惊人的50攻击拦截激增，每月阻止10亿次攻击

前言

在我们深入探讨2023年第三季度威胁报告时，可以明显看出，过去的这个季度并非普通。通常，假期期间，网络活动会减少，暂时缓解网络安全威胁。然而，今年，数字环境却发生了意想不到的变化。尽管在线活动有所减少，我们的检测系统却记录到独特被拦截攻击数量惊人地增加了50，并创下了新的历史高点。平均而言，在2023年第三季度，我们每月阻止超过十亿次独特恶意软件攻击。这一激增主要源于网络威胁的大幅上升，特别是社会工程和恶意广告。因此，代表我们保护用户被攻击风险的整体风险比率，如今已超过30。

恶意行为者采用人工智能，特别是在深度伪造金融诈骗方面的应用正在加速。针对TikTok用户的恶意深度伪造活动，常常涉及埃隆马斯克等公众人物，已成为一个日益严重的问题。有关详细信息，请参阅我们的精选故事部分。

此外，威胁环境的标志是广告软件威胁水平翻倍，显示出广告软件的显著升级。南美洲、非洲、东南欧洲和东亚地区是受到这一激增影响最严重的地区。

除了广告软件外，僵尸网络领域也出现了显著的发展。联邦调查局FBI试图拆解Qakbot僵尸网络，导致活动明显减少。然而，该行动似乎并未完全根除，因为一些关联的恶意行为者已开始转向替代变种，如DarkGate。

此外，信息窃取者的风险比率也显著增加，乌克兰44、美国21和印度16的激增最为明显。AgentTesla在这一领域占主导地位，而曾经臭名昭著的Raccoon Stealer似乎正失去动能，逐渐退居幕后。

远程访问木马RATs同样在持续增长。第一季度观察到的RATs增长趋势在2023年第三季度仍在继续，主要由Remcos RAT和Warzone驱动。葡萄牙148的增加、波兰55和斯洛伐克43等国遭受攻击的显著上升同时发生。XWorm变种依然活跃，持续发布新版本并扩大其影响范围。

同时，流行的WinRAR软件出现了新漏洞CVE202338831，引起了恶意行为者，包括APT、RAT和恶意软件下载器的注意。鉴于该软件的广泛使用，这些漏洞很可能会持续存在，因此保持软件更新至关重要。有关这些漏洞的更多信息，请参阅我们的漏洞部分。

诈骗领域也发生了重大变化，约会诈骗的季度同比增长了34。比利时、德国、加拿大和美国是这些诈骗分子的主要目标。我们的研究人员还发现了一种新威胁，我们将其命名为LoveGPT。这种基于人工智能的工具协助恶意行为者创建逼真的身份，从而增强其欺诈活动的成功率。

网络钓鱼攻击也经历了14的季度增长，恶意行为者创新性地利用IPFS星际文件系统绕过传统的防御机制。特别是在澳大利亚，针对邮件诈骗的攻击有显著增长。

最后，移动威胁环境仍然动态不居，充斥着间谍软件策略。模仿以色列用于导弹警报的应用程序的间谍软件在以色列和巴勒斯坦之间的紧张局势加剧中出现，旨在窃取受害者数据。此外，Invisible Adware的引入在Google Play商店的下载量超过200万，增加了移动广告软件的风险。巴西、印度和阿根廷仍是受影响最严重的国家。此外，FluBot被拆解后留下的空白也正在逐渐填补。本季度我们检测到新的并复活的银行木马，包括Xenomorph、GoldDigger和SpyNote。土耳其、西班牙和法国继续是这一类攻击的主要目标。流行的社交消息应用程序的修改版本，如Telegram、Signal和WhatsApp，依然被用于提供间谍软件。此外，SpyLoans仍在PlayStore上扩散，对脆弱的受害者构成勒索威胁。

总之，2023年第三季度揭示了前所未有的网络威胁水平。在一个通常会在线活动减少的季节中，威胁活动的激增引发了人们的担忧。随着冬季的到来，传统上标志着更高威胁水平的时期，我们将密切关注这一趋势是否持续升级。

感谢您对Avast的持续信任。请保持安全和安保。

Jakub Koustek，恶意软件研究主任

方法论

本报告分为两个主要部分：与桌面相关的威胁，描述我们关于针对Windows、Linux和Mac操作系统攻击的情报，特别关注网络相关威胁；以及与移动相关的威胁，描述针对Android和iOS操作系统的攻击。

