1、 2022 年度窃密木马攻击态势报告-新华三主动安全系列报告-目 录 CONTENTS 1 1 概述 3 2 2 全年窃密木马攻击态势 4 2.1 全年攻击事件 4 2.2 地域分布 6 2.3 家族统计 6 3 3 窃密攻击技术特点 8 3.1 入侵传播 8 3.2 防御规避 12 3.3 数据窃取 13 4 4 窃密攻击发展趋势 16 4.1 新家族不断涌现，产品和服务双向升级 16 4.2 窃密功能更加模块化和定制化 17 4.3 开发跨平台化，对抗程度加强 18 4.4 多因素身份认证攻击日渐加剧 19 4.5 攻击“多维度”叠加，威胁进一步加深 20 5 5 总结 21 6 6 附录

2、 1:典型窃密木马家族 22 6.1 RedLine 22 6.2 FormBook 26 6.3 AgentTesla 31 6.4 Raccoon 35 6.5 Lokibot 39 6.6 Vidar 41 主动安全 3 1 1 概述 自全球进入数字化转型阶段以来，数字驱动经济增长，机遇与风险并存，数字化转型带来的以数据为核心的威胁态势不断升级。随着网络犯罪即服务（CCaaS，Cypher crime as a Service）模式的兴起，网络攻击逐渐走向商业化、产业化，直至发展成如今成熟的网络犯罪生态圈。在这种模式下，攻击成本和技术门槛双双降低，以数据窃取、数据泄密和数据破坏为目的的攻

3、击面持续扩大，全球网络空间面临的以数据为主的网络威胁不断泛化，时刻侵蚀网络安全壁垒。新华三攻防实验室持续跟踪数据窃密等网络攻击活动，基于对全网窃密木马攻击活动的监测、分析与处置，结合国内外有关窃密木马的研究报告进行综合研判、梳理汇总为2022 年度窃密木马攻击态势报告。本报告围绕窃密木马全年攻击态势展开，分析介绍典型窃密木马家族，总结窃密木马技术特点，探索当前窃密木马的发展趋势，旨在帮助机构组织、企业、个人对窃密木马的传播方式、功能、目标以及危害性有更加全面的了解，降低窃密木马带来的风险。主动安全 4 2 2 全年窃密木马攻击态势 2022 年全球范围内，数据窃密类恶意软件活跃度持续走高，窃密

4、攻击事件频频发生，网络数据资产安全正面临着日趋严峻的挑战。据 Group-IB 统计，仅在 2022 年上半年就有超 30 个网络犯罪团伙通过窃取即服务（SaaS,Stealer as a Service）模式分发窃密木马，共感染超过 89 万台主机，窃取超过 5000 万个账户凭据。由此可见，窃密木马作为一个“被低估”的网络威胁，尤其在大型企业等高价值目标中，其危害程度和影响范围在某种程度上堪比勒索软件。新华三攻防实验室从窃密攻击事件、窃密地域分布、流行窃密木马等方面进行统计分析，现总结流行窃密木马全年攻击态势如下：2.1 全年攻击事件 2022 年窃密木马攻击事件不断发生，攻击方式多种多样

5、，受害者遍布全球各地，下图列举了一些影响较为严重的窃密攻击事件。主动安全 5 图 1 全年窃密木马攻击事件案例 2022 年 2 月初，在 Microsoft 宣布 Windows 11 将完成最后升级的第二天，攻击者就伪造 Microsoft官网向用户分发伪造的 Windows 11 升级安装程序，诱使用户下载并执行 RedLine 窃密木马。尽管分发站点在较短时间内被关闭，但仍导致了 RedLine 的大范围传播，受害者大量数据遭受窃取。2022 年 5 月，CPR 研究人员披露了一起对德国汽车制造商和经销商实施的窃密攻击活动。攻击者向特定目标发送多封钓鱼邮件，诱饵附件为汽车购买合同和转账

6、收据，用户一旦打开附件就会后台下载运行 Raccoon 和 AZORult 窃密木马，导致各种登录凭证及其他重要商业数据遭窃取。2022 年 9 月，“魔盗”窃密木马伪装成 CorelDraw、IDA Pro、WinHex 等多款实用工具软件在国内进行大规模传播，每日上线的受害者主机数量超过 1.3 万。该窃密木马会收集浏览器书签和历史数据、邮箱账户等重要数据，并且可更改后续攻击载荷，如勒索、挖矿、窃密等类型的恶意载荷，给受害者带来更为严重的危害。2022 年 9 月，科技公司 Uber 遭受了网络攻击导致严重的数据泄露。据 Group-IB 发布的报告，事件起始于 Uber 在巴西和印度尼西