前言

我很高兴能向大家介绍Avast 2023年第一季度威胁报告，这份报告全面概述了最新的网络威胁以及安全领域的新兴趋势。我们的威胁实验室团队分析了大量数据，以辨识和防止全球范围内最重要的风险，包括社会工程攻击的日益严重。事实上，本季度我们的检测中有三分之二是网络钓鱼、诈骗或相关的在线威胁，这一点可以从下面的信息图中看到。

在本期威胁报告中，我们的专题故事聚焦于网络罪犯用来感染用户的演变策略。例如，我们突出了Qakbot、IcedID、Redline和Emotet等恶意软体集团对OneNote文档的滥用显著增加。这些集团不断调整其策略，以避开检测并感染毫无防备的用户。这项分析揭示了这一新兴威胁形势，并提供了用户保护自己免受这些演变策略影响的见解。

信息窃取软体仍然是主要威胁之一，与2022年第四季度相比，感染的整体风险显著增加了22。这一趋势在日本尤为明显，该国此类攻击增长了86。我们的团队还成功保护了333更多用户免受Raccoon Stealer的活动，这一信息窃取者现在与AgentTesla等最受欢迎的信息窃取者平起平坐。此外，我们发现了一种新的恶意软体NeedleDropper，主要用于分发这些窃取者。

东亚地区，包括日本、台湾和中国，本季度广告软体活动显著增加。此外，俄罗斯的DDosia项目有了重大发展，目前有7300名成员参与这些恶意活动。此外，随著全球从独立的挖矿软体如XMRig转向在受害者浏览器中运行的网络挖矿者，币矿工在巴尔干地区持续构成威胁。

报告还包括我们在打击勒索软体方面的最新努力，其中涉及针对BianLian和MeowCorpConti的后裔勒索软体家族的两款新免费解密工具的发布。此外，我们还看到了一些关于捕捉网络罪犯的好消息，尤其是在欧洲，针对NetWire、DoppelPaymer和Hive等集团的行动。将更多网络罪犯绳之以法将是越来越好的。

此外，几种远程访问木马RAT显著增加了其存在，包括Remcos、AsyncRat和DarkComet，其中许多都得到了DBatLoader的帮助，特别是在捷克共和国、阿根廷和墨西哥，这些地区相关的风险比率在本季度翻了一番。

我们的研究团队一直在主动识别威胁行为者使用的零日漏洞。在一个热门的MOBA游戏Dota 2中发现了一个此类漏洞。此外，之前我们在上一期威胁报告中报告的漏洞越来越多地被利用来传播勒索软体和间谍软体，包括桌面和移动设备。

在移动端，广告软体继续占据主导地位，并在印度、巴西和阿根廷等许多国家进一步成长，其中MobiDash广告软体本季度受保护用户增长超过100。此外，移动银行木马继续演变，并专注于即时付款，同时使用机器学习窃取加密钱包详细信息。

总的来说，我鼓励您阅读完整报告，以深入了解最新的安全威胁和趋势。我们的团队致力于提供最新的信息和保护措施以抵御这些威胁。感谢您信任Avast来保护您的在线安全。

雅库布克鲁斯特克，恶意软体研究主管

方法论

本报告分为两个主要部分：桌面相关威胁，在这里我们描述针对Windows、Linux和Mac操作系统的攻击情报，并特别关注网络相关威胁；以及移动相关威胁，在这里我们描述针对Android和iOS操作系统的攻击。

此外，我们在本报告中使用了risk ratio风险比率一词来描述特定威胁的严重程度，这是根据“每月被攻击用户数 / 每个国家每月活跃用户数”的月均值计算出来的。除非另有说明，计算出的风险仅适用于每月活跃用户超过10000的国家。

专题故事

新的恶意软体分布策略

随著网络犯罪继续成为一个利润丰厚的行业，网络罪犯不断寻找新的方式来分发恶意软体并感染用户。微软最近对来自互联网的文件禁用宏的变更，促使罪犯探索替代的感染方法。这里详细说明了两种新兴方法：