在本报告中，我们使用“ 风险比率”的术语来表示特定威胁的严重性。它以“被攻击用户数量 / 给定国家的活跃用户数量”的月平均值进行计算。除非另有所述，计算得出的风险仅适用于每月活跃用户超过10000的国家。

被拦截的攻击被定义为在指定时间段内，受保护用户和被拦截威胁标识符的唯一组合。

在本次威胁报告中，我们对各种诈骗威胁类型进行了更精细的标记，这导致与上一次报告相比，我们对恶意广告的独立跟踪。此外，我们还添加了一些威胁数据源，以便提供更好的威胁态势可视化。

精彩故事：TikTok金融诈骗：一个由人工智能推动的升级威胁

TikTok因其病毒性和快速传播的数字趋势而闻名，成为金融诈骗，特别是涉及加密货币的诈骗的肥沃土壤。该平台的广泛覆盖以及对年轻观众的吸引力为恶意行为者提供了在不知情的用户中进行剥削的良机。

这些诈骗通常以合法性的幌子进行，往往以一段伪造的视频作为开端，这段视频中知名人物如埃隆马斯克支持某个加密货币交易所。用户被诱惑在声称的交易所注册，使用一个促销代码，声称可以将显著数量的比特币存入他们的账户。然而，在尝试提取这些资金时，该平台要求用户先转一笔比特币以“验证”他们的账户。未察觉到真相的受害者在满足这一要求后，会发现不仅承诺的比特币无法获取，连同任何转移到该平台的资金也将被网络犯罪者所窃取。

这些诈骗的核心在于非法利用人工智能AI技术创造深度伪造视频。恶名昭彰的人物，如埃隆马斯克、Mr Beast、Sam Altman、沃伦巴菲特、乔罗根、唐纳德特朗普和塔克卡尔森，逐一被伪造，以虚假支持某个加密货币交易所。这些伪造的背书向用户承诺重大的比特币奖励，为金融欺诈奠定了基础。

在TikTok上流传的模仿埃隆马斯克和唐纳德特朗普的视频示例

AI的恶意使用，特别是深度伪造技术，凸显了网络对手日益复杂化的趋势。通过创造对公众信任的有说服力的假冒视频，诈骗者成功地操控了用户的信任。这种利用不仅显示出社交媒体平台上网络威胁的令人担忧的趋势，还展示了人工智能可以增强金融诈骗有效性的潜力。曾经是高技能个体领域的深度伪造技术正在变得越来越普及，使得辨别真实的背书与伪造的背书愈发困难。

最初仅限于英语国家，这些诈骗已跨越了语言障碍，逐渐进入非英语国家。近来有言论观察到，这些诈骗在西班牙语、德语、意大利语和法语等多种语言中出现，反映出威胁环境的扩大。这些诈骗的多语言扩展表明了全球威胁的存在，并强调了多国合作应对这些人工智能驱动的诈骗的必要性。

在TikTok上流传的意大利和法语诈骗视频截图

虽然TikTok是这些诈骗的主要舞台，但证据表明恶意行为者采用了多平台方法。YouTube等平台也被利用来传播诈骗内容，表明这些欺诈行为具有更广泛的数字影响力和传播范围。TikTok本身每月活跃用户超过10亿，使得表面上的攻击面积庞大。当我们开始阻止访问这些诈骗网站时，几天内就保护了数千名用户。

TikTok诈骗并非孤立事件，而是正在上升的人为智能驱动网络威胁的一个指示。通过深度伪造技术传播虚假信息的容易性，加上快速经济利益的诱惑，可能会为未来更复杂的诈骗铺平道路。这种潜在的后果不仅涉及个人经济损失，还可能导致对数字平台和知名人士信任的广泛侵蚀。

路易斯科龙斯，安全传播者

与桌面相关的威胁

高级持续性威胁APTs

高级持续性威胁APT是一种网络攻击，通常由具备较高技能和决心的黑客进行，他们拥有资源和专业知识，能够渗透目标网络并长时间保持隐秘状态。

APT组织越来越多地利用不完善的验证过程获取驱动程序签名。安全厂商发布的签名驱动程序通常被认为是安全的并被授权在操作系统中使用。APT通过破坏这种信任，不仅绕过检测机制，还获得对目标系统的隐秘和特权访问，实际上使传统安全协议失效。这种大胆的方法挑战了网络安全的基础，突显出在防御日益演变的APT威胁方面不断创新和保持警觉的必要性。

