Recorded Future：2020年第三季度恶意软件趋势报告

一、摘要

在2020年第三季度，Recorded Future的研究人员观察到了主要的勒索软件运营者在战术，技术和程序（TTP）方面的不断扩展，包括针对教育机构进行定向攻击，新的勒索软件运营者也在持续增加。在2020年7月至2020年10月，Recorded Future的研究人员发现了五个新的勒索网站。此外，本季度NetWalker勒索软件的活动大幅增加，而Sodinokibi勒索软件的活动有所减少。

桌面恶意软件威胁的主要趋势是大量Emotet恶意软件的重用和加密货币挖矿恶意软件的发展变化。感染了全球范围内大量目标的Emotet木马，在第二季度暂停了活动，但在7月份重新浮出水面，攻击目标包括美国各州和地方政府。加密货币挖矿恶意软件的开发者正在为进一步的感染添加额外的功能，而不仅仅是挖掘加密货币。

最后，随着移动恶意软件SpyNote重新浮出水面，Cerberus银行木马（此木马的源代码曾在地下黑客论坛被泄露）的感染量增多，安卓恶意软件在本季度再次占据了移动威胁领域的主导地位。

主要发现

• 只要勒索软件仍然可以盈利，更多的威胁参与者就会采用勒索软件。

• 教育机构仍然是勒索软件运营者的主要目标。Recorded Future的研究人员认为，新冠疫情带来的影响，使大学和学区网络成为有吸引力的目标，因为这些机构被攻击后，要尽快恢复运营，因此更有可能迅速支付赎金。

• 感染NetWalker勒索软件的报道增加，而感染Sodinokibi勒索软件的报道减少。但更有可能的是，有不少感染Sodinokibi勒索软件的受害者，并没有公布感染事件，而是私下支付了赎金。根据地下论坛的活动，Recorded Future的研究人员怀疑Sodinokibi的运营者正在继续扩大其业务。

• 尽管Recorded Future的研究人员预计Emotet木马的运营者会继续采取暂停措施，但从7月份的新活动来看，Emotet也有可能在今年年底和2021年，继续成为主要威胁，并影响各行各业的组织。

• 在2020年第三季度，威胁攻击者增加了加密货币挖矿恶意软件的功能，如窃取证书或访问凭证。假设这一趋势继续下去，很可能会比传统的加密货币挖矿木马，对被攻击机构造成更大的破坏。

• 基于安卓操作系统的设备广泛使用，威胁攻击者很可能会在2020年第四季度继续使用安卓恶意软件来攻击用户。除了一般的安卓恶意软件，由于Cerberus 银行木马的源代码被泄露，针对银行和金融机构的攻击可能会激增。

二、勒索软件

在整个2020年第三季度，目标行业和勒索网站的转变在勒索软件运营中普遍存在，因为至少五个勒索软件的运营者建立了自己的新勒索网站，并将教育行业的多家机构作为攻击目标，而Sodinokibi（也称为 REvil）活动减少，Netwalker（也称为Mailto）活动增加。

勒索软件运营者很可能会继续勒索教育机构，这些机构不仅拥有支付赎金的财力，而且还会有支付赎金的紧迫感，以避免在学年中受到影响。由于新冠疫情，这种紧迫感尤其明显，因为许多学校都在进行线上学习，严重依赖数字资源和通信。此外，可能一些教育机构确实有大量预算，但是他们却没有为网络安全投入足够的人力与资金，这使它们更容易成为目标。

受勒索软件攻击影响的教育机构包括纽约州立大学伊利社区学院、犹他大学和拉斯维加斯克拉克县学区（CCSD）。据犹他大学透露，为了避免他们的敏感数据被公布，他们支付了威胁者要求的457059美元赎金。

虽然该大学没有说明是哪个勒索软件运营者发动了这次攻击，但研究人员怀疑它是NetWalker勒索软件的变种，该勒索软件在2020年第二季度攻击了多所大学。在CCSD的事件中，Maze勒索软件运营者窃取了敏感数据，并且在CCSD拒绝支付赎金后发布了数据，其中包括员工的社会安全号码、地址和退休文书，以及学生姓名、年级、出生日期、地址、获得的奖励、就读年限和就读学校。

2.1 NetWalker活动增加，Sodinokibi活动减少

NetWalker的活动在2020年9月激增。在NetWalker勒索网站NetWalker Blog上列出的受害者包括网络安全公司Cygilant，阿根廷官方移民局，巴基斯坦的电力供应巨头K-Electric和安大略护士学院，他们的赎金要求一直都在数百万美元的范围。数据中心巨头Equinix也表示受到了NetWalker的影响，不过目前还没有证据表明其数据在NetWalker博客上被泄露。尽管这可能是由于Equinix支付了NetWalker运营者所要求的450万美元赎金，但没有证据证实这一点。