微软OneNote，一款笔记应用程序，已成为恶意软体的流行传播工具。网络罪犯将伪装的OneNote文件附加到电子邮件中，当收件人打开该文件时，里面可能包含下载和安装恶意软体的脚本或代码。通过这些运动传播的恶意软体家族包括Qakbot、Raccoon、IcedID、AsyncRAT和Redline等。我们保护的用户数量每天都在增加，突显了这一威胁的普遍性。在2023年第一季度，我们保护了超过47000名客户免受此类攻击，这一趋势也在不断上升：

另一种分发恶意软体的创新方式是通过滥用Adobe的云服务Acrobat Sign来实现。网络罪犯利用邮件通知系统，通过向文档添加带有恶意链接的文本后，将其发送给预期的收件人。当受害者点击该链接时，他们会被重定向到一个网站，要求下载一个包含Redline木马变体的ZIP文件，该木马旨在窃取密码、加密钱包等。

这种滥用Adobe Acrobat Sign分发恶意软体的技巧是一种针对性的创新，可能会在网络罪犯中变得越来越流行，因为它有可能绕过反恶意软体过滤器，更有效地接触到受害者。

不断变化的网络犯罪格局突显了保持对最新威胁和保护策略更新的重要性。微软OneNote附件和Adobe Acrobat Sign的滥用展示了不法分子如何不断适应新的策略，以便将恶意软体病毒感染用户。

路易斯科隆斯，安全布道者

桌面相关威胁

专业持续威胁APT

专业持续威胁APT是一种由技能高超且决心强烈的骇客所发动的网络攻击，这些骇客拥有渗透目标网络并长期保持未被发现的资源和专业技能。

APT集团持续对全球组织和政府构成重大风险。其中一个集团是Gamaredon，该组织以针对乌克兰而闻名。Gamaredon是一个活跃至少从2013年以来的高度复杂的网络间谍组织。该组织主要针对乌克兰政府和军事机构以及该国的其他组织。该集团利用针对性钓鱼攻击获得初步访问权限，并使用Telegram和Telegraph服务作为指挥和控制C2IP的分发通道是该集团的一个常见做法。

另一个被确定为在多个地区活动的APT集团是MustangPanda。该组织主要针对亚洲地区的国家，包括缅甸和柬埔寨。该集团持续利用Korplug恶意软体以及各种其他定制工具。

Lazarus Group是一个与朝鲜政府有关的威胁行为者。该组织负责过去一系列高调的网络攻击。最近，他们因通过3CX Phone System发起的一次供应链攻击而成为新闻焦点，该攻击利用了名为TxrLoader的恶意软体。Avast用户在此次活动中受到保护。