2023年6月初，我们发现了由微软签署的未知驱动程序。这些签名驱动程序通过NSecRTSexe签名的二进制文件传播，该文件被归因于山东安宅信息技术有限公司。值得注意的是，NSecRTS被认为是常规监控软件，并在QiAnXin病毒响应中心被提及。

此外，我们还发现NSecRTSexe正在释放一个由微软签名的驱动程序。经过广泛调查，我们发现与该驱动程序相关联的恶意活动有多项，其中之一是在合法进程中注入自定义RAT。

我们的观察促使我们识别出受害者位于菲律宾和泰国。尽管收集了大量信息，但我们未能将攻击明确归因于特定实体。

活跃的地缘政治冲突往往吸引APT的注意，因为这种环境的动荡和混乱。通常这些组织得到国家支持且高度组织化，将冲突视为利用不稳定性实现自己战略利益的机会。战争的迷雾为他们的活动提供了方便，允许他们利用混乱推进其议程，无论是政治、经济还是军事方面。值得一提的是，APT持续利用乌克兰的持续战争，且其他冲突，如纳戈尔诺卡拉巴赫的战斗，现已纳入他们的视野。

这一季度，APT组的一个主要感染途径是CVE202338831，这是一个影响WinRAR的漏洞，允许攻击者在受害者的机器上运行任意代码。在许多情况下，受害者收到作为钓鱼邮件附件的恶意档案。打开该档案时，若使用脆弱的WinRAR版本，受害者无意中执行恶意代码，从而导致其设备感染。我们发现这一漏洞在包括针对乌克兰政府机构、军事单位以及马来西亚、越南、菲律宾等国的攻击中被多方恶意行为者利用。

臭名昭著的实体如Lazarus、MustangPanda和APT41在其全球活动中依旧无情，不断完善其战术和扩大其恶意软件武器库。这些组织不断探索新技术，推出新工具，并将语言如Nim和Rust纳入到其工具包中。

路易吉诺卡马斯特拉，恶意软件研究员伊戈尔摩根斯坦，恶意软件研究员

广告软件

广告软件被视为不需要用户同意而安装的，如果它跟踪浏览行为、重定向网络流量或收集个人信息以进行恶意目的如身份盗窃，则也是不必要的。

广告软件因其变现的可能性以及传播潜在不受欢迎程序PUP和恶意软件的途径而日益猖獗。尽管通过广告软件传播的恶意软件不是感染受害者设备的主要方法，但我们在2023年第三季度集中关注广告软件的检测，以监测这一潜在威胁。

阶段性更准确的广告软件检测结果如下图所示。本季度的广告软件活动因SocialBar广告软件而有所增加。

2023年Q2和Q3广告软件的全球Avast风险比率

新的检测帮助我们提供全球广告软件威胁的概述。我们的遥测报告显示，在广告软件威胁方面活跃的四个区域为南美洲、非洲、东南欧洲和东亚。下图显示了这些区域。

显示2023年Q2与Q3广告软件的全球风险比率地图

广告软件份额

新检测减少了未知变种的比例，从33降至6。SocialBar在2023年Q3中以58的市场份额占据广告软件市场的领军地位。以下列表展示了最常用的广告服务器及其有趣的DNS记录：

hissedassessmentmistake[]com trustworthyturnstileboyfriend[]com happeningurinepomposity[]com disgracefulforeword[]com secondquaver[]com usetalentedpunk[]com lyricsgrand[]com

其余的份额分配给其他广告软件变种，具体如下：

MudOrange7 DealPly3 RelevantKnowledge2 Neoreklami2 MicroTag2

马丁赫尔梅基，恶意软件研究员

机器人

机器人威胁主要关注确保长期访问设备，以利用其资源，无论是远程控制、发送垃圾邮件还是进行拒绝服务DoS攻击。

在僵尸网络领域最具影响力的变化发生在8月底，即FBI主导的Qakbot僵尸网络的拆解尝试。有趣的是，目标不仅是其控制与命令CampC基础设施，FBI还试图将被感染的客户从僵尸网络中断开，从而有效减少其在新基础设施下复活的难度。我们明显看到，被招募进僵尸网络的客户数量已降至“正常值”的五分之一。尽管这对僵尸网络的情况来说是好消息，但并未消除与Qakbot相关的垃圾邮件投递能力。与Qakbot分发相关的威胁行为者TA577在Qakbot被拆解后不久，开始发布DarkGate作为其钓鱼负载之一。

