网络犯罪分子积极招募并支付人们支持其恶意活动

前言

自从我们发布了Avast 2022年第二季度威胁报告至今已经过去了三个月，现在我们再次通过Avast的遥测数据和专家见解来审视网络威胁的局势。不知道你们有没有感觉到，但对我来说第三季度过得飞快，这或许是因为欧洲的暑假。

威胁报告通常令人感到恐惧和不安，因为它们描述了恶意软件爆发和各类攻击激增的情况。不过，这份报告有所不同。在2022年第三季度，我们观察到了绝大多数恶意软件类型的下降，这无疑是个好消息。网络安全行业普遍认为，恶意软件作者在夏季会沉寂一段时间，从而导致恶意活动的减少。攻击次数的下降还与用户在离线时花费的时间增多有关，从而缩小了攻击面。乌克兰的战争以及俄罗斯最近的动员也可能在下降趋势中发挥了一定作用。接下来观察这一趋势在下个季度如何变化，将会非常有趣。

尽管在2022年第三季度攻击次数减少，不过本报告仍然包含了许多亮点。Raccoon Stealer的活动犹如坐过山车，本季度它再次肆虐，通过破解软件传播。其他的窃取工具Formbook和AgentTesla则提醒我们，目前Office宏的使用几乎已灭绝。恶意软件作者转而滥用ISO和IMG格式在Windows系统上的传播。矿工类恶意软件依然是主要的恶意软件类型之一，70的攻击都是通过在感染的网页上部署网络矿工实现的。此外，我们还看到一个名为Pitraix的新僵尸网络，幸运的是，目前它并不常见。可惜的是，Warzone RAT在匈牙利和新西兰等多个国家的影响力大幅上升。另外，Windows上的广告软件在中欧、南欧和东欧地区显著增长，同时移动端广告软件仍然是针对Android用户的最大威胁。

除了我们观察到的恶意软件活动外，这份报告还描述了网络犯罪团伙如何积极招募并支付人员以支持其犯罪活动。LockBit团伙在本季度非常活跃，发起了一个漏洞赏金计划，并甚至向任何在自己身上纹上其 logo 的人提供1000的奖金。为了继续对支持乌克兰的政府和企业进行DDoS攻击，NoName057(16)黑客组织在其Bobik僵尸网络的C2服务器被摧毁后，急于招募人员，开始支付他们以下载自己的程序并为他们实施DDoS攻击巧合的是，这在我们发布关于他们的博客文章后不久。

祝大家安全，并愉快阅读！

雅库布克鲁斯特克，恶意软件研究主任

方法论

本报告分为两个主要部分与桌面相关的威胁，描述针对Windows、Linux和Mac操作系统的攻击情报，以及与移动相关的威胁，描述针对Android和iOS操作系统的攻击。

此外，在本报告中我们使用了“风险比”这一术语来描述特定威胁的严重性，该比例的计算基于每月“被攻击用户数 / 某国活跃用户数”的平均值。除非另有说明，计算出的风险仅适用于活跃用户数超过10000的国家。

我们更改了用于威胁报告的标记算法，以确保我们的数据更为准确。因此，本威胁报告中的数字不能与我们之前报告的数据进行比较。我们重新计算了前几个季度的数据，以在本威胁报告中提供逐季对比。

与桌面相关的威胁

高级持续性威胁APTs

在一些威胁参与者团体中，我们继续跟踪中国的网络威胁行为者，以及东南亚地区的几个团体和一个讲俄语的威胁团体。我们获得了关于他们活动和行动的新见解，但他们的作战方式和目标依然保持相似。我们在网络安全会议上持续分享我们的见解。

我们最近在病毒公告2022上展示了关于龙骑士行动的研究。这次行动是借助CVE202224934这一个在WPS Office中的零日漏洞实现的，该漏洞使得可以通过该办公软件的更新机制隐蔽地执行恶意软件。

在12月初，我们将于2022年12月的AVAR会议上展示我们在东南亚一项大型行动中的研究，主题为“与Mustang Panda搭便车”。我们推测一个称为Mustang Panda的讲中文团体负责这一行动，因为他们的目标选择和使用的工具集。

