Avast 2022年第二季度威胁报告

告别 Conti、Zloader 和 Maldocs；迎接 Raccoon Stealer 的复活及更多勒索病毒攻击

前言

又一季度过去，这意味著我们该与全球分享我们的 Avast Q2/2022 威胁报告了。我必须承认，时间真的飞逝。今年恰好是我们开始发布这些报告的一年，而这一年可谓不乏精彩。最新的报告正是这一点的最好证明。

在 Q2/2022 中，我们目睹了恶意软体作者如何迅速适应变化。几个月前，微软宣布将使从互联网下载的 Office 文档 中运行 VBA 宏 变得困难。他们在承诺后又后退了一步，但不久后再次重申了这一承诺。随著他们长期使用的向量被默认屏蔽，威胁行为者已经开始准备各种替代感染方式。例如，IcedID 和 Emotet 已经开始使用 LNK 档案、ISO 或 IMG 图像，以及其他在 Windows 平台上支援的技巧，来替代恶意文档进行传播。你可能已经在你的收件箱中见过这些。

在 Q2/2022 中，野外扩散的漏洞也让这个季度变得有趣。例如，Follina 的零日漏洞在 Office 和 Windows 上被各种攻击者广泛利用。我们的研究人员发现并报告了多个由恶意软体作者使用的严重零日漏洞 CVE20222294，影响 Google、微软和苹果的浏览器。我们还发现了 Candiru 利用的一个零日漏洞，以入侵 Windows 核心。

在经历数月的下降后，我们发现 Q2/2022 中的勒索病毒攻击有显著的增长24。这部分与通常的勒索病毒嫌疑犯有关，但也与 Conti 勒索病毒集团的突然变化有关。Conti 最终停止了其运营，但就像神话中的九头蛇一样 当你砍掉一个头时，会再长出两个，所以现在我们必须匿踪追踪更多的勒索病毒团体和病毒变种。值得一提的是，在 Q2/2022 中出现了几个新的免费勒索病毒解密工具。

我们参与了恢复 Zloader 的工作，并见证了 Raccoon Stealer 的复活，其核心开发者在 俄乌战争 中据称遇害。谈到这两个国家，这些地方的恶意软体风险比率已经稳定，但仍然偏高。我们还在 Q2/2022 中检测到针对我们用户的各类恶意软体，包括日本、德国和巴西。

值得庆幸的是，这一季度恶意隐藏式加密币挖矿者略有下降，这对受害者来说是一个好消息，因为许多国家的能源成本正在上升。最后，我鼓励你阅读移动安全部分，我的同事们讨论了最常见的移动恶意软体变种如 HiddenAds、Flubot 和 SMSFactory 的兴衰。

祝你阅读愉快，保持安全。

Jakub Koustek，恶意软体研究总监

方法论

本报告分为两个主要部分 桌面相关威胁，在此我们描述针对 Windows、Linux 和 Mac 操作系统的攻击情报；以及 移动相关威胁，在此我们描述针对 Android 和 iOS 操作系统的攻击。

此外，我们在本报告中使用 风险比率 一词来描述特定威胁的严重性，该比率是根据“受攻击用户数 / 每月活动用户数”来计算的平均值。除非另作说明，风险的计算仅针对每月活跃用户数超过 10000 的国家。

桌面相关威胁

高级持续威胁 (APTs)

高级持续威胁通常由国家资助的团体创建，与纯粹以经济利益为驱动的网络罪犯不同。这些团体追求其国家的间谍议程，这意味著他们目标是某些特定类型的信息，如地缘政治的重要性、智慧财产权或甚至可以用作进一步间谍的基础的信息。

在 Q2/2022 中，我们观察到了来自 Confucius、Gadolinium/APT40、Gamaredon 和 MustangPanda 等团体的显著 APT 活动。

Confucius

最近，我们发现了一个来自印度的知名 APT 团体 Confucius，该团体在 2022 年 3 至 6 月期间，针对巴基斯坦驻美国的多个大使馆进行攻击。

Confucius 团体透过发送含有 PDF 附件的钓鱼邮件来传播其恶意软体，这些附件中包含通往钓鱼网站的链接。这些网站模仿官方政府网站，网站访问者可以下载的文件中带有密码，而这些文件都是恶意的。这样做的目的是让档案保持加密，以避免被静态 AV 扫描器检测。

我们注意到一些与当前事件有关的恶意文件名称，例如 “VaccineStatusReportxlsx”。

疫苗接种状态表格文件，含有恶意宏

该团体使用含有恶意宏的文档，来放置进一步的感染阶段，这些阶段是使用 C# 编写的。

我们还注意到还有几个其他的恶意软体家庭，例如木马下载者、文件窃取者、QuasarRAT 及一个用 C 开发的自定义 RAT。

基于该团体所使用的恶意软体设计用于间谍行为并盗窃档案和其他数据，我们怀疑该团体可能在寻求情报。

Gadolinium/APT40

我们发现了一个威胁行为者在澳大利亚一个VOIP电信服务提供商的伺服器上托管加载项。该威胁行为者利用了 Microsoft Office 中的零日远程代码执行漏洞CVE202230190。进一步的分析显示，位于帕劳的目标收到含有恶意文档的邮件，当打开时便利用了该零日漏洞，导致受害者的计算机连接至该提供商的网站，下载并执行恶意软体，最终感染。该攻击的多个阶段使用合法公司的证书进行签名，以增加其合法性。

当打开恶意文档时，它会联系被攻击的网站来加载第一阶段的 “Sihostexe”，通过 msdtexe 执行。执行后，它下载第二阶段的加载器，而该加载器则用于下载并解密第