2023年Q3中被Qakbot保护的用户数量

我们继续密切关注威胁团体NoName056(16)及其DDosia项目。到9月底，其成员人数已超过13000人。根据上一季度的数据，他们成功保持了约每月增加1000名成员的势头。其行动模式依然如故进行DDoS攻击，被指控反俄并夸耀成果。媒体用语的误用，诸如将DDoS攻击标记为黑客攻击，或将实施者称为黑客，往往不知不觉地提升公众对这些攻击的感知，给予施害者所希望的媒体曝光度。这对于互联网激进分子集团尤其如此，媒体曝光还提升了该团体在社区中的信誉，进一步促进了其潜在招募。

2023年DDosia成员数量

就目标而言，大部分被针对的顶级域名TLD为pl波兰，15、lt立陶宛，11和it意大利，9。前两个并不令人惊讶，因为这些地区在乌克兰与俄罗斯的冲突中活动频繁。至于意大利，该团体似乎对乔拜登与意大利总理乔治亚梅洛尼的会晤做出回应。

NoName057(16)关于乔拜登与意大利总理乔治亚梅洛尼的会晤评论

金融机构是本季度最常见的目标，可能是因其潜在的财务损失和获得更好媒体报道的机会。附带说明的是他们似乎在照片和图形方面进行了实验。他们开始尝试将一只熊的照片替换为一幅卡通化的图像，使其看起来像是穿着连帽衫黑客的熊7月31日或者军队成员9月底

lb66me猎豹加速器官网

尽管Qakbot被拆解，全球风险比率略有上升部分原因是这发生在季度中间，部分是由于其他僵尸网络活动的增加。我们观察到Tofsee41、Emotet25和Trickbot13僵尸网络活动显著增加。至于其他家族，我们的遥测数据显示大多数其他家族的活动有所下降。

2023年Q3中Avast用户群体在机器人相关风险比率

阿道夫斯特雷达，恶意软件研究员

加密矿工

加密矿工是利用设备硬件资源验证加密货币交易并作为补偿赚取加密货币的程序。然而，在恶意软件世界中，加密矿工会悄悄劫持受害者的计算机资源，为攻击者产生加密货币。无论加密矿工是合法的还是恶意软件，遵循我们的指导方针都很重要。

与上个季度相比，2023年Q3我们在加密矿工风险比率上观察到了4的下降。这是加密矿工威胁持续向下的趋势。

2023年Q3中Avast用户群体的全球加密矿工风险比率

在2023年Q3，塞尔维亚再次面临接触加密矿工的最高风险，这一区域趋势在过去几个季度已经显现。但428的风险比率下降了26，且已创下新低。其他高风险国家也出现类似情况，包括马达加斯加373、黑山329和波斯尼亚和黑塞哥维那264。

2023年Q3中信息窃取者的全球风险比率

遗憾的是，市场份额增加了XMRig，我们测得其增长了30，现占总加密矿工市场份额的2365。CoinBitMiner的受欢迎程度也有所上升，其恶意软件市场份额增加了10，占202。其他网络矿工的活动略有下降5，现在共占6146的市场份额。其他变种，如FakeKMSminer、VMiner和CoinHelper，活动下降幅度较大，分别减少了27、62和29。

常见的加密矿工及其在2023年Q2中的市场份额如下：

网络矿工6146 XMRig2365 CoinBitMiner202 FakeKMSminer158 NeoScrypt103 CoinHelper077 VMiner073

扬鲁宾，恶意软件研究员

信息窃取者

信息窃取者专注于从受害者的设备中窃取任何有价值的信息。通常，它们专注于存储的凭证、加密货币、浏览器会话/ Cookies、浏览器密码和私人文档。

“我没有什么好隐藏的，我不需要保护我的数据”这种普遍看法是根本错误的。即使是那些认为自己的数据没有价值的人，最终也会发现，这样的数据在大规模上可能变得非常有价值。这种数据可以在地下论坛上出售获利、用于进一步攻击，包括更有针对性的诈骗和网络钓鱼所谓的 针对性网络钓鱼、用于勒索等。请务必保持警惕。