卢伊吉诺卡马斯特拉，恶意软体研究员伊戈尔莫根斯特恩，恶意软体研究员

广告软体

广告软体如果在未经用户同意的情况下安装、追踪浏览行为、重定向网络流量或以不正当目的收集个人信息如身份盗窃，则被视为不受欢迎的。

在2023年第一季度，广告软体活动的趋势保持稳定，我们观察到未出现重大活动，正如下面的图表所示。

2023年第一季度全球Avast桌面广告软体风险比率

DealPly广告软体最近在广告软体市场中建立了主导地位。下图显示了DealPly的风险比率在全球范围内的增加。

显示2023年第一季度全球DealPly广告软体风险比率的地图

所有广告软体品系的风险比率略高于2022年第四季度。我们观察到的显著增加是东亚地区的广告软体活动，特别是日本、台湾和中国。完整的风险比率显示在下面的地图中。

显示2023年第一季度全球广告软体的风险比率的地图

明确识别的市场领导者仍然是DealPly，其市场份额为15。我们将其他品系的较低两位数的市场份额分配如下：

然而，其他未知品系在2023年第一季度占有58的市场份额。主导类型的广告软体通常会等待用户单击任意超链接，并将原始链接替换为重定向用户到广告网站的链接。

下表说明了本季度和上一季度中活跃的广告域的分布。显然，广告域会在每个季度动态轮换，以避免被广告拦截器检测到。

2023年第一季度 2022年第四季度saumeechoa[]com ( 53) saumeechoa[]com (2) ptuvauthauxa[]com ( 19) ptuvauthauxa[]com (35) oovaufty[]com ( 16) oovaufty[]com (8) ninoglostoay[]com (7) goad2upapp[]com ( 1) saumeechoa[]com (2) 表示2023年第一季度和2022年第四季度活跃广告伺服器的数据

不幸的是，广告软体作者的创造力每个季度都在提高。广告软体通常出现在提供免费软体下载或其他产品的网站上，这是网络垃圾邮件发送者常用的策略。我们将在后续部分中详细描述基于Web的广告软体。

广告软体有可能控制系统并执行恶意软体如勒索软体、间谍软体、RAT和其他威胁。然而，应注意的是，广告软体对用户而言通常麻烦多于真实危险。

马丁丘梅克，恶意软体研究员

机器人

机器人是一种主要旨在获得对被感染设备的长期访问的威胁，目的是利用其资源，无论是进行远程控制、发送垃圾邮件还是发起拒绝服务DoS攻击。

随著乌克兰战争的进展，对该冲突感兴趣的骇客集团持续演变。值得注意的是，由NoName057(16)团队运营的DDosia项目经历了一次重大发展。推测可能是对各种研究人员追踪该项目的反应，该团队为目标检索实施了身份验证机制。此外，我们怀疑他们开始禁止怀疑在网络上进行监视的IP地址。到2023年第一季度结束，DDosia参与者的数量已稳定增长至约8500名成员。

如前文的专题故事所提到，自微软宣布其打算限制Microsoft Office宏后，威胁行为者在测试其他有效载荷类型方面异常创新。我们看到他们在前两个季度中使用了ISO存档、Microsoft Office模板文件和HTML走私等方法。本季度的新目标是Microsoft OneNote，这对各种威胁行为者的吸引力相当高无论是分发者如Emotet还是“消费者”如Qakbot、IcedID、AsyncRAT等似乎都对它非常青睐。

与上一季度的大规模Emotet攻击相比，本季度的活动相对平静，风险比率略有下降环比减少13。虽然许多知名家族如Amadey、Qakbot或Twizt的流行度显著增加，但Emotet意外地不在其中，因为它的活动出现了大幅下降。上季度的开源机器人网路BlackNET，在上季度时流行度飙升，而本季度则有所下降，使其流行程度接近半年前的水平。

2023年第一季度Avast用户基础中机器人的全球风险比率

阿道夫斯特雷达，恶意软体研究员

币矿工

币矿工是利用设备硬体资源来验证加密货币交易并获得加密货币作为奖励的程序。然而，在恶意软体世界中，币矿工悄悄劫持受害者的计算机资源，以为攻击者创造加密货币。无论币矿工是合法的还是恶意的，遵循我们的指导方针是非常重要的。

在美国和瑞士的矽谷银行、Silvergate Bank以及Signature Bank倒闭后，加密货币在2023年第一季度经历了一次小复苏。幸运的是，对于币矿工来说，情况却相反，其活动持续下降，甚至比之前季度的下滑还要快风险比率下降15。

2023年第一季度Avast用户基础中针对币矿工的全球风险比率

继上季度之后，2023年第一季度用户在塞尔维亚遭遇币矿工的风险再次达到最高，风险比率为711。黑山的用户为594，波斯尼亚和黑塞哥维那的用户为384，马达加斯加为373。在2023年第一季度，Avast观察到北马其顿和埃及的币矿工活动显著增加，受保护用户数分别增长了81和12。