中文团体

LuckyMouse是一个知名的讲中文的威胁团体，专门攻击亚洲和中东的政府机构。该团体在2022年第三季度对阿拉伯联合酋长国、台湾和菲律宾的一些机构实施了攻击。我们发现了感染机器上的后门、Chrome密码窃取工具，以及像BadPotato这样的开源工具用于权限提升。LuckyMouse使用的HyperBro后门通过加载和解密的方式嵌入在一个旁载的DLL文件中。攻击者可能通过一个被攻陷的服务器感染了目标机器，在该服务器上插入了后门程序，而不是原有的MiMi聊天应用。TrendMicro最近描述了LuckyMouse的后门感染途径及后期利用工具的详情这里。

东南亚行动者

在8月初，Morphisec的研究人员发布了一篇博文，描述了yty恶意软件框架的变化，这是一种著名的工具，曾被Donot Team又名APTC35使用。包含恶意宏的Office文档或RTF注入与微软方程编辑器的组合CVE20171182通常用于向受害者传递后续阶段。

我们的遥测数据显示该团体在巴基斯坦最为活跃，我们在用户基础中发现了几个感染机器上存在yty框架的DLL模块。携带inp扩展名的恶意文档是感染的源头。感染的受害者安装了过时的Inpage软件，该软件是广泛用于该地区的乌尔都语和阿拉伯语的文字处理软件。我们认为攻击者正在利用Inpage软件中存在的已知漏洞，这一点已被Palo Alto Networks阐述过这里。我们根据文档的元数据和文件名，推测受害者在政府机构工作。

透明部落，或称APT36，是我们跟踪的另一个来自该地区的团体。他们仍在攻击印度和阿富汗的受害者，其他研究人员也有相关报道。该团体据信源自巴基斯坦，活动主要集中在邻国。该团体使用鱼叉式钓鱼和包含恶意VBA宏的Office文档来感染受害者电脑，生成嵌入的混淆NET可执行文件，这些文件被放置在ALLUSERSPROFILE目录的任意路径中。我们确认这些可执行文件属于CrimsonRAT变种，这是透明部落使用的自定义恶意软件，用于进入被感染的网络。该活动与来自Cisco Talos和Fortinet的研究描述的情况非常相似。

俄罗斯行动者

Gamaredon团伙在2022年第三季度继续非常活跃，紧紧针对乌克兰，他们拓宽了对军队和政府机构的攻击，动机源自于俄罗斯对乌克兰的侵略。攻击总量以及作战方式自上个季度以来没有变化，但他们向工具集中引入了一些新工具，包括文件外泄工具，各种投放器及新的载荷分发手段和CampC服务器的IP地址。我们的遥测数据还显示该团体对乌克兰的外国大使馆进行了攻击。

路易吉诺卡马斯特拉，恶意软件研究员伊戈尔摩根斯坦，恶意软件研究员扬霍尔曼，恶意软件研究员托马斯兹瓦拉，恶意软件研究员

广告软件

在2022年第三季度末，桌面广告软件的活动迅速增长。在观察的季度的开头和中旬，广告软件活动稳定并且略有下降，下面的图表可见一斑。

图表显示在2022年第二季度vs2022年第三季度，Avast保护的用户数量全球

2022年第三季度末的峰值出现在2022年9月16日。广告软件活动显著增长，主要集中在中欧、南欧和东欧：

图表显示在2022年第三季度中，Avast保护的捷克共和国、斯洛伐克、波兰、希腊、克罗地亚、爱沙尼亚、拉脱维亚、立陶宛和乌克兰的用户数量

我们识别了一种在九月份造成峰值的广告软件变种。该广告软件名为DealPly，是一种Chrome扩展，修改Chrome浏览器的新页面设计。该扩展被称为内部Chromium扩展，具有替换新标签、读取浏览历史、更改书签，以及管理浏览器中的应用、扩展和主题的权限。

