近期，安全分析师揭示了一款新颖的远程访问木马（Remote Access Trojan, 简称RAT）——Remcos的传播战术。这种木马巧妙地绕过了传统的安全防范机制，进而非法掌控了用户的计算机。

在2024年春，全球领先的云端安全人工智能平台提供商Check Point（股票代码：CHKP）发布了其《全球威胁指数》报告。报告中提到，近期，攻击者利用虚拟硬盘（VHD）文件作为载体，成功部署了Remcos木马。

自2016年首次被发现以来，Remcos一直备受网络安全界的关注。近来的网络袭击活动中，攻击者利用该木马绕过了常见的安全保护措施，实现了对受害者的电脑的非法操控。起初作为合法远程管理系统开发的Remcos，很快便被网络罪犯用于非法活动，包括控制感染的设备、截取屏幕截图、监视键盘输入，并将这些信息传送到攻击者控制的服务器上。此外，Remcos还具备群发邮件功能，能发动更广泛的网络攻击。在最新的恶意软件排行榜上，Remcos的排名从二月的第五位跃升至第四位。

Check Point的研究副负责人Maya Horowitz强调：“网络攻击手法的持续进化反映出网络犯罪策略的升级。为了应对这一挑战，每个人都应提高警觉，并采取积极的防御措施。通过提升自我意识、部署先进的终端安全解决方案以及强化网络安全教育，我们能共同构筑起更为坚固的防御体系，有效抵抗不断演进的网络威胁。”

在勒索软件指数报告中，Check Point基于从勒索软件团伙运营的“羞辱站点”收集的数据进行了分析。报告显示，Lockbit3以12%的攻击比例位居榜首，紧接着是Play和Blackbasta，它们的攻击比例分别为10%和9%。值得注意的是，Blackbasta首次进入前三名，该团伙声称对苏格兰Scullion Law律师事务所的网络攻击负责。

上个月，最频繁被利用的漏洞是“Web服务器恶意URL目录遍历漏洞”，它影响了全球大约一半的机构。紧随其后的是“HTTP载荷命令行注入”和“HTTP标头远程代码执行”，分别影响了全球48%和43%的机构。

在恶意软件家族排名中，FakeUpdates以影响全球6%的机构位居首位，其次是Qbot和Formbook，它们分别影响了3%和2%的机构。

FakeUpdates，又称SocGholish，是一种基于JavaScript的下载器，它在执行有效负载前将其写入硬盘。FakeUpdates可以触发包括GootLoader、Dridex、NetSupport、DoppelPaymer和AZORult等多种恶意软件的后续攻击。

Qbot，即Qakbot，是一款自2008年首次面世的多功能恶意软件，旨在窃取用户凭据、监控键盘输入、从浏览器中获取cookie、监控银行操作，并部署更多恶意软件。Qbot通过垃圾邮件传播，并运用多种反虚拟机、反调试和反沙盒技术来躲避分析和检测。自2022年以来，它成为最活跃的木马之一。

Formbook是一款针对Windows操作系统的数据窃取程序，自2016年被发现以来，凭借其高度规避技术和较低成本，在地下黑客论坛上以恶意软件即服务（MaaS）的形式销售。Formbook能够从各种网络浏览器中提取凭据、捕获屏幕截图、监控键盘输入，并根据其C&C服务器的指示下载和执行文件。

在漏洞利用方面，“Web服务器恶意URL目录遍历漏洞”仍然是最常被利用的漏洞，影响了全球50%的组织。紧随其后的是“HTTP载荷命令行注入”和“HTTP标头远程代码执行”，分别影响了全球48%和43%的组织。

“Web服务器恶意URL目录遍历漏洞”存在于不同Web服务器上，通常由输入验证错误导致，未能正确处理URI中的目录遍历模式。未授权远程攻击者可通过这一漏洞泄露或访问服务器上的任意文件。

“HTTP载荷命令行注入”是一种新发现的漏洞，攻击者通过发送定制请求来利用此漏洞，使目标系统执行非预期的命令行操作。