在2020年第三季度中，Sodinokibi的活动报告有所下降。但是，感染报告的减少并不一定意味着其开展了较少的活动，实际上可能有更多的受害者组织只是支付赎金， 让他们的数据从Sodinokibi的勒索网站Happy Blog上删除。此外，2020年9月28日，Sodinokibi小组成员UNKN在XSS论坛上宣布，该小组正在寻找新的成员加入其运作，这表明Sodinokibi活动将继续增加。

2.2 勒索网站的新发展

图1:2020年7月至9月，在Recorded Future门户中添加的勒索勒索网站(来源:Recorded Future)

在Recorded Future第二季度恶意软件趋势报告中指出，更多的勒索软件运营者可能会采用公开或售卖窃取的数据，从而使受害者遭受更大损失，这种敲诈模式。这种方式利用了受害机构急于减轻损失的心理，并且对于攻击者而言，即使勒索失败受害者不支付赎金，出售被盗的数据也是一种额外的收益来源。事实证明，这在2020年第三季度是正确的，并且只要勒索软件仍然能够盈利，就会有更多的勒索软件运营者采用这种敲诈模式。

例如，自2020年8月以来，SunCrypt勒索软件（该勒索软件于2019年10月首次出现，由威胁攻击者“ SunCrypt”运营）从多个受害者那里窃取的数据，已在SunCrypt News勒索网站上公开，典型的受害者有：北卡罗来纳州的海伍德县学校和新泽西大学医院。尽管在SunCrypt和Maze勒索软件（SunCrypt最近声称它已加入Maze的“ cartel”）的攻击活动中都观察到了IP地址91.218.114 [.] 31，但Maze运营者否认与SunCrypt有任何隶属关系，因此基础设施重叠的原因仍然未知。

虽然SunCrypt勒索软件在威胁领域已经存在一年了，而且随着SunCrypt News的推出，其TTPs也在不断发展，但在2020年第三季度发现的其他三个勒索软件勒索网站，都是最近才发现的勒索软件家族。2020年8月，一项名为DarkSide的新型勒索软件活动的信息浮出水面。该活动针对世界各地的各个组织，并将受害者姓名和窃取的数据发布在他们的勒索网站(也称为DarkSide)上。该攻击最初是在2020年8月10日发现的，根据目标组织的不同，攻击者提出的赎金要求从20万美元到200万美元不等。

尽管DarkSide背后的威胁攻击者的名字尚不清楚，但DarkSide和Sodinokibi勒索软件家族之间有一些相似之处，即他们的赎金记录模板和两个家族用来删除受害机器上卷影副本的PowerShell命令。DarkSide还使用类似于Sodinokibi和GandCrab的代码来检查CIS（独立国家联合体）国家。尽管DarkSide运营者表示他们以前是其他勒索软件业务的分支机构，但这些勒索软件业务曾赚了数百万美元，但上述与Sodinokibi和GandCrab的相似之处不足以证明可以将DarkSide与这些业务联系起来。他们还表示，他们只针对有能力支付特定赎金要求的机构，例如教育、政府和医疗组织。

三、桌面恶意软件

在2020年第三季度，有两个主要的趋势影响着桌面恶意软件的发展和传播：Emotet恶意软件的兴起以及加密货币挖矿恶意软件中附加的恶意功能的开发。

3.1 Emotet恶意软件卷土重来

Emotet至少自2014年以来就在全球范围内感染受害者，它反复出现了很多次，但活动周期逐渐减少，尤其是在过去两年中。Emotet垃圾邮件活动在2020年3月中旬至2020年7月17日之间暂停，当时观察到了Emotet针对全球用户的新垃圾邮件活动。至少在最近两年中，Emotet的运营者似乎遵循了一个相当一致的时间表。在2019年，研究人员观察到第二季度Emotet活动频率下降，然后在第三季度复苏。

尽管Emotet并不是一种新的恶意软件变体，但Emotet的这种复兴再次影响了全球范围内的受害者，包括魁北克司法部以及法国公司和行政部门。此外，研究人员还观察到，其运营者利用重大事件(如新冠疫情和美国大选)作为网络钓鱼诱饵。

Emotet TTPs的主要变化包括：

• 用QakBot作为最终负载替换TrickBot

• Emotet的下载量增加了1000％，这与Emotet的打包程序更改有关，使得Emotet加载程序在防病毒软件中的检测率较低

• 攻击者使用新的Word文档模板

• 攻击者使用受密码保护的包含恶意宏的档案来绕过检测

虽然Recorded Future的研究人员预计Emotet的运营者将继续采取停顿措施，但Recorded Future的研究人员认为，Emotet很有可能在今年年底和2021年继续对各个行业的组织构成重大威胁和影响。