DealPly 广告软件 Chrome 扩展：内部Chromium扩展

新标签可能与下图相似。该扩展修改了广告快捷方式，并将统计和搜索信息发送给攻击者。

被恶意的内部Chromium扩展修改过的新Chrome标签页

用户通常不是直接下载DealPly的扩展，而是其他恶意软件在用户不知情的情况下安装了它，并确保其持久性，导致用户无法手动移除该扩展。

我们在2022年第三季度初期和中期检测到的广告软件主要是在可疑网站上的广告软件。这种类型的广告软件会等待用户点击任意超链接，并将原始链接替换为将用户重定向到广告网站的链接。

以下是一些广告服务器的列表：

deshaici[]netgapscult[]cominformeresapp[]commobile5shop[]comnaigristoa[]comsaumeechoa[]comgoad2upapp[]com

这些可疑网站通过提供奖品或免费服务来吸引受害者；以下是一些例子。然而，重定向会导致用户访问恶意内容的网站或想要联系或登录信息的页面。

广告软件网站的示例

我们监测到巴西、美国、英国、意大利、奥地利和瑞士的广告软件风险比显著下降。另一方面，波兰、克罗地亚、拉脱维亚和匈牙利的用户风险比却有所上升，见下图。

图表显示2022年第三季度的广告软件全球风险比

在2022年第三季度，我们观察到超过40的广告软件来自不同的广告软件家族。不过，明确识别的广告软件株包括：DealPly、RelevantKnowledge、DownloadAssistant和CloverPlus。

对于MacOS来说，最常见的广告软件威胁包括：Bundlore、Pirrit、Spigot、Adload和MaxOfferDeal。

马丁赫尔梅奇，恶意软件研究员

僵尸网络

相比之前动荡的几个季度，僵尸网络的形势相对平静没有神奇的复苏或媒体化的铲除。然而，僵尸网络活动一直保持稳定，始终存在威胁。随着乌克兰抵御俄罗斯的侵略，西方国家向乌克兰提供支持，一些俄罗斯团体正在利用其资源攻击欧洲的组织和基础设施。还有其他一些根深蒂固的僵尸网络和垃圾邮件程序持续困扰我们的生活。

在我们的2022年第二季度威胁报告中，我们注意到僵尸网络正在试验新的恶意附件格式，例如ISO或IMG文件。虽然这些格式在谁可以实际打开它们方面有一些限制具体取决于使用的操作系统版本，但它们仍然越来越受欢迎，尽管其用途的原始动机早已不再有效。

亲俄罗斯组织NoName057(16)仍然非常活跃。其DDoS僵尸网络Bobik仍在攻击那些表态支持乌克兰或对俄罗斯实施制裁的组织。他们的目标包括私人机构，如新闻机构或银行，以及包括法院、议会和警方在内的政府机构。他们的攻击手段具有报复性。攻击对象会根据时事变更。例如，该团体在芬兰宣布加入北约后，便攻击了芬兰政府的网站。根据我们的观察，该团体的成功率他们成功攻陷的站点数与目标站点数之比为40。此外，大约20的攻击声称是由他们负责，但在其配置文件中无法追溯到。

Bobik的主要C2服务器在我们发布关于NoName057(16)的博客文章后被铲除，因此该僵尸网络停止了运作。2022年8月15日，该团体宣布他们正在招募新项目，显然是为了继续进行DDoS攻击。后来，他们开设了一个新的专注于其DDOSIA项目的团体，Radware对此进行了报道。到10月末，该Telegram小组已有777名成员。该项目允许任何人下载一个可识别的二进制文件，以实施DDoS攻击，作为回报，他们将获得该团体支付的加密货币。自2022年8月1日以来，我们一直在监控DDOSIA的配置，配置文件平均每天更新四次。

一个名为Pitraix的新僵尸网络在黑客论坛上获得了一些关注。该僵尸网络的源代码最初托管在Github上，并使用Go语言编写。最近，Go已经成为小型项目的热门选择。例如，Black Lotus Labs最近描述了另一个用Go编写的新兴僵尸网络。这个僵尸网络采用P2P架构，依赖TOR进行通信。不同于其他类似项目，这个项目并没有为其安全工具或教育目的而设计。

用户保护的季度比较。注意第一波高峰出现在俄罗斯攻击乌克兰的那一周

总体而言，僵尸网络的风险比显著低于上个季度，逐渐回归战前的情况。我们注意到Emotet的活动显著下降，Tofsee的情况也持平。唯一较为特殊的例外是MyKings。MyKings的活动激增，Ursnif紧随其后。其他僵尸网络的活动仅略有增加。

