AsyncRAT 威脅日益嚴峻，網(wǎng)絡(luò)犯罪分子繼續(xù)利用合法平臺逃避檢測并持久部署惡意軟件

2025 年 3 月 ，?網(wǎng)絡(luò)安全解決方案先驅(qū)者和全球領(lǐng)導(dǎo)者?Check Point? 軟件技術(shù)有限公司（納斯達克股票代碼：CHKP）發(fā)布了其 2025 年 2 月《全球威脅指數(shù)》報告，其中特別指出遠程訪問木馬 AsyncRAT 風頭漸起，并不斷演變，對網(wǎng)絡(luò)安全構(gòu)成嚴重威脅。

安全研究人員發(fā)現(xiàn)，AsyncRAT 正被運用于愈加復(fù)雜的攻擊活動，通過 TryCloudflare 和 Dropbox 等平臺傳播惡意軟件。這表明越來越多的網(wǎng)絡(luò)犯罪分子利用合法平臺繞過安全防御系統(tǒng)，確保持久駐留于目標網(wǎng)絡(luò)中。這些攻擊往往先發(fā)送網(wǎng)絡(luò)釣魚電子郵件，其中包含 Dropbox URL，點擊后會觸發(fā)涉及 LNK、JavaScript 和 BAT 文件的多步驟感染流程。

Check Point 軟件技術(shù)公司研究副總裁 Maya Horowitz 表示：“網(wǎng)絡(luò)犯罪分子正利用合法平臺部署惡意軟件并逃避檢測。各機構(gòu)必須保持警惕，并實施主動安全防護措施，以緩解此類不斷演變的威脅所帶來的風險。”

頭號惡意軟件家族

箭頭表示與上月相比的排名變化。FakeUpdates 是 2 月份最猖獗的惡意軟件，緊隨其后的是 Androxgh0st 和 Remcos，分別影響了全球 3% 的機構(gòu)與企業(yè)。

1.? ?FakeUpdates ?– FakeUpdates（又名 SocGholish）仍然位居榜首，它通過受感染網(wǎng)站或惡意網(wǎng)站上的偷渡式下載發(fā)送輔助有效載荷。

2.? ↑ Androxgh0st ?– Androxgh0st 是一種針對 Laravel 應(yīng)用的 Python 惡意軟件，目前排名躍升。它會掃描暴露的 .env 文件，然后竊取其中所含的登錄憑證等敏感信息。在獲得訪問權(quán)限后，網(wǎng)絡(luò)犯罪分子便可部署更多惡意軟件，并盜用云資源。

3.? ?Remcos ?– 遠程訪問木馬 (RAT) Remcos 仍是一種流行的惡意軟件，常被用于網(wǎng)絡(luò)釣魚攻擊活動。它能夠繞過用戶賬戶控制 (UAC) 等安全防護機制，堪稱網(wǎng)絡(luò)犯罪分子的“萬金油”。

4.? ↑ AsyncRAT ?- AsyncRAT 是一種針對 Windows 系統(tǒng)的遠程訪問木馬 (RAT)，于 2019 年首次被發(fā)現(xiàn)。它會將系統(tǒng)信息泄露到命令與控制服務(wù)器，并可執(zhí)行各種命令，例如下載插件、終止進程、截取屏幕截圖和進行自我更新。AsyncRAT 通常通過網(wǎng)絡(luò)釣魚攻擊活動傳播，用于數(shù)據(jù)竊取和系統(tǒng)入侵。

5.? ↑ AgentTesla? - AgentTesla 是一種高級 RAT（遠程訪問木馬），常被用作鍵盤記錄器和密碼竊取程序。它自 2014 年以來一直活躍至今，不僅能夠監(jiān)控和收集受害者的鍵盤輸入與系統(tǒng)剪貼板，而且還可以記錄截圖和竊取為受害者設(shè)備上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）輸入的證書。AgentTesla 作為合法 RAT 公開出售，客戶只需支付 15-69 美元即可獲得用戶許可。?????????

主要移動惡意軟件

1.? ?Anubis ?– Anubis 不僅仍是頭號移動惡意軟件，而且還是一種危害嚴重的銀行木馬，具有多重身份驗證 (MFA) 繞過、鍵盤記錄和勒索軟件等多種功能。

2.? ↑ Necro ?– Necro 是一種惡意 Android 下載程序，目前排名有所上升。它允許網(wǎng)絡(luò)犯罪分子根據(jù)其創(chuàng)建者的命令執(zhí)行惡意組件，從而在受感染設(shè)備上進行一系列惡意操作。

3.? ↓ AhMyth ?– AhMyth 是一種針對 Android 設(shè)備的遠程訪問木馬 (RAT)，其肆虐程度略有下降。由于它能夠竊取銀行憑證和 MFA 代碼等敏感信息，因此仍是一個重大威脅。

全球首當其沖的行業(yè)

1.? 教育

2.? 電信

3.? 政府

主要勒索軟件團伙

上月，Clop 仍是最猖獗的勒索軟件團伙，其攻擊數(shù)量占已發(fā)布攻擊的 35%。其次是 RansomHub 和 Akira。

1.? Clop ?– Clop 仍是主要的勒索軟件團伙，利用雙重勒索手段威脅受害者，若不支付贖金，就對外公布被盜數(shù)據(jù)。

2.? RansomHub? – RansomHub 采用典型的勒索軟件即服務(wù) (RaaS) 操作，據(jù)稱是 Knight 勒索軟件的翻版。它因其針對各種系統(tǒng)（包括 Windows、macOS 和 Linux）發(fā)起的大規(guī)模復(fù)雜攻擊活動而臭名昭著。

3.? Akira ?– Akira 是新興勒索軟件團伙，主要瞄準 Windows 和 Linux 系統(tǒng)發(fā)起攻擊。該團伙涉及多起網(wǎng)絡(luò)釣魚攻擊活動和 VPN 端點漏洞利用，對受害者構(gòu)成嚴重威脅。

關(guān)于 Check Point 軟件技術(shù)有限公司?

Check Point 軟件技術(shù)有限公司是一家領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺提供商，為全球超過 10 萬家用戶提供安全保護。Check Point 利用強大的 AI 技術(shù)通過 Infinity 平臺提高了網(wǎng)絡(luò)安全防護效率和準確性，憑借業(yè)界領(lǐng)先的捕獲率實現(xiàn)了主動式威脅預(yù)測和更智能、更快速的響應(yīng)。該綜合型平臺集多項云端技術(shù)于一身，包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網(wǎng)絡(luò)安全的 Check Point Quantum，以及支持協(xié)同式安全運維和服務(wù)的 Check Point Infinity Core Services。

關(guān)于 ? Check Point Research

Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報。Check Point 研究團隊負責收集和分析 ThreatCloud 存儲的全球網(wǎng)絡(luò)攻擊數(shù)據(jù)，以便在防范黑客的同時，確保所有 Check Point 產(chǎn)品都享有最新保護措施。此外，該團隊由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機關(guān)及各個計算機安全應(yīng)急響應(yīng)組展開合作。