2025年第三季度十大恶意软件深度解析

本文详细分析了2025年第三季度流行的十大恶意软件,包括SocGholish、CoinMiner、Agent Tesla等,深入探讨了其技术特性、感染向量、相关指标(IOCs)以及防御建议,为安全专业人员提供切实可行的威胁情报。

2025年第三季度十大恶意软件

作者: 互联网安全中心® (CIS®) 网络威胁情报 (CTI) 团队 发布日期: 2025年11月14日

多州信息共享与分析中心® (MS-ISAC®) 监控服务收到的恶意软件通知总数从2025年第二季度到第三季度增长了38%。SocGholish继续领跑十大恶意软件榜,这已是其连续两年位居榜首,占检测总量的26%。SocGholish是一种用JavaScript编写的下载器,通过恶意或遭入侵的网站以虚假浏览器更新的形式传播。SocGholish感染常常会导致进一步的利用,例如NetSupport和AsyncRAT等远程访问工具的部署。紧随其后的分别是加密货币挖矿程序CoinMiner和远程访问木马(RAT) Agent Tesla。

在2025年第三季度,MS-ISAC还观察到了Gh0st、Lumma Stealer和TeleGrab的回归,而Jinupd则首次现身。Jinupd是一种下载器,使用混淆脚本获取并执行额外的负载。它通常通过网络钓鱼活动和被入侵的网站分发。

此外,这是在执法部门端掉其基础设施后,Lumma Stealer的首次出现。Lumma Stealer是在暗网上出售的信息窃取恶意软件,目标为个人身份信息(PII),如凭证和银行信息。它还具有多种防御规避能力,包括检测被感染系统是否为虚拟环境、检测系统上的用户活动以及加密其可执行文件以防止逆向工程。

恶意软件感染途径

MS-ISAC根据开源报告追踪每季度十大恶意软件可能的初始感染途径,如下图所示。我们目前追踪三种初始感染途径:被投放、恶意垃圾邮件和恶意广告。有些恶意软件在不同情境下使用不同的途径,这些被标记为“多种”。

  • 被投放: 恶意软件由系统中已有的其他恶意软件、漏洞利用工具包、受感染的第三方软件或网络威胁行为者手动投放。Gh0st在发布时使用了此技术。
  • 恶意垃圾邮件: 未经请求的电子邮件,或将用户导向恶意网站,或诱使用户下载或打开恶意软件。Agent Tesla在发布时使用了此技术。
  • 恶意广告: 通过恶意广告引入的恶意软件。SocGholish和ZPHP在发布时使用了此技术。
  • 多种: 目前至少使用两种途径(例如被投放和恶意垃圾邮件)的恶意软件。CoinMiner、Jinupd、Lumma Stealer、NanoCore、TeleGrab和VenomRAT在发布时使用了此技术。

CIS社区防御模型 (CDM) v2.0可以帮助您防御与恶意软件相关的77%的MITRE ATT&CK(子)技术,无论它们使用何种感染途径。

在第三季度,“多种”成为了首要的初始感染途径,这是由于与CoinMiner、TeleGrab和VenomRat相关的告警数量增加。

十大恶意软件及IOCs

以下是按流行程度排序的十大恶意软件列表。CIS CTI团队提供了相关的危害指标(IOCs),以帮助防御者检测和预防这些恶意软件变种的感染。这些IOCs来源于通过CIS Services®观察到的威胁活动以及开源研究。网络管理员可以将这些IOCs用于威胁狩猎,但在用于阻断目的之前,应评估任何指标对组织可能产生的影响。

  1. SocGholish
  2. CoinMiner
  3. Agent Tesla
  4. TeleGrab
  5. ZPHP
  6. VenomRAT
  7. Gh0st
  8. NanoCore
  9. Lumma Stealer
  10. Jinupd

1. SocGholish

SocGholish是一种用JavaScript编写的下载器,通过恶意或遭入侵的网站以虚假浏览器更新的形式分发。它使用多种方法进行流量重定向和负载投递,通常使用Cobalt Strike,并从受害者系统中窃取信息。此外,SocGholish可能导致进一步的利用,例如加载NetSupport和AsyncRAT远程访问工具,甚至在某种情况下加载勒索软件。 域名

  • billing[.]roofnrack[.]us
  • cpanel[.]365axissolution[.]com
  • email[.]directoryindustry[.]com
  • feedback[.]fortunetaxs[.]com
  • folders[.]emeraldpinesolutions[.]com
  • keynotecapitals[.]com
  • photo[.]suziestuder[.]com
  • zone[.]ebuilderssource[.]com

2. CoinMiner

CoinMiner是一个加密货币挖矿家族,通常使用Windows管理规范(WMI)在网络中传播。此外,它经常使用WMI标准事件消费者脚本化来执行持久化脚本。然而,该恶意软件的功能各不相同,因为有多种变体。CoinMiner通过恶意垃圾邮件传播或被其他恶意软件投放。 SHA256哈希值