目前，我们的数据表明，以下僵尸网络及其变种在招募活动中最为活跃：

PhorpiexEmotetTofseeMyloBotNitolDorkbotMyKingsUrsnifAmadey

阿道夫斯特雷达，恶意软件研究员

矿工

虽然加密货币的价值长期停滞在低位，但矿工仍然是我们在野外阻止的最常见恶意软件类型之一。在2022年第三季度，我们保护用户抵御的矿工数量略有下降4。

图表显示在2022年第三季度，Avast保护的用户全球

在2022年第三季度，塞尔维亚的用户面临遭遇矿工的最高风险，风险比为728。在马达加斯加，用户面临455的风险比，较上个季度略有上升。马达加斯加的用户中风险浑然不断有所增加。我们还注意到在黑山659风险比及埃及风险比上升至381，环比上升32的矿工活动有所增加。

2022年第三季度的矿工全球风险比图

网络矿工仍旧占据主导地位，并在2022年第三季度进一步增加市场份额。网络矿工活动增长6，现占有70的矿工市场份额。我们观察到KingMfcMiner的检测量增加，保护的用户人数比2022年第二季度多出45。CoinHelper的活动市场份额也提升了9。

XMRig依然是最常用的矿工可执行文件。然而，XMRig的活动下降了11。根据我们的遥测数据，XMRig占有15的矿工市场份额。

在2022年第三季度，最常见的矿工包括：

网络矿工各类变种XMRigCoinBitMinerVMinerCoinHelperNeoScryptFakeKMSminer

扬鲁宾，恶意软件研究员

信息窃取者

Raccoon Stealer的活动在2022年第三季度中大幅上升，这一恶意软件的回归我们在上一个报告中提到过。与2022年第二季度相比，我们保护了370 我们的用户免受Raccoon Stealer攻击。尽管Raccoon Stealer增长了一倍，但整体信息窃取者的活动下降了14。

图表显示在Q3/2022，Avast保护的用户数量全球

用户最容易遭遇信息窃取者的国家大致保持不变，除了非洲的一些国家，下面的热力图显示了这些变化。来自马ali的用户在遭遇信息窃取者时增加了14风险比；也有也门16和刚果11的用户增加。巴西则有明显变化，信息窃取者的风险比下降了24。在巴西的Avast用户数量显著下降，我们保护的受害者数量减少了28，这也是我们观察到整体信息窃取者数量下降的重要原因。

图表显示在2022年第三季度，信息窃取者的全球风险比

在2022年第三季度，FormBook继续是目前活动最频繁的信息窃取者，市场份额进一步增加8，目前占据了总体信息窃取者市场份额的26。其他顶级信息窃取者的市场份额在2022年第三季度下降，包括Lokibot35、RedLine Stealer17和AgentTesla4。另一方面，Raccoon Stealer和SnakeKeylogger的市场份额分别显著增加450和53。

在2022年第三季度，最常见的信息窃取者包括：

FormBookRedLine StealerAgentTeslaLokibotRaccoon StealerSnakeKeylogger

Raccoon Stealer达到新高峰

在2022年第三季度开始时，我们保护了更多用户免受第二版Raccoon Stealer的攻击。

图表显示在Q3/2022，Avast保护的Raccoon Stealer用户数量全球

Raccoon Stealer主要通过“破解”软件传播。通过分发承诺破解版本的Adobe Photoshop、Filmora视频编辑器和uTorrent Pro等软件的档案，而非交付Raccoon Stealer。

Raccoon Stealer不仅窃取数据，还能下载和执行其他恶意文件，包括矿工和其他窃取者。

GuLoader钓鱼邮件

在8月下旬和9月，我们观察到新的钓鱼邮件活动，主要针对西班牙、捷克共和国、罗马尼亚和其他国家的用户。我们保护了超过26000名用户。这些活动使用了包含新版本GuLoader的ISO存档，这些文件会释放AgentTesla或FormBook。

