DealPly 风险比上升在许多欧洲国家中也得到了观察。根据下图的显示，我们在南美和北美，尤其是巴西，记录到了最显著的增长。

显示 DealPly 广告软体在2022年第三季和第四季的全球风险比例的地图

所有广告软体的风险比略高于 2022年第3季度，虽然下图视觉上表明了广告软体的显著扩散。这是由于 DealPly 广告软体活动的极端峰值。然而，广告活动并不见得有全年呈现向下的趋势。

显示2022年第3季和第四季的全球风险比例的恶意广告软体的地图

在广告软体中显然的市场领导者是 DealPly，持有30的市场份额。我们对其他变种的市场份额进行了以下分类：

然而，其他未知变种在 2022年第4季度 覆盖了 30 的市场份额。这些变种有一个共同特点，即等待用户点击任意超链接，再用一个重定向用户至广告网站的链接来取代原始链接。

最常见的广告伺服器及其在野外的比例如下：

通常，广告软体导致用户访问网站以下载免费软体或提供其他产品。这是在线垃圾邮件发送者的一种商业模式，从安全的角度来看并不特别危险；然而，对用户来说却是完全烦人的。此外，窃取个人数据包括支付卡情报可能会带来危险，因为某些广告会说服受害者他们已经赢得了奖品，并要求联络和支付信息。此外，仍有一部分广告软体会加载具有有害脚本的不当内容。广告软体可以接管系统并部署其他恶意软体，比如勒索病毒、间谍软体、远端存取木马等。因此，广告软体的存在应提高注意，并用防毒软体保护自己的系统。

Martin Chlumeck 恶意软体研究员

机器人

DDosia 项目仍然在持续进行。DDosia 是由俄罗斯黑客组织 NoName057(16) 发起的一个项目，该组织招募志愿者执行 DDoS 攻击。这个项目标志著该组织方向的转变，因为它最终将 Bobik 机器人网络 替换为一个依赖志愿者的项目。在12月初，DDosia 的CampC 伺服器被摧毁；然而，该组织仍在分享有关其攻击的资讯并宣传其项目。因此，我们推测已经设立了一个新的CampC伺服器。自我们于2022年8月1日开始跟踪该项目以来，我们已经看到 超过2200个DDoS目标 该组织称390个为成功，成功率为17，参与者约有1000人。

如果我们考虑到相关的部分共存的 Bobik 机器人网络，那么我们会得出约1400个目标和190个成功的机器人网络，将成功率压缩至13。 DDosia 还曾针对捷克总统选举相关网站进行攻击，该选举于2023年1月13日至14日举行。总统候选人的网站和其他呈现选举结果的网站都在 DDosia 项目中被列入目标。幸运的是，根据选举结果的计算和分发方式，即使这些网站长期无法访问也不会影响选举结果。

我们在恶意文件的世界中见到了一些新招数。如果我们将 Emotet 作为一个例子，该恶意软体使用恶意文件来欺骗用户手动将该文件复制到 Microsoft Office 模板夹 中，然后从那里启动。由于该文件夹是被信任的位置，因此通常的 执行保护功能会关闭；因此，从此文件夹开启该文件会触发内部的宏执行。

Emotet 也一直在 逃避技术 开发上积极进取。它开始 使用计时器 逐步执行有效载荷。我们还观察到了其通讯协议的变化，其中一些不与先前的版本向后相容。若这还不够，Emotet 还导致了见下图机器人网络风险比在11月初的显著峰值，当时它启动了一个主要利用 Microsoft Excel 文件XLS变种的 大规模垃圾邮件活动。

Qakbot 在本季度也很忙。该机器人网络开始使用所谓的 HTML smuggling 隐藏编码的恶意脚本在电子邮件附件中。更具体地说，他们开始利用 SVG 图像隐藏恶意有效载荷，并用于其重组的代码。一旦用户在浏览器中打开附件，浏览器就会触发隐藏在 SVG 图像中的代码，进而重组隐藏在 SVG 图像中的有效载荷。随后，用户将被提示在浏览器中保存一个文件，并依据“遮盖”的数据指引来打开该文件。由于恶意有效载荷是在设备上重建，因此该技术可能旨在避开依赖于网络流量分析的安全解决方案。