2023年第一季度币矿工的全球风险比率

相对而言，XMRig继续下滑。在2023年第一季度它的市场份额下降了13，目前占整个市场的16。类似地，VMiner损失了14的市场份额，现占据了总市场的130。另一方面，其他几个重大的币矿工则占据了更大的市场份额网络矿工占据了6653的市场份额，CoinBitMiner197、FakeKMSminer189和CoinHelper127也有一定的市场份额。

在2023年第一季度，最流行的币矿工包括：

扬鲁宾，恶意软体研究员

信息窃取者

信息窃取者专注于从受害者的设备中窃取任何有价值的东西。通常，它们集中于存储的凭证、加密货币、浏览器会话和cookie、浏览器密码、私有文档等。

Raccoon Stealer的活动在2023年第一季度大幅增加。我们保护的用户数量比上一季度增加了333。此外，根据我们的统计，Raccoon现在的活动水平与AgentTesla、RedLine和FormBook等最流行的信息窃取者相当。由于这一显著的增长，整体感染信息窃取者的风险也随之显著上升增加了22。

在2023年第一季度Avast用户基础中信息窃取者的全球风险比率

类似于币矿工，信息窃取者在埃及的流行度也较高，风险比率增加了53408的风险比率。位于也门的个人在遭遇信息窃取者感染的风险中仍然是最高的466的风险比率。我们还在沙乌地阿拉伯的用户中保护了149更多的人145的风险比率。

显示2023年第一季度信息窃取者的全球风险比率的地图

AgentTesla现在持有1843的市场份额，比前一季度增加了32。ViperSoftX的活动也有增长，其市场份额上升了69，现在占据221的信息窃取者市场。而FormBook和RedLine的活跃度出现了下降，分别减少了40和28。

在2023年第一季度，最常见的信息窃取者包括：

NeedleDropper是一种新发现的投放恶意软体，主要用于分发像FormBook或AgentTesla这样的信息窃取者。为了避免检测，该恶意软体试图通过丢弃许多未使用的无效文件来隐藏自己，并将重要数据存储在几MB的无关数据之间，还利用合法应用程序执行恶意活动。

MacStealer是针对MacOS用户的恶意软体，主要通过被攻击的dmg包传播。这款恶意软体从各种互联网浏览器中收集个人信息，包括密码、cookie、信用卡详情、KeyChain数据库信息和加密货币钱包数据。该程式将收集的数据存储在ZIP文件中，并将其发送到远程伺服器，可能使受害者面临身份盗窃、经济损失或其他网络威胁。

扬鲁宾，恶意软体研究员弗拉基米尔扎卢德，恶意分析师

勒索软体

勒索软体是任何一种敲诈型恶意软体。最常见的子类型是加密文档、照片、视频、数据库及其他文件的恶意软体。这些文件在没有解密之前将变得无法使用。攻击者为解密工具索取金钱，即“赎金”，因此得名勒索软体。

与其他威胁不同，勒索软体通常会明确指出用户已被网络罪犯锁定，通常表现为更换桌面背景或留下赎金信。以下是来自BianLian勒索软体的赎金信的例子：

在某些情况下，可能可以在不支付赎金的情况下解密文件。如果您曾经遭遇勒索软体攻击，赎金信可能会指出导致攻击的具体勒索软体范畴。例如，上述的BianLian勒索软体可以通过Avast在2023年1月发布的解密工具进行解密。

如果无法解密勒索软体，重要的是要存档所有被加密的数据，因为总是有可能在黑帮关闭其业务后发布加密密钥。最近，这就是MeowCorp勒索软体的案例，它基于Conti的泄露源。我们因此在2023年3月发布了它的Conti解密器。

谈到Conti，泄漏的源代码现在也被LockBit帮派使用。这是LockBit帮派第二次更改其加密器首先，他们推出了基于BlackMatter的LockBit Blackhttps//twittercom/fwosar/status/1543700719181746182，现在又转向基于Conti源代码的LockBit Greenhttps//twittercom/vxunderground/status/1618885718839001091。