在2023年Q3，我们观察到信息窃取者整体活动与上一季度相比减少了6，减缓了近期观察到的下降趋势。

本季度最大的变化是，根据我们的数据，Raccoon Stealer经历了巨大活动下降，市场份额减少了72。另一方面，一些其他变种高度增长，包括AgentTesla、Fareit和SnakeKeylogger，市场衡量达到平衡。

2023年Q3中Avast用户群体针对信息窃取者的全球风险比率

地理分布在2023年Q2与Q3之间保持一致。我们在用户比较多的国家中，风险比率最高的是巴基斯坦247、土耳其205和埃及190。值得庆幸的是，这些国家的风险比率均较上一季度下降了5、7和14。

信息窃取者的风险比率的最大增幅出现在乌克兰增长44、美国21和印度16。

AgentTesla依然占据最受欢迎信息窃取者的首位，市场份额进一步增加9。排名第二的FormBook稳定，市场份额仅微增055。Fareit、SnakeKeylogger和Stealc的市场份额分别增长了11、68和4。

值得一提的是，新的信息窃取者或其变种在过去几个月显示出活动显著上升。这些恶意参与者不断演化其战术，从而绕过安全措施并将敏感数据外泄。这些技术通常包括利用软件和人类行为中的漏洞，这使得组织和个人必须保持警惕，并采取有效的网络安全策略以保护其价值信息。

我们观察到针对银行数据的新版本Rilide Stealer，已经被发现能够绕过Google Chrome的清单V3。清单V3的一项新功能是禁用浏览器扩展中的远程代码执行。作为替代，Rilide Stealer使用内联事件以及声明式网络请求规则来远程执行代码，并移除内容安全策略头。由于Rilide通过感染机器上的本地加载器进行分发，而不是通过Chrome应用商店，因此没有审查流程来检测这些做法。

此外，发现了Rhadamanthys与Hidden Bee加密矿工之间的新连接，提供了内在运作和实施细节的新见解。另一种恶意软件DarkGate则作为加载器，具备键盘记录、加密货币挖矿、从浏览器窃取信息以及整体远程访问功能等多项能力。尽管该恶意软件可以追溯到几年前，但目前仍在积极开发，推出新的感染途径，如使用Microsoft Teams进行交付。

此外，名为Lumma的恶意软件即服务窃取者也在持续获得人气。这种恶意软件的功能范围从加密货币盗窃到针对双重身份验证2FA浏览器扩展的目标，提取银行数据、凭证等。

Clipper通常是小型恶意程序，用于将受害者剪贴板中的内容替换为攻击者指定的内容在这种情况下是加密货币钱包地址。这些在前几个月变得流行的Clipper包括Atlas Clipper、Keyzetsu Clipper和KWN Clipper，通常利用Telegram进行命令和控制通信并提供购买的机会。

扬鲁宾，恶意软件研究员

勒索软件

勒索软件是一种任何形式的敲诈恶意软件。最常见的子类型是加密文件，例如文件、照片、视频、数据库和其他文件。未经解密，受害者将无法使用这些文件。攻击者要求支付“赎金”以解密文件，因此有“勒索软件”之称。

勒索软件的流行程度并没有减弱，事实上，正好相反。根据Chainalysis的研究，2023年上半年被敲诈的金额总计约为45亿美元与2022年上半年28亿美元相比。这与勒索软件运营商的战术改变有关他们倾向于针对更大的受害者，这带来了更高的赎金支付可能性。在头号勒索软件中，平均支付金额高达170万美元Cl0p勒索软件和150万美元BlackCat勒索软件。

公司使用的流行第三方应用程序中的漏洞让攻击者得以轻松突破。我们曾在以前的威胁报告中讨论过Progress MOVEit传输软件中的SQL注入漏洞。

除了加密受害者数据外，勒索软件团伙日益进行数据敲诈。若公司具有良好的数据备份政策，加密数据问题或许能得到解决；然而，数据敲诈和随后泄露内部文件则无论如何都是个大麻烦。此外，务必记住，在支付赎金后，它们并不总是遵守删除被敲诈数据的承诺。

本季度出现了一种新的勒索软件变种Rhysida。首次提及这一勒索软件是在2023年5月，勒索软件泄露网站上已列出约五十个成功攻击的组织，包括政府、医疗、IT和市政单位。

Rhysida在暗网的泄露网站

Rhysida团伙使用的加密工具是一个32位或64位的EXE文件，使用MinGW/GCC 630编译并与GNU Linker 230链接。在加密操作中， LibTomCrypt v 1181被用作加密库。文件通过AES加密并处于计数模式中，文件密钥和IV则通过RSA4096加密并采用OAEP填充。