  • 063A65D2D36CAE110D6D6C400956A125B9C35176D628A9A8F4D8E2133EC4D887
  • 0338C2CC1E83C851ADAA3EBB836A40B849DF0C48060BD3086193542CC6A7F26C
  • 118AE6110A4B5708433EBD5809682E8C30F281F459A3B92B3E8ADA5023EB6640
  • 3E59379F585EBF0BECB6B4E06D0FBBF806DE28A4BB256E837B4555F1B4245571
  • 47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
  • 59F7C03A2021CB28A433AE0D018388B2A5B802686CA94699FA0BC9E1917AEAD0
  • 9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507

3. Agent Tesla

Agent Tesla是一种针对Windows操作系统的RAT,可在犯罪论坛上购买。根据购买的版本不同,它具有多种功能,包括捕获击键和屏幕截图、从Web浏览器中收集保存的凭证、复制剪贴板数据、外泄受害者文件以及在主机上加载其他恶意软件。 域名

  • mail[.]smc-energy[.]com
  • info-power[.]gl[.]at[.]ply[.]gg SHA256哈希值
  • ac5fc65ae9500c1107cdd72ae9c271ba9981d22c4d0c632d388b0d8a3acb68f4
  • c25a6673a24d169de1bb399d226c12cdc666e0fa534149fc9fa7896ee61d406f
  • dcfbe323a79ae16c098837ac947389f3fbd12587c322284cce541a4b482251f9
  • de4d1a23f283e7ad53706b8ba028d07d9e72ca3c2bf851245a360b6b93bd5588
  • d38fa4b7893995e5fc7e6d45024ffe0202b92769a4955cec29dc3bdb35d3c8ba
  • 3df3f475fee2c5a74f567285fe848ceed1aff6e01b82710600af244b6529ef05
  • 550f191396c9c2cbf09784f60faab836d4d1796c39d053d0a379afaca05f8ee8

4. TeleGrab

TeleGrab是一种信息窃取程序,针对桌面版和网页版的Telegram。它收集缓存和密钥文件,劫持聊天会话,并捕获联系人和聊天记录。 SHA256哈希值

  • 2be87bc7e1cee08a3abc7f8fefcfab697bd28404441f2b8ee8fafba356164902

5. ZPHP

ZPHP是一种用JavaScript编写的下载器,通过恶意或遭入侵的网站以虚假浏览器更新的形式分发。ZPHP也已知会投放NetSupport远程访问工具和Lumma Stealer恶意软件。 域名

  • ahmm[.]ca
  • anoteryo[.]top
  • ashesplayer[.]top
  • as5yo[.]top
  • buyedmeds[.]top
  • morniksell[.]com
  • retiregenz[.]com
  • trendings[.]top
  • warpdrive[.]top

6. VenomRAT

VenomRAT是一种开源RAT,通常被其他恶意软件投放或通过恶意垃圾邮件传播。由于VenomRAT是开源的,存在多个具有不同功能的版本。大多数版本包括与击键记录、屏幕捕获、密码窃取、数据外泄以及下载和执行附加文件相关的功能。 SHA256哈希值

  • A5D1E69076FD9F52D8A804202A21852FE2B76FB4534F48455DEF652E84CCEAAB
  • D6CC784BE51F8B784BD9AFD2485F3766D89CA5AE004AE9F2C4DAE7E958DBE722
  • EAD78CEBBB4CF8CF410E1D8674D89D89F35A7A9936C3FF61C16C534062B3E9B8
  • Ff939d8a377b37b1688edc3adb70925ffcf313f83db72278d14955b323b138b7
  • F308A8CC0790F07F343D82AE0D9DA95248FB1BA4D4E01F30D0A8A43B9E6D3CA0
  • 0109B0D2C690FED142DAD85CED4F1E277464ACC49DF4BEF3C5F5ED58F3925AED
  • 156943B1DF6141AB7C2910B7CD5B8BCB2FFE839AA6C99D663ABF12588F11615B
  • 522D4528ED25FE6CE9422B45AC4D162E7567330C0FCB274DE247C4CB07ED794B
  • 57CDECA5D774353B37AFFDB9F3BF50BFF0E16140A9CED996F5AC3925DE362074
  • 706AAFE4ED32AA4B13E65629C2496D9B1E2E9D1753AA0F92833586ACD1AA591E
  • 89C73024FC9D700209ECADDF3628B59224D27750E188DCE0015313DA77346925