全球范围内在Avast用户基础上与机器人网络有关的风险比

至于一般趋势，我们观察到了 Qakbot 和 Amadey 活动的显著增加，其活动已超过了一倍。尽管其大规模的垃圾邮件活动，Emotet 的活动略有下降。有趣的是，较老的 NET 开源机器人网络 BlackNET 也见证了其活动的 显著上升，与前一季度相比活动翻了一倍。

Adolf Steda 恶意软体研究员

矿工

加密货币正经受艰难时期。在经历了如 FTX 破产 等骚动事件后，价格再次标记类似于2020年底的低值。这同样影响了矿工的活动，我们发现于 2022年第4季度 整体活跃度轻微下降4。

全球范围内在Avast用户基础上与矿工有关的风险比

在上个季度的基础上，用户在塞尔维亚再次面临遇到矿工的最高风险，该州的风险比为 744。蒙特内哥罗用户的风险比为 599，接下来是波斯尼亚和黑塞哥维那 396，以及马达加斯加 390。在 2022年第4季度，Avast 在印尼看到矿工活动的高增长，受保护用户数增长46。

2022年第4季度矿工的全球风险比地图

传统上，Web矿工 仍然位于矿工食物链的顶端，占据市场份额的66，其次是 XMRig，其市场份额为 1842，与前一季度相比增长了18。KingMfcMiner 仍在增长， Q4/2022 市场份额增加了47这使受保护用户数增长44。

在 2022年第4季度 最常见的矿工包括： Web矿工各种变种 XMRig CoinBitMiner VMiner SilentCryptoMiner CoinHelper NeoScrypt

Jan Rubn 恶意软体研究员

信息窃取者

2022年第4季度 带来了 Arkei 信息窃取者也称为其分支 Vidar的显著增长，我们对该威胁保护的用户数达到了令人惊讶的437。我们还注意到对 AgentTesla 和 RedLine 杀手 保护的用户分别增加了57和37。值得庆幸的是，由于 FormBook 活动的减少，整体信息窃取者的活动下降了6。

全球范围内在Avast用户基础上与信息窃取者有关的风险比

就被信息窃取者感染的风险而言，受影响最严重的国家是也门、阿富汗和马利。我们还在也门和阿富汗分别保护了21和15的用户。在蒙古41和波兰40的受保护用户增长最为显著。

在2022年第4季度信息窃取者的全球风险比地图

在 2022年第4季度，AgentTesla 和 RedLine 是两种流行的变种，争夺市场份额的第二和第三名。AgentTesla 占有15的市场份额，而 RedLine 则录得13。FormBook 仍然保持第一名，市场份额为18，比前一季度减少了28。随著活动的增加，Arkei 现在的市场份额为521。尽管 Raccoon Stealer 仍然受欢迎，市场份额为626，但我们观察到其活动在本季度下降了22。

在 2022年第4季度 最常见的信息窃取者包括： FormBook AgentTesla RedLine Lokibot Raccoon SnakeKeylogger

ViperSoftX 扩散 VenomSoftX

ViperSoftX 是一个历史悠久的信息窃取者，正在经历著密集的开发，不断提供更多的恶意功能。

该多级窃取者展示了 有趣的隐藏能力。它经常隐藏为独行字串上的小 PowerShell 脚本，在普通的看似无害的日志文件中出现。ViperSoftX 专注于 窃取加密货币、剪贴簿交换 和 对受感染机器进行指纹识别，并能够下载和执行 任意额外有效载荷 或执行命令。

ViperSoftX 散布的一项有效载荷是特定的信息窃取者，以 Chrome 基支浏览器的 浏览器扩展 形式发布。由于它的独立能力和独特性，我们决定给它一个自己的名字：VenomSoftX。这个恶意扩展能进行广泛的恶意活动，包括：对每个页面进行完全访问、执行 中间人攻击来通过篡改流行加密货币交易所API请求的数据来进行 加密地址交换、窃取凭证 和 剪贴簿内容、篡改访问网站上的加密地址、使用MQTT向 CampC 伺服器报告事件等等。