Rhysida在文件加密时力求尽可能快：

间歇性数据加密。所有内容并非同时加密。对于较大文件，Rhysida仅加密其中几个不同的文件块。 多线程加密。为每个处理器设置一个加密线程。在加密过程中，每个处理器都忙于工作。

通过使用 pthreads 库，我们认为Rhysida勒索软件的作者希望构建一个容易移植到其他平台的加密程序。

Rhysida在每个文件夹中放置一个名为“CriticalBreachDetectedpdf”的赎金说明文件。以下图示为赎金说明示例：

Rhysida创建的赎金说明内容

有关该勒索软件变种的更多信息，请参见我们的博客文章。

如以往的每份威胁报告，我们带来用户群体中风险比率的概述。下图显示了最具风险的国家根据勒索软件。

2023年Q3勒索软件风险比率

最面临勒索软件攻击风险的国家名单：

莫桑比克074 安哥拉044 加纳035 巴基斯坦020

我们见到并防护的最流行的勒索软件变种如下：

WannaCry19的勒索软件份额 STOP15 Thanatos3 TargetCompany2 LockBit2 Cryptonite2 Enigma1

我们用户群的总风险比率大致保持不变：

我们用户群中的勒索软件威胁发展情况

拉迪斯拉夫泽祖拉，恶意软件研究员雅库布克劳斯特克，恶意软件研究主任

远程访问木马RATs

远程访问木马RAT是一种恶意软件，允许未经授权的个人远程控制受害者的计算机或设备。RAT通常通过社交工程技术传播，例如钓鱼邮件或感染的文件下载。一旦安装，RAT允许攻击者完全访问受害者的设备，使他们能够执行多种恶意活动，如监视、数据盗窃、远程监视，甚至可以控制受害者的webcam和麦克风。

在2023年第二季度观察到的RAT增长趋势，在2023年第三季度仍在持续。总体上，我们看到风险比率略有上升。我们报告的Remcos的显著上升在上一季度似乎放缓，Remcos的使用数量保持在与上季度相近的水平。然而，我们观察到对DBatLoader加载器的稳定增长，该加载器可以传递Remcos等其他有效负载。

2023年Q3中Avast用户群体的全球RAT风险比率

关于RAT的风险比率最高的国家一如既往地是阿富汗、伊拉克和也门，这与HWorm在这些国家的广泛传播有关。此外，我们还注意到njRAT在伊拉克和也门活跃。在2023年第三季度，风险比率增幅最大的是葡萄牙148的增长、波兰55和斯洛伐克43，原因在于Remcos，而斯洛伐克则是Warzone的影响。风险比率最大下降的国家则是捷克下降42、比利时下降34和日本下降33。这又很可能与Remcos和Warzone在这些国家的活动或暂时缺乏有关。

显示2023年Q3的全球RAT风险比率的地图

在2023年Q3中市场份额和受保护用户数量增长最大的RAT属于NanoCore。这两个数字均增长了近100。希腊、土耳其和匈牙利是最受RAT侵害的国家，同时我们也观察到巴西、墨西哥和西班牙活动显著增加。

XWorm的增长幅度更大，增幅超过400。然而，XWorm总体上并未广泛传播至能上榜前10。

在我们观察到的最流行的RAT中，Warzone和AsyncRat的风险比率最大幅度下降。根据数据，Warzone下降了27，AsyncRat下降了14。

我们用户群中最流行的远程访问木马变种为：

HWorm Remcos njRAT AsyncRat Warzone NanoCore QuasarRAT Gh0stCringe DarkCometBifrost

Uptycs威胁研究团队发现了一种名为QwixxRAT的新RAT，首次注意到是在8月初。QwixxRAT具有相当标准的功能集，包括键盘记录、信息盗窃信用卡、浏览历史记录和书签、与Steam相关的数据等、监视webcam、麦克风、执行感染系统上的命令等。它使用Telegram作为指挥和控制通道。

ZenRAT是另一种在2023年第三季度出现的RAT，由Proofpoint Emerging Threats报告。此RAT被发现捆绑在合法的密码管理器Bitwarden上，位于网站bitwariden[]com。根据研究，ZenRAT设计成模块化的，但根据Proofpoint的说法，他们只看到了一个模块，似乎是在收集系统信息。