有时，一个勒索帮派会关闭其业务，但并不是自愿的；执法机构可能在打击网络罪犯的战斗中得分并查获了该操作。例如，最近Hive勒索网络被美国和欧洲执法机构渗透。此外，有两名嫌疑犯被怀疑是DoppelPaymer勒索帮派的成员，并被德国地方警方、乌克兰国家警察和欧洲刑警组织联合行动逮捕。

在检查上述赎金信的图片时，可以注意到有关如何联系攻击者和发送付款的说明。通常，这是通过将加密货币如比特币、门罗币或以太坊发送到攻击者拥有的加密货币钱包来完成的。虽然这些钱包本身是匿名的，但可以追踪与勒索犯罪行为者相关的钱包之间的货币转账。根据Chainalysis的报告，勒索帮派在2022年收到了457亿美元，相较于2021年下降了40，这可能是因为越来越多的公司拒绝支付赎金。

在这里，我们根据我们在用户基础中的观察提供勒索软体统计数据。WannaCry保持著其首位市场份额为18，接下来是STOP勒索软体15。在较低的位置有Thanatos3、Hidden Tear1、Magniber1和LockBit1。整体而言，Avast所观察到的勒索软体攻击绝对数字正在缓慢下降，因为勒索软体作者正在转向针对性攻击，这些攻击的频率低于我们过去看到的大规模攻击：

拉迪斯拉夫泽祖拉，恶意软体研究员雅库布克鲁斯特克，恶意软体研究主任

远程访问木马RAT

远程访问木马RAT是一种恶意软体，允许未经授权的个人远程控制受害者的计算机或设备。RAT通常通过社会工程技术如钓鱼电子邮件或感染文件下载进行传播。一旦安装，RAT便会授予攻击者对受害者设备的完全访问权限，使其能够执行各种恶意活动，如监控、数据盗窃、远程监控，甚至控制受害者的摄像头和麦克风。

在2022年下半年的整体风险比率持续下降后，2023年第一季度回到了2022年第四季度的水平。这主要归因于Remcos品系，在本季度活跃度非常高。

Remcos的活动在世界各地有所增长。其在其他RAT之中的市场份额总体增长了60。然而，在捷克共和国、阿根廷和墨西哥，增长超过了100。我们经常看到Remcos通过DBatLoader加载器进行传播。根据我们的数据，DBatLoader也在分发Netwire RAT和FormBook信息窃取者。

AsyncRat、DarkComet和QuasarRAT的市场份额也增加了30以上。我们现在在世界各地都看到了AsyncRat和QuasarRAT的活跃。AsyncRat在东南欧、阿富汗、巴基斯坦和澳洲的活跃度略高，而QuasarRAT则在拉丁美洲、非洲和土耳其活跃。另一方面DarkComet似乎主要限于欧洲和中东。

在2023年第一季度最常见的RAT包括：

在由FBI、美国加利福尼亚州中央地区检察官办公室、克罗地亚内政部刑事警察局、苏黎世州警方、欧洲刑警组织和澳大利亚联邦警方进行的一次国际执法行动中，worldwiredlabscom域名被查封。座落于瑞士的一台托管NetWire RAT基础设施的伺服器被查获，该网站的怀疑管理者在克罗地亚被逮捕。NetWire的售价从10美金到1200美金不等。

另一项逮捕是在乌克兰的执法行动。赫梅利尼茨基网警察局、地方警察调查部门和SBU区域部门逮捕了一名假装成电脑游戏应用的RAT开发者。根据报导，这种RAT感染了超过10000台计算机，并且在查找之时，嫌疑开发者访问了近600台计算机。