图表显示在2022年第三季度，Avast保护的GuLoader活动用户数量全球

基于Discord的信息窃取者攻击Linux用户

我们还观察到一些新的恶意软件家族例如，一个新的Sshbru变种或ServerHijackerB使用Go编程语言并滥用Discord Webhooks来泄露信息。这些恶意软件首先识别或创建攻击向量来劫持系统例如通过枚举受害者局域网的漏洞、修改root密码等，然后获取公共IP地址，并通过Discord Webhooks将其泄露给攻击者，以备后来的入侵。计算机访问权限可能会在黑市销售。

扬鲁宾，恶意软件研究员弗拉基米尔马尔提亚诺夫，恶意软件研究员大卫阿尔瓦雷斯，恶意软件分析师

勒索软件

勒索软件活动在2022年第二季度增加了近四分之一24。然而在2022年第三季度，勒索软件活动趋于稳定，且略有下降。在2022年第三季度未见勒索软件活动的峰值，如下图所示，这也是导致风险比下降的原因。

新的国家进入了用户在2022年第三季度最可能遭遇勒索软件的国家榜单：

巴布亚新几内亚莫桑比克阿富汗加纳越南

在大多数国家中，勒索软件的风险比与2022年第二季度保持不变或略有下降，但有一些国家有所例外。在2022年第三季度，越南的勒索软件风险比增加了70，泰国49，丹麦33，加拿大16，西班牙和德国分别增加了12。

以下是按国家划分的勒索软件风险比图：

STOP和WannaCry勒索软件继续是针对我们用户基础中最常见的勒索软件种类：

STOPWannaCryThanatosSodinokibi / REvil及其后续版本MagniberLockerGogaConti变种LockBit

间歇性文件加密

越来越多的勒索软件样本现在使用部分间歇性加密方法AtomSilo、Conti、BlackMatter、LockBit，以迅速加密文件。在勒索软件攻击期间，文件加密需要迅速进行，以避免用户检测。加密所用的时间越长，潜在受害者注意到攻击的机会就越大。警觉的用户可能会注意到磁盘活动的增加，并会检查发生了什么情况。此外，完全加密一组大文件如电影或数据库所需的时间可能会显著增长。

例如，CrySiS勒索软件在2016年就实施了部分加密，但现在更多的勒索软件样本使用复杂的部分加密方法，并且通常是可配置的：

完全加密：文件被完全加密。这是攻击者眼中“最安全”的方法，但可能耗时较长，尤其是在加密电影文件或大型数据库时。仅头部加密：勒索软件仅加密文件的开头最多指定字节数。这会使大多数文件类型的头部无效并且无法识别。头部尾部加密：除了文件头，头部尾部加密方法还加密文件底部的一部分。这覆盖了类似ZIP的文件ZIP压缩文件和MS Office文件。点模式：勒索软件按照块加密文件N字节的文件被加密，而M字节则保留原样。

上述方法可以组合，例如对文件头进行加密，同时使用点模式加密其余部分。

在2022年第三季度出现了多种新的勒索软件变种，它们往往针对Windows、Linux和ESXi服务器。其中之一是Luna勒索软件，据称源自俄罗斯。Luna是用Rust编写的，因此可以为多个平台编译。来自Kaspersky的安全研究人员确认所有平台版本均由相同的源代码构建。

此外，勒索软件作者继续创新其勒索技巧，近期在企业领域的某些攻击不再涉及文件加密，而是数据外泄后紧接着实现安全文件删除或损坏。在此场景中，公司依靠犯罪分子提供付费后的原始文件。

LockBit的故事

在2022年第三季度中，关于勒索软件团伙LockBit的一系列有趣事件发生。在6月底，实施勒索软件的团伙推出了新的加密程序版本，代号为Black因为他们是从Black Matter勒索软件团伙复制的。随此发布，他们开启了一个漏洞赏金计划。任何发现给团伙带来漏洞或缺陷的人都能获得丰厚的回报。报告的漏洞可能是加密流程中的弱点、其网站中的漏洞、或是TOX消息客户端或TOR网络中的漏洞。最丰厚的奖励100万美元将颁发给找到联营老板名的人。