自2022年11月8日以来，ViperSoftX 和 VenomSoftX 重新导向的被窃取的加密货币总额已高达 130421 美元。这只是发送到加密货币钱包的数量，并不包括来自其他活动的潜在利润。

仅在 2022年第4季度，Avast 就保护了超过18500名独立用户免受 ViperSoftX 的攻击，受影响最严重的国家包括印度超过1400名受保护用户、美国1200名受保护用户和意大利1100名受保护用户。

在2022年第4季度受到ViperSoftX攻击的国家

Raccoon Stealer 报导

在 2022年第4季度，我们继续密切关注 Raccoon Stealer，并且它仍然不会消失。传闻中有一个消息是 Raccoon Stealer 的核心开发者，Mark Sokolovsky，在2022年3月份于荷兰被捕。正如我们以前在2022年第2季度报告中报导过的，Raccoon Stealer 背后的行为者宣称他们的团队成员在乌克兰的战争中丧生，因此他们暂停了这个臭名昭著的恶意软体的开发。然而，现在显而易见的是，这位开发者实际上是在他逃离乌克兰时被捕的。

有趣的是，正如许多来源所报导的，Sokolovsky的逮捕关键实际上是他的 女友，她在 Instagram 上发布了他们两人的度假照片。

来源 vxunderground

然而，正如我们在2022年第2季度报告中所述，Raccoon Stealer 的作者于2022年6月底恢复活动时宣布了 Raccoon Stealer 20。他们的活动增加反映了该团体在黑市的受欢迎程度在2022年11月初，Lockbit 勒索病毒 团体表现出对 Raccoon Stealer 的 源码购买兴趣。

来源 https//twittercom/ddd1ms/status/1587828903149707266

Jan Rubn 恶意软体研究员

勒索病毒

每个季度，我们总结了我们对勒索病毒防护的用户总数还包括其他威胁。自 2022年第3季度 以来，检测到的日均勒索病毒攻击数量逐渐减少。在第4季度，总数下降了17。

在 2022年第3季度 和 第4季度期间，全球的 Avast 用户在勒索病毒保护上的表现

你是否曾经思考过为什么这个图表像是质量不高的电锯？这一效果源于 勒索病毒每周的周期周末活动最低。此外，周末使用的设备数量较少，这也影响了周六和周日的放缓。

风险比最高的国家自 2022年第3季度 以来并未显著改变。在榜单中的大多数国家，攻击数量均在下降。唯一的例外是阿富汗，其风险比却在上升这使阿富汗成为 2022年第4季度 的一个臭名昭著的赢家：

值得注意的是，法国风险比也增加了15。

STOP 和 WannaCry 是市场份额的 头号赢家。其他勒索病毒变种显示出单数和低于单数的市场份额：

毫无疑问，勒索病毒是一项业务。勒索病毒团伙像公司一样运作：他们有自己的经理、团队、网站和部落格，甚至会发表访谈。但请不要犯错 勒索病毒团伙仍然是非法商业。这一点得到了佛罗里达州法院的证明，法院对 Netwalker 勒索病毒 的一名联盟成员 Sebastien VachonDesjardins 量刑20年，以惩罚他对该州坦帕市某公司进行的攻击。此外，还有2150万美元的赃款被查获。我们毫不怀疑 20年的量刑对网路罪犯来说是个良好的警示。

尽管 Sodinokibi/REvil 勒索病毒 已经快近一年没有活动，来自 Palo Alto Networks 的研究人员指出其可能以另一个帮派的形式重新出现，新帮派叫做 Ransom Cartel。这一假设基于 Ransom Cartel 和 Sodinokibi 程式码之间的相似性。此外，Ransom Cartel 部分档案分享链接，也和之前 Sodinokibi 帮派使用的链接相同。由于 Sodinokibi 的源码从未泄漏，Ransom Cartel 可能试图模仿 Sodinokibi 勒索病毒，或者他们真的拥有源码。

