根据 IT 安全公司 ReliaQuest 的威胁研究人员的说法，QakBot、SocGholish 和 Raspberry Robin 这三种恶意软件加载程序在 80% 的事件中造成了严重破坏。

恶意软件加载程序用作传递和执行其他形式恶意软件的工具，例如勒索软件、病毒、木马或蠕虫。它们是攻击者在网络攻击初始阶段投放有效负载的最常用工具之一。

ReliaQuest 研究人员观察了消费者环境中最常见的变体，发现自今年年初以来，仅三个恶意软件加载程序就造成了大部分事件。

恶意软件加载程序对于网络安全团队来说很棘手，因为即使加载的恶意软件相同，一个加载程序的缓解措施也可能不适用于另一个加载程序。

仅仅因为检测到恶意软件加载程序，并不意味着目标网络受到损害；在观察到的大多数情况下，恶意软件加载程序都会在杀伤链的早期被检测到并停止。但至关重要的是，不要忽视任何加载程序的威胁，尤其是三种最受欢迎​​的加载程序。

但我们对主犯 QakBot（QBot、QuackBot、Pinkslipbot）、SocGholish 和 Raspberry Robin 了解多少？

根据最近的趋势，这些加载程序很可能会继续对组织构成威胁。

QakBot 变化很快

QakBot 与Black Basta 勒索软件组织相关，被设计为银行木马，然后通过新功能进行升级，成为一种通用的常见恶意软件。

QakBot 用于允许对目标网络的初始访问，还提供远程访问有效负载、窃取敏感数据并帮助横向移动和远程代码执行。

通常，QakBot 通过网络钓鱼电子邮件进行传递，该电子邮件为收件人提供定制的诱饵，例如工作订单、紧急请求、发票、文件附件或超链接。有效负载以 PDF、HTML 或 OneNote 文件的形式下载。

QakBot 然后使用 WSF、JavaScript、Batch、HTA 或 LNK 文件，这些文件在执行时通常通过计划任务或注册表运行键建立持久性。

QakBot 运营商足智多谋，能够快速响应或改变其交付策略。这种恶意软件是一种不断发展的持续威胁，用于伺机针对任何行业或地区。

SocGholish，一个用户可以影响整个系统

SocGholish，也称为 FakeUpdates，伪装成合法的软件更新。此 JavaScript 恶意软件加载程序针对基于 Microsoft Windows 的环境，并通过偷渡式攻击（无需用户交互即可下载）进行交付。

广泛的受感染网站网络的访问者通常会通过过时的浏览器提示或 Microsoft Teams 和 Adob​​e Flash 的其他更新诱惑，被诱骗下载‘更新’。

SocGholish 与总部位于俄罗斯的出于经济动机的网络犯罪组织 Evil Corp 有联系。典型的目标是住宿和食品服务、零售贸易和法律服务，主要在美国。

SocGholish 还与初始访问代理 Exotic Lily 存在联系，后者开展高度复杂的网络钓鱼活动，以获得初始访问权限并将其出售给勒索软件组织或其他威胁行为者。

SocGholish 运营商使用令人信服的社会工程策略，而意识对于最大限度地减少这种威胁至关重要。

其庞大的恶意软件分发网络在受感染的网站和社交工程上运行；只需四次用户点击就可以在几天内影响整个计算机系统域或网络。

Raspberry Robin 一位全能选手

Raspberry Robin 与各种强大的恶意组织（包括 Evil Corp 和 Silence (Whisper Spider)）相关，是一种高度难以捉摸的蠕虫病毒加载程序，针对 Microsoft Windows 环境。

当 cmd.exe 在受感染的 USB 上运行并执行 LNK 文件时，通过恶意 USB 设备进行初始感染后，其卓越的传播能力就会发挥作用。

LNK 文件包含触发本机 Windows 进程的命令，例如 msiexec.exe，以启动出站连接以下载 Raspberry Robin DLL。

除了 Cobalt Strike 工具之外，Raspberry Robin 还被用来传播多种勒索软件和其他恶意软件变体，例如“Cl0p”、“LockBit”、“TrueBot”和“Flawed Grace”。

2023 年，Raspberry Robin 运营商的目标是金融机构、电信、政府和制造组织。

Raspberry Robin 是威胁行为者武器库中非常有用的补充，可以帮助建立最初的网络立足点并提供多种形式的有效负载。

如何防御恶意软件加载程序？

有几个步骤可以帮助最大限度地减少恶意软件加载程序的威胁。以下是 ReliaQuest 的建议：

配置 GPO（组策略对象）以将 JS 文件的默认执行引擎从 Wscript 更改为记事本，以及您认为合适的任何其他脚本文件。这将阻止这些文件在主机上执行。

阻止具有通常用于恶意软件传递的文件扩展名的入站电子邮件。

通过防火墙或代理配置限制公司资产与互联网进行任意连接，以最大程度地减少恶意软件和 C2 活动。

限制远程访问软件的使用，除非个人工作绝对需要；或者，加强监控以发现滥用行为。网络犯罪分子（尤其是 IAB 和勒索软件运营商）喜欢使用此软件来获取和维护对网络的访问。

禁用 ISO 安装，这是绕过防病毒或端点检测工具的日益可靠的方法。

实施 USB 访问控制和 GPO 以防止自动运行命令执行。如果业务条件允许，请考虑禁用任何可移动媒体访问。

培训员工识别网络上使用的社会工程策略，并为他们打开适当的渠道来报告可疑电子邮件或其他活动。