除了赏金计划外，该团伙还向任何在自己身上纹上LockBit图案的人提供1000美元的奖金，并要求提供视频证明。根据Twitter发布的照片，一些绝望的人确实进行了纹身。希望他们得到了应有的奖励，值得付出。

该团伙向发现其大型数据库文件加密漏洞的人支付了50000的赏金。他们或许会对一些漏洞支付的费用比其他人提供的RCE漏洞的费用更多，但他们同样应该考虑支付更多给他们的开发人员。其一位开发者发怒并泄漏了加密程序的构建工具。该包曾在Github上短暂发布，但Github已将其禁用。泄漏的包包含RSA密钥生成器以及勒索软件和解密器的构建器。借助该泄漏的包，任何人都可以创建自己的勒索软件版本，并成立自己的勒索团伙。一些人抓住了这一机会，创办了BlooDy勒索软件团伙和TommyLeaks/School boys团伙，并使用了这个构建器制作他们的加密程序。

LockBit团伙的一个受害者是名为Entrust的安全公司，该公司在2022年6月18日遭受网络攻击。攻击发生不久，该团伙声称是这次攻击的幕后操纵者。随着勒索软件攻击，他们还对Entrust公司内部的数据实施了勒索，并威胁若公司不支付赎金就要泄露这些数据。

泄露的数据包括法律文件、市场营销电子表格和账目信息发布在团伙的Tor网站上。然而，网站在不久后因DDoS攻击而下线，据信该攻击源自Entrust。[Entrust]没有确认他们是攻击方。

但事情并没有止步于此。在反击攻击之后，LockBit团伙宣布他们采用了新的三重勒索策略加密、敲诈和DDoS。该团伙在网上发布了342GB的Entrust被盗数据的种子。此外，LockBit团伙宣称将加强基础设施，以防止未来的DDoS攻击。

本季度也是NoMoreRansom倡议的第六个周年纪念，该倡议帮助数百万勒索软件攻击的受害者。Avast是该项目的合作伙伴，我们最近增加了一种针对MafiaWare666勒索软件的解密工具。

雅库布克鲁斯特克，恶意软件研究主任拉迪斯拉夫泽祖拉，恶意软件研究员

远程访问木马RATs

RAT的活动在世界大多数地区继续下降，与之前的季度一样。在我们的2022年第二季度威胁报告中，我们推测RAT活动将在夏季期间继续下降，事实证明我们是对的。

图表显示在Q2/2022以及Q3/2022，Avast保护的RAT用户数量全球

在2022年第三季度，阿富汗、也门和伊拉克是遭遇RAT最高风险的国家。然而，匈牙利和新西兰的RAT活跃度显著增加。Warzone RAT是匈牙利增幅118的罪魁祸首，而在新西兰的59增长主要是由于Remcos和njRAT的活动。

RAT活动风险比下降幅度最大的国家有：西班牙36、加拿大31、捷克共和国29和斯洛伐克28。在我们的Q2/2022威胁报告中，我们提到日本是RAT攻击激增最多的国家。该国在本季度的攻击数量有所下降，与芬兰、法国和瑞士等国共列为最安全的国家。

图表显示在2022年第三季度，RAT的全球风险比

在2022年第三季度，在我们的用户基础中最常见的RAT包括：

HWormnjRATWarzoneRemcosNanoCoreAsyncRatNetWireQuasarRATDarkCometAdwind

我们看到的主要变种大致相同。如前所提，匈牙利发现Warzone大规模传播。Remcos的活动在亚洲大部分地方传播，而Netwire RAT则在南非用户中展开活动。

在2022年第三季度，另有一些RAT活动显著增加：

LimeRAT (85)SpyNet (41)BoubedzRAT (40)

尽管这些RAT的活动没有那么普遍，但在2022年第三季度的增长幅度相当显著。LimeRAT主要在非洲和南亚活动，而SpyNet在巴西活跃，BoubedzRAT则活动在哥伦比亚。

在2022年第三季度中，我们曾发布有关一个使用Go语言编写的名为Backdoorit的RAT的博文。Backdoorit主要专注于窃取与Minecraft相关的文件、Visual Studio项目和IntelliJ项目。