奥恩德雷莫科什，恶意软件研究员

Rootkits

根套件是专门设计用来获得对系统的未授权访问并获得高级别权限的恶意软件。根套件可以在系统的内核层面操作，这赋予其深层访问和控制，包括修改关键内核结构的能力。这可能使其他恶意软件操控系统行为并躲过检测。

根套件活动的趋势自年初以来保持稳定。我们还可以说，长期来看，活动趋势在下降。下图显示了过去三个季度根套件的活动。

2023年Q1至Q3的根套件风险比率

在各个国家的风险比率中，中国在根套件活动的程度上保持领先地位。尽管在全球范围内我们观察到活动下降，但在乌克兰62和俄罗斯联邦62却见到特定的活动上升，尤其是R77RK根套件的活动。

2023年Q2和Q3的根套件全球风险比率

2023年9月，R77Rootkit的更新版本150发布，简化了在受害者机器上部署的过程。然而，尽管进行了改进，该根套件的活动并没有随之增加。因此，R77RK仍然是恶意软件市场的领导者，其市场份额与上一季度相同18。

约17的未识别变种根套件也占有市场份额，作为具有提升系统权限的各类活动的内核代理，例如终止进程、改变网络通信和注册表操作等等。与前一季度相比，更有趣之处在于，环形包装的使用增加了，意在混淆驱动程序功能。

第三大市场份额的根套件是Pucmeloun，其主要功能是修改网络流量以重定向至不同页面。它是其他广告软件的一部分，可以在内核层面上控制网络请求，广告软件网站主要为中文内容。

以下是各类公认的Windows根套件及其市场份额的全面列表：

R77Rootkit18 Pucmeloun13 Alureon7 Cerbu6 Perkesh6

在Linux内核根套件方面，受Syslogk启发，攻击者继续隐藏命令行后门或取决于攻击者如何控制被感染计算机的机器人与根套件一起执行这些操作，利用魔法数据包。这种利用开源项目代码的Linux内核根套件我们依然在监控。例如，Rocke重用了Reptile Reptile的代码，并隐藏了一个可以通过魔法包生成的秘密受保护的shell。

马丁赫尔梅基，恶意软件研究员大卫阿尔瓦雷斯，恶意软件分析师

漏洞和利用

利用是针对合法软件中的缺陷进行的，从而执行一些不允许的操作。通常分为远程代码执行RCE漏洞，允许攻击者感染另一台机器，和本地特权提升LPE漏洞，允许攻击者在部分感染的机器上获得更多控制权。

WinRAR并不是利用的频繁目标，除了偶尔的路径穿越外。因此，当我们首次听说CVE202338831时，它是一个容易被利用的WinRAR漏洞，使攻击者能够制作恶意档案，其内容同时包含良性诱饵例如，图像文件和恶意有效载荷。当无意识的受害者在使用易受攻击的WinRAR版本时打开这样的恶意档案，并双击诱饵文件时，恶意有效载荷将被执行。这是因为从WinRAR内部打开文件的实现方式是将目标文件提取到临时文件夹，然后调用ShellExecute。不幸的是，由于路径规范化存在缺陷，可能会重定向ShellExecute调用，以针对与用户单击的文件不同的文件。有关漏洞的深入分析，我们建议阅读SecureLayer7的分析。

这个漏洞自2023年4月以来就在经济动机驱动的攻击中被利用，且利用行为已经在交易论坛上进行，攻击者发布了诱骗性的利用档案，声称提供创新交易策略的细节。然而，实际传达的并非激动人心的新交易策略，而是用来传播DarkMe恶意软件在某些攻击中是Guloader gt Remcos二重奏。这一活动最初是由GroupIB威胁情报小组在7月发现的。在向RARLAB报告该漏洞后，修补版本的WinRAR在8月发布。

鉴于WinRAR必须手动下载和安装修补版本，我们可以预计，将会有许多用户在未来继续使用未修补的版本。虽然该利用确实需要相当多的用户互动并非每个目标用户都会在WinRAR中打开档案并双击诱饵文件，但制作一个利用档案非常简单甚至有一个公开的PoC构建器在GitHub上，因此很可能会有恶意行为者尝试利用此漏洞。实际上，最近Google TAG报告称多次由政府支持的黑客组织利用了此漏洞。让我们借此机会提醒读者不要延误进行更新。

![](https//decodedavastio/wpcontent/uploads/sites/