2024 年的恶意软件家庭挑战

关键要点

• 恶意软件家族如 BlackLotus、Emotet、Beep 和 Dark Pink 持续对各行业组织构成严重威胁。
• 了解这些恶意软件的行为、动机和目标对于增强网络防御至关重要。
• 需要优先更新 UEFI 和固件设置，加强钓鱼攻击侦测和用户培训。

随着 2024 年接近尾声，恶意软件家族如 、、 和
持续为各行各业的组织带来独特挑战。每个恶意软件家族在战术上不断演变，越来越注重规避防御和利用可信的安全机制。因此，了解它们的行为、动机和目标对于强化防御至关重要。

以下是这些威胁的概述以及减轻风险的见解：

恶意软件名称 | 特征 | 目标行业
—|—|—
BlackLotus | 首个绕过安全启动的恶意软件，嵌入在固件层，具备持久性和隐蔽性 | 政府、金融、国防
Emotet | 演变为强大的恶意软件平台，擅长通过钓鱼邮件传播，常用作其他恶意软件的载体 | 金融服务、法律
Beep | 设计用于隐蔽，使用模块化组件，主要针对企业系统 | 零售、物流、制造
Dark Pink | 针对亚太地区的网络间谍组织，通过精准钓鱼和 DLL 侧载攻击目标 | 能源、科技

SC Media Perspectives 栏目由可信的 SC Media
网络安全主题专家社区撰写。。

BlackLotus：引导程序的奇才

BlackLotus 成为首个已知的能够绕过安全启动的恶意软件，攻击现代 Windows系统的统一可扩展固件接口（UEFI）层。通过嵌入固件，它能够规避标准检测并在重启后继续存在。这种深层系统的妥协使攻击者能够维持长期访问，从而进行间谍、破坏或勒索软件操作。

以前只是一种理论，BlackLotus 使得 UEFI引导程序病毒成为现实，它绕过安全启动保护的能力影响深远。其反分析特性使得恶意软件难以被检测出来，而其跨平台的能力则威胁到依赖系统正常运行和安全的行业，如关键基础设施、金融服务和医疗保健。

为防范 BlackLotus，组织应优先进行 UEFI更新，实施固件安全控制，并定期进行系统审核。多因素认证和基于硬件的安全措施，如可信平台模块（TPM），也至关重要。

Emotet：持久的钓鱼者

Emotet最初是一个银行木马，已演变为一个多功能的恶意软件平台，通过带有恶意附件的钓鱼邮件传播。它也作为其他恶意软件的投递机制，通过劫持电子邮件将自己嵌入合法的商业通信中。

该恶意软件在电子邮件劫持和社交工程战术中的角色愈加复杂，使钓鱼邮件更难以被检测到。依赖通信的行业，如金融服务和法律领域，尤其脆弱。

Emotet作为恶意软件交付平台的角色以及其能够嵌入受信任的电子邮件线程使其成为一个重大情报威胁，尤其是在数据保密性至关重要的行业。情报团队应监视其与其他恶意软件运营者的合作关系，因为
Emotet 通常会为更大规模的勒索软件或数据外泄活动提供通道。

组织应加强钓鱼防御，强化电子邮件过滤，培训用户认识可疑邮件。限制