7. Gh0st

Gh0st是一种用于控制受感染终端的RAT。Gh0st被其他恶意软件投放,以在设备上创建后门,使攻击者能够完全控制受感染的设备。 域名

  • gmhyc[.]vip5944[.]com
  • kinh[.]xmcxmr[.]com
  • whseel.f3322[.]org
  • yinhunzhiren[.]e2[.]luyouxia[.]net SHA256哈希值
  • eb012c3bc2ff9dc0710c4de9dd0da5ae5a962e4521b7ae33035bf69dd897a255
  • ef686d3726ef3f2ec5dee9390a6430cc74aae5c0b24a30441154aa1415ab9887
  • 0d1b1e53089001d5ba3e3e81083bd29a38a989a9791dd1432eb5331ee100336e
  • 085e647900df354e4ef17451b8a644169a473f5e175383f6cf7666a5ff66a191
  • 3a4cef94dd1a37c78f34e9d5912930ad4e8a858f7672435eea186c5148b05dd6
  • 9baec10376d3661ed20d953b718a975433cc1299a6db8fd3b690b4e3bc01058d
  • 92d1eada419273a87ee66170826f94aab7af63a521bdfc20273620a5bb9e012b
  • 967833fc5afa92793c2a1b1e190726a0dbc15c2d103280495b1f94c5e2ba39ae

8. NanoCore

NanoCore是一种在犯罪论坛上出售的RAT,通常通过带有附件(例如恶意的Excel (XLS)电子表格)的恶意垃圾邮件传播。NanoCore具有广泛的功能,包括击键记录、屏幕捕获、密码窃取、数据外泄、下载和执行附加文件以及添加注册表键以实现持久化。 SHA256哈希值

  • ac7c3c0c3906c4d93e34b91fa34941277f044ac26d037c113c9756a4f18619dd
  • ae9384f6fc3fea2276f6897e910a5d5b7a3ad995420363788815e0754ff9469f
  • b41b8e7fa701068d5adb73d80ab7582f2faffa1bad904fa01f413c0775abb162
  • b5d0552aa20ae4bec3f41829abfb9e3b797512bcc9cdb9e6454b63f6a6727cea
  • cb221204dda7694c9ecd227681ada701093386b6bb290e128acd0db44aab56e3
  • edcddea73fb45a758b91322ed6b64f182d353d5760c71e7afcce7340f522b40b
  • 4a0e6efe7da756a13dd1f1f7fe3a9a24f62e03ac4181e56a9b1e9e46045ff036
  • 480a1166729945af333cf8a6f5d51a4ed13ac5e4af1487ecea6e87f7aefbf656
  • 677ce0d368b44c16550269a5f337c5d8c67cf025664c614ab1add706627b0594
  • 6945a4190b825daeb27ad63f21aade3053099ddba38dea4e25a5d1cc7471f74d

9. Lumma Stealer

Lumma Stealer,也称为Lumma,是一种作为恶意软件即服务(MaaS)运作的信息窃取恶意软件。它针对PII,例如凭证、银行信息、cookies、浏览器自动填充数据以及加密货币钱包信息。此外,它具有多种防御规避能力,包括虚拟环境检测、用户活动监控以及可执行文件加密以阻碍逆向工程。 域名

  • lzh[.]fr
  • digitbasket[.]com
  • duhodown[.]fun
  • kowersize[.]fun
  • marvelvod[.]com
  • mouseoiet[.]fun
  • plengreg[.]fun
  • zamesblack[.]fun
  • zamesblack[.]fun SHA256哈希值
  • FA8BE0CE6F177965A5CD2DB80E57C49FB31083BD4DDCB052DEF24CFBF48D65B5
  • 388F910E662F69C7AB6FCF5E938BA813CF92C7794E5C3A6AD29C2D9276921ED3
  • 64F6C0C0FD736C4A82F545AADC7A1C49D4CEA77B14F4B526EF9DA56A606EEB3D

10. Jinupd

Jinupd,也称为JackPOS,是一种销售点(POS)信息窃取程序,通过从支付处理应用程序中抓取内存来窃取信用卡信息。它通常伪装成Java更新程序,通过注册表修改建立持久性,外泄被盗数据,并下载额外的负载。Jinupd通常通过路过式下载、被入侵的网站或作为其他恶意软件的次要负载传播。 SHA256哈希值

  • b9f8c7b020be54cc25d73d0fdf75378a87fa5729a9464366f33c274af795c050
  • 7da2b0790888196277f45b32162c355c0b68c8a83479c5c3bbb3dd6deed80c8a

利用定制化威胁情报的力量

本威胁情报简报说明了CIS CTI团队如何支持MS-ISAC的付费成员。MS-ISAC成员资格面向美国州、地方、部落和地区(SLTT)政府实体开放,使组织能够共享信息并协作防御网络威胁。CIS CTI团队通过维护唯一一个针对美国SLTT定制的STIX/TAXII威胁情报源来支持成员。它还定期发布威胁情报简报以及详细报告,例如《季度威胁报告》和《运营网络分析报告》,为决策者提供可操作的情报,帮助他们以积极主动的方式进行组织的网络防御。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次