图2:2020年第三季度Emotet活动(来源:Recorded Future)

美国网络安全和基础设施安全局（CISA）和多州信息共享与分析中心（MS-ISAC）发布了一份警报，重点介绍了Emotet在整个2020年第三季度的最新活动。在警报中，MS-ISAC和CISA合作编写了Snort流量检测规则，以用于检测与Emotet相关的网络活动。此外，CISA和MS-ISAC提供了许多建议，他们建议安全团队遵循这些建议来应对Emotet攻击。

3.2 加密货币挖矿恶意软件开发了危险的功能

加密货币挖矿恶意软件窃取系统上的资源来挖掘加密货币以获取金钱。威胁者已经使用这种恶意软件来攻击个人系统和主要的公司网络。直到最近，加密货币挖矿恶意软件仍主要用于此目的。然而，在2020年第三季度，威胁攻击者增加了加密货币挖矿恶意软件的功能，如窃取证书或访问凭证。

这种转变使得加密货币挖矿恶意软件对企业更加危险，而不仅仅是对企业计算机资源的一种占用。因为加密货币挖矿恶意软件运营者是出于经济动机，他们可能会使用这些新功能，通过出售受害者的数据来进一步获利。在2020年第三季度，Recorded Future的研究人员发现了多个加密货币挖矿恶意软件的运营者在其恶意软件中添加了加密挖矿之外的功能：

• 据报道，2020年7月28日，感染Doki服务器，使用Dogecoin加密货币区块链来动态生成命令和控制（C2）域名。僵尸网络不再发送加密货币挖矿恶意软件，而是开始发送Doki。

• 2020年8月17日，研究人员发现了一个名为TeamTNT的网络犯罪组织的活动，该活动似乎是第一个进行从受感染服务器窃取Amazon Web Services（AWS）凭证的挖矿恶意软件。

• 2020年8月21日，有报告详细描述了Monero挖矿脚本，该脚本已嵌入到AWS 社区 Amazon Machine Instances（AMI）的Elastic Cloud Compute（EC2）服务器中。虽然恶意软件的主要目标是加密货币挖矿，但它还允许攻击者连接到Windows计算机并使用它来访问环境的其他敏感区域，例如访问受影响的AWS账户的整个EC2基础设施。

• 2020年8月25日，观察到了Lemon_Duck加密采矿恶意软件的新变种，它通过SSH暴力破解来攻击Linux的系统，从而感染运行了Redis和Hadoop数据库的服务器。新版本的Lemon_Duck添加了一个利用CVE-2020-0796（也称为SMBGhost）的模块，它是Windows SMBv3客户端远程执行代码（RCE）漏洞，允许攻击者在受感染计算机上收集信息。

与传统的加密货币挖矿恶意软件相比，上述添加的恶意功能有可能对组织系统造成更广泛的破坏。

四、移动恶意软件

在2020年第三季度，基于安卓的恶意软件占据了移动威胁的主导地位。这是对2020年第二季度观察到的结果的延续，当时一些移动恶意软件（如SpyNote）重新出现。在本季度末，Recorded Future观察到，对Cerberus 银行木马的引用激增，这可能是由于该恶意软件的源代码泄漏所致。尽管这些恶意软件的功能有所不同，但它们在受害者不知情的情况下，窃取安卓用户数据，这一核心功能证明了从间谍软件到特洛伊木马的移动恶意软件的持续发展 。

图3：第三季度以安卓恶意软件为主的移动恶意软件趋势（来源：Recorded Future）

4.1 SpyNote

在移动恶意软件的实例中，2020年第三季度，Recorded Future的研究人员观察到多个地下论坛上对SpyNote的讨论。SpyNote，也称为SpyMax Android RAT，是一种具有许多监视功能的恶意软件，包括按键记录、位置详细信息和远程命令执行 。该工具的开发人员被称为“Scream”，很可能是居住在中东母语为阿拉伯语的人，他活跃在阿拉伯语黑客论坛——Sa3ka(شبكةالصاعقةالعربية,“阿拉伯雷电网络”)上。

在2020年第二季度，Recorded Future报道了伪造新冠疫情追踪应用的主要分布趋势，其中一些使用了SpyNote恶意软件。尽管与新冠疫情相关的移动恶意软件诱饵数量有所下降，但SpyNote仍是2020年第三季度地下论坛(如Cracked Forum)上讨论的主要话题。论坛上的帖子显示了SpyNote的持续发展，软件作者在帖子中发布了SpyNote 6.4版本的广告，声称新版本增加了应用程序的稳定性和加密功能，并改善了图形用户界面。SpyMax是SpyNote作者开发的另一款安卓远控木马。