LockBit 勒索病毒在 2022年第4季度 继续传出新闻。这个帮派背后发生了许多攻击：如亚洲再保险公司、里斯本港里斯本港管理局、英国的皇家邮报、德国跨国汽车集团Continentals、美国铁路巨头Wabtec Corporation、及英国汽车经销商Pendragon。勒索要求介于数万元亚洲再保险公司到150万美元里斯本港，再到6000万Pendragon的情况。

LockBit 帮派通常勒索被攻击公司内部数据，并威胁如果不支付赎金就会发布。Lockbit 在这方面是会兑现的 对于每一家公司，该帮派在其部落格上都有专属栏目，并将资料公布反正谁愿意支付所要求的金额。

有一个事件与其他事件有所不同。在2022年12月18日，SickKids 医院 遭受到攻击，他们的数据被加密。而仅仅两天后，勒索病毒团队却对攻击医院的行为表示 “抱歉”。作为其证明，该团伙将负责的团队成员开除，并免费释出解密工具。该医院后来证实他们已经恢复了几乎50的加密数据。

虽然这在圣诞季节看似是一个体贴的举动，但我们仍然希望 LockBit 的成员会最终在法庭上站立，正如 Netwalker 的联盟成员所做的一样。

除了 LockBit 本身外，还有从泄漏的 LockBit 建造器 中出现的克隆。一个名为 TommyLeaks 和SchoolBoys 的帮派就属于此。这两个帮派其实是一个勒索病毒团伙，因为他们使用的谈判网站风格是相同的原因尚不详。

在 2022年第4季度，Avast 协助 MafiaWare666 勒索病毒的受害者，并提供了一个免费的解密工具 以协助该变种的受害者。

Ladislav Zezula 恶意软体研究员Jakub Koustek 恶意软体研究主管

远程存取木马 (RATs)

与 2022年第3季度 的报告相比，2022年第4季度 在远程存取木马RATs方面几乎没有变化。最普遍的威胁仍然保持相对不变，遭RAT感染的国家榜单也没有很大的改变。根据我们的数据，最安全的国家的变化也只有些微。

在2022年第3季度和第4季度的全球远程存取木马风险比

在 2022年第4季度，法国和美国的风险比大幅减少，分别下降了43和45，使它们成为该季度与瑞士和日本一起最安全的国家。捷克46和奥地利47的下降幅度也相似。新西兰在本季度风险比下降56，进而居于首位。

另一方面，最容易遭受 RAT 感染的国家是阿富汗、伊拉克和也门。该名单与 2022年第3季度 一致。风险比最大的增长发生在阿尔及利亚22、伊拉克13和中国11。在阿尔及利亚和伊拉克中，主要的威胁是 HWorm 和 njRAT，而在中国则是 Gh0stCringe 和 Havex。

在2022年第4季度遭遇RAT感染风险最严重的国家

我们在 2022年第4季度 的用户基础上最普遍的 RAT 包括： HWorm Warzone njRAT Remcos NanoCore AsyncRat NetWire QuasarRAT LimeRAT DarkComet

我们在 2022年第4季度 认识到的前十种感染的变体与前一季度的报告几乎相同。njRAT 在清单中下降了一个名次，因为它失去了相当大的市场份额。我们不确定造成整体下降的原因，但我们见证了一个针对意大利、法国和美国的攻击行动。与 2022年第3季度 一样，我们也观察到在匈牙利出现的 Warzone 攻击行动，南非的 NetWire 攻击行动。同时，巴西和阿根廷也遭遇了分发 QuasarRAT 的攻击。

在 2022年第4季度，还有其他 RAT 的显著增加，包括： LimeRAT增长 299 Gh0stCringe122 Nymeria (90)

根据我们的研究，LimeRAT 仍然在增长。和 2022年第3季度 一样，它的盛行度在 2022年第4季度 继续上升。LimeRAT 主要活跃于南亚及东南亚和拉丁美洲。其次是 Gh0stCringe，它几乎专注于中国，并且在台湾和香港也有一些感染。另外一个增长显著的变种是 Nymeria也称为 Loda。我们看到 Nymeria 主要在土耳其、意大利和墨西哥强势扩散。

我们的研究人员发现一个新的来自 Lazarus 组APT38 Nukesped RAT 恶意软体样本，适用于 Linux 操作系统，并确定该