ASEC分析小组发现，RedEyesAPT37、ScarCruft小组分发了一种名为M2RAT的新型恶意软体。M2RAT能够记录键击、泄露/上传数据到攻击者的伺服器、运行进程和捕获萤幕截图。报告还提到一种信息窃取者能够与M2RAT进行通讯。这种窃取者的任务是盗窃保存在手机上的数据。

来自Lumen的研究人员发现了一个名为Hiatus的活动。发送的一个组件是HiatusRAT，其目标是SOHO路由器，与以前被Lumen发现的ZuoRAT也曾被发现类似。另一个组件是一个修改过的tcpdump工具。HiatusRAT能够将受感染的路由器转换成攻击者的SOCKS5代理，并且允许远程访问该设备。

奥恩德雷莫科什，恶意软体研究员

根套件

根套件是专门设计用来获得未经授权访问系统并获得高级特权的恶意软体。根套件可以在系统的内核层运行，这使它能够进行深入的访问和控制，包括修改关键的内核结构。这应允许其他恶意软体操纵系统行为并逃避检测。

根套件逐渐被其他更有效的控制系统工具取代。因此，我们在2023年第一季度观察到根套件活动的下降趋势，如下面的图表所示。

2022年第一季度和2023年第一季度的根套件风险比率

如果我们从各个国家对根套件活动的风险比率进行分析，中国仍然是根套件活动最具影响力的国家。

2023年第一季度根套件的全球风险比率

尽管根套件活动的下降趋势仍在持续，但R77RK根套件仍然是根套件市场的主要选手28，因为其开源政策和文档。尽管R77RK并不是直接在内核模式中运作的根套件，但它提供了修改系统行为的基本能力，通常可以隐藏文件、注册表、过程等。

在2023年第一季度，我们没有注意到R77RK的新版本会影响其扩散，这可能是造成下滑趋势的原因。我们将看看R77RK在下一个季度是否仍能保持优势。

2023年第一季度R77RK根套件的风险比率

其余四种根套件品系的市场份额大约为20，但这些品系相对来说并不重要。为了提供一个全面的概览，以下列出了根套件品系及其对应的市场份额：

在Linux操作系统中，我们的数据同样显示根套件并不普遍。然而，Linux内核根套件的复杂性正在增加。我们检测到了使用内核空间打包器的Linux内核根套件，这些打包器能够有效绕过检测。

在Botconf 2023上展示的追踪中，我们持续追踪Syslogk Linux内核根套件，再次发现了一个与用户模式机器人相集成的新版本。这是一个不断在运行，但通过相对复杂的魔法数据包潜行启动的机器人。这样的机器人每个样本伪造了不同的服务，允许攻击者连接到其并实现一个代理模式，以便向其他受感染机械发送魔法包，伪造合法的Mozilla Firefox和Apache 2网络流量。

即使不普遍，我们认为研究这些威胁以保护用户免受进阶攻击仍然很重要。

马丁丘梅克，恶意软体研究员大卫阿尔瓦雷斯，恶意分析师

漏洞与利用

利用利用合法软体中的缺陷以执行不应被允许的行为。它们通常被分类为远程代码执行RCE利用，这允许攻击者感染其他计算机，以及本地特权提升LPE利用，这使攻击者能够对部分感染的计算机进行更多控制。

利用仍然代表著一种极其难以防范的威胁，且新发现漏洞的速度在2023年第一季度显示出毫无放缓迹象。1月份的Patch Tuesday更新修复了CVE202321674，该漏洞存在于ALPC中，我们在野外发现该漏洞时是试图直接从Chromium沙箱逃逸到Windows内核。令人惊讶的是，有四个在野外的零日漏洞被谷歌的威胁分析小组的克莱门特勒奇涅发现。这些利用中的两个被间谍供应商用于针对Android和iOS设备的复杂利用链。值得注意的是，其中一条利用链还利用了[CVE20223723](https//chromereleasesgoogleblogcom/2022/10/stablechannelupdatefordesktop27html