根据观察到的地下活动，Insikt Group认为威胁攻击者将继续使用SpyNote，尤其是在中东和东南亚等拥有大量安卓用户的地区。

4.2 Cerberus银行木马

2020年7月，Recorded Future观察到Cerberus Android bot项目的开发商或卖方在Exploit和XSS论坛上进行了拍卖。威胁攻击者正在出售恶意软件，其中包括源代码、管理面板源代码、有效负载服务器以及带有所有有效许可证和联系信息的客户数据库。拍卖的起拍价为2.5万美元，也可以直接以10万美元购买该恶意软件。威胁攻击者于2020年8月11日关闭了他们的犯罪集团，据称是因为不想再继续花时间开发恶意软件，并共享了Cerberus Android Bot基础设施的源代码，包括“ Cerberus v1 + Cerberus v2 +安装脚本+ 管理面板+ SQL DB。” 威胁参与者还共享了所有可用的网络注入目标。

源代码包括多个精心设计的网页、模拟银行、金融机构和社交网络。由于Cerberus滥用Android的可访问功能来执行Web注入，并且似乎可以访问受害者手机上的各种数据(包括文本消息、Google Authenticator验证码和设备的解锁密码)，会导致双因素身份验证(2FA) 无法起到保护作用。成百上千的威胁攻击者可能会在日常攻击活动中使用泄漏的代码和方法。由于此木马的源代码泄露，银行和金融机构可能会发现攻击活动激增。

五、展望

2020年10月1日，美国财政部发布了两份咨询报告，以提高人们对勒索软件攻击的认识，并声称，帮助勒索软件攻击者提供支付服务将会有被制裁的风险。这些警告说明了美国对勒索软件攻击付款采取的强硬态度。美国政府建议受害者不要支付赎金，因为付款会给非法威胁行为者带来好处，并可能损害美国的国家安全和外交政策目标。但是，美国政府和其他全球机构的指导意见不一致，情报新闻网站根据 Recorded Future报道：“对于各组织应该如何应对迅速增长的勒索软件攻击问题，目前没有统一的联邦规则。”

勒索软件运营者很可能会继续存在，影响各行业，并继续使用勒索手段。然而，财政部的建议可能会影响到同意支付赎金的组织，并可能会改变网络保险公司的计算方式。根据总体成本计算，网络保险公司通常愿意支付赎金，即使在存在替代方案的情况下也是如此。尽管有上述建议，但由于担心客户的敏感数据在勒索网站被泄露，会引发公关危机和法律后果，受害者除了支付赎金外，可能别无选择。

Emotet运营者可能会在2020年第四季度继续不加甄别地向大量受害者传播恶意软件。但是，可能会出现类似于2019年底观察到的中断，当时研究人员观察到从12月到2020年1月中旬的活动减少。尽管如此，Emotet仍然是各组织的主要威胁，因为它现在主要是其他恶意软件的投递者，包括不同类型的勒索软件。CISA和MS-ISAC在2020年10月6日发布的一份警告中强调了这一点，该警告称，利用Emotet网络钓鱼邮件针对各州州和地方政府为目标的恶意网络威胁攻击者显著增加。各组织应该熟悉Emotet的TTPs，并遵循CISA和MS-ISAC提出的缓解措施。

尽管加密货币挖矿恶意软件，通常不被安全团队优先考虑。但上述分析表明，该类恶意软件具有对受害者产生重大危害的潜力。威胁攻击者可以将加密货币挖矿恶意软件，作为初始感染媒介，之后下发其它更危险的恶意软件，例如勒索软件或其他变种，以泄露专有数据。如果继续向加密货币挖矿恶意软件中添加功能的趋势持续发展，则很可能将看到更多的威胁攻击者利用这些感染作为切入点，以期在2020年第四季度和2021年初的攻击中，实现更多恶意功能。

安卓移动设备上的恶意软件，仍然是影响用户银行账户安全的普遍问题。由于安卓操作系统设备的广泛使用（占所有智能手机用户的75％），威胁攻击者有可能在2020年第四季度之前继续使用安卓恶意软件来攻击用户。由于Cerberus银行木马的源代码泄露，针对银行和金融机构的欺诈活动可能将会激增。受此木马影响的组织应熟悉相关的TTPs，以加强对受侵害客户帐户的防御能力。

本文为CNTIC编译，不代表本公众号观点，转载请保留出处与链接。联系信息进入公众号后点击“论坛信息”可见。

原文链接：https://go.recordedfuture.com/hubfs/reports/cta-2020-1105.pdf

原文标题：Q3 MALWARE TRENDS: RANSOMWARE EXTORTS EDUCATION, EMOTET AND CRYPTO MINING MALWARE EVOLVE, AND ANDROID MALWARE PERSISTS

编译：CNTIC情报组

声明：本文来自国家网络威胁情报共享开放平台，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。