在2022年第三季度出现了几种新的RAT，被发现了。ApolloRAT是一种新型且有趣的RAT，因为它使用Nuitka将Python源代码编译为C源代码，如Cyble报道所示。功能集合在RAT领域算得上相当普通，唯一的区别是“恶作剧”命令，如gtrickroll。它使用Discord进行其CampC通信。

CodeRAT在2022年第二季度首次出现。在2022年第三季度，开发者在Github上公开分享了源代码，此前曾被安全研究员SafeBreach质疑。CodeRAT的主要目标是监控其受害者的社交媒体活动以及他们在本地机器上的操作。它大约有50个命令与操作系统的不同部分互动，还能部署其他恶意软件。其通信方式也颇具看点，CodeRAT利用Telegram群组或USB闪存驱动器。

WoodyRAT在被Malwarebytes发现之前，至少活动了一年。攻击者利用Follina漏洞来传播他们的RAT。根据分析，该恶意软件可以从被感染的计算机提取数据，运行命令和代码，包括注入到其他进程中。

Lazarus APT团伙添加了一个新工具，正如Cisco Talos所报道的那样，名为MagicRAT。MagicRAT是一个相对简单的工具，能够启动额外的有效载荷、执行任意命令和操控受感染计算机上的文件。有趣的是，其使用了Qt框架。由于MagicRAT没有用户界面，因此Qt框架很可能是为了提高恶意软件的复杂性，使分析变得更加困难。

最后但同样重要的是，Imminent Monitor RAT SaaS的开发者兼销售商被澳大利亚联邦警察逮捕。该RAT使操作者能够通过其网络摄像头和麦克风等方式监视其受害者。报告指出，该RAT已销售给全球128个国家的超过14500个人。

翁德雷莫科斯，恶意软件研究员

Rootkit

Rootkit的活动在2022年第三季度下降，如下图所示。

图表显示在2021年第13季度，Avast保护的用户数量全球

Rootkit样本的分布趋势如预期般延续，主要在过去两个季度中的趋势保持一致2022年第1季度和2022年第2季度。2022年第三季度的主要变种是R77RK，该rootkit由bytecode77团体开发。R77RK占据了40的市场份额。

在2022年第三季度，保护用户全球与Avast保护的R77Rootkit用户对比

上图显示，R77RK是主流rootkit，其趋势与2022年第三季度整体rootkit趋势一致。R77RK的GitHub库仍然活跃。一个显著的相关性是在2022年9月1日，作者为R77RK发布了新功能，通过注入特定的shell代码实现rootkit激活。发布时间与上图中的峰值对应。

下图展示了R77RK活动向东欧和北亚地区移动的情况。相对而言，加拿大和美国仍然是受影响最小的国家。

图表显示在2022年第2和第3季度，R77Rootkit活动的全球分布情况

加速器翻外墙

Alureon是另一种在2022年第三季度流行的rootkit，它通过捕获系统网络流量窃取凭证和信用卡信息。但是，Alureon在野外的市场份额仅约为5。

在2022年第三季度，rootkit的全球风险比图

当前所有rootkit的全球风险比与2022年第二季度保持一致，中国仍然是面临rootkit用户风险最高的国家。2022年第三季度证实，R77RK仍然是当前最流行的开源rootkit。

马丁赫尔梅奇，恶意软件研究员

技术支持诈骗

技术支持诈骗在7月底和8月初下降。我们推测诈骗者社区也想享受他们的暑假。这段平静期仅持续了几周，便在8月底结束。我们的九月统计数据显示与七月相比，活动有所增加。

图表显示在2022年第2和第3季度，Avast保护的用户数量全球

受影响的前20个国家与2022年第1和第2季度保持一致。日本的用户遭到攻击最多，风险比为316，其次是德国、美国和加拿大，这些国家的活动略有上升。

图表显示在2022年第三季度，技术支持诈骗的全球风险比图 全球受害者在德国面临的技术支持诈骗的屏幕截图

在2022年第三季度，我们记录了数百个在TSS诈骗中使用的独特电话号码。以下是前20个电话号码：

1(888)3503496 1(888)35034951(833)6901082 1(833)69010851(833)6901079 1(844)449045