2025年5月恶意软件动态：SafePay快速崛起成为网络威胁新焦点

网络犯罪分子日趋狡猾，其中SafePay已崛起为顶级勒索软件集团，FakeUpdates仍是一个持续存在的全球性威胁。

2025年6月 –全球领先的AI驱动型云安全平台提供商 Check Point® 软件技术有限公司（纳斯达克股票代码：CHKP）发布了2025年5月全球威胁指数报告。SafePay作为一个近期出现但发展迅速的勒索软件集团，本月超越其他组织，成为采用双重勒索策略的勒索软件集团中最为活跃的威胁行为体。另一方面FakeUpdates继续作为最广泛传播的恶意软件，对全球机构造成影响。教育行业仍是最受针对的行业，反映出机构中持续存在的漏洞。

今年5月，欧洲刑警组织（Europol）、美国联邦调查局（FBI）、微软以及其他合作伙伴联合发起了一项重大行动，打击知名的恶意软件即服务（malware-as-a-service）平台 Lumma。此次打击行动查封了数千个域名，严重扰乱了该平台的运营。然而，据称Lumma的核心服务器仍在持续运行，开发者也迅速恢复了其基础设施。此次行动虽然在技术层面造成了明显破坏，但与 Lumma 相关的数据仍在持续传播，引发人们对此次打击行动长期效果的担忧。

Check Point 公司威胁情报总监 Lotem Finkelstein 表示：“5 月的全球威胁指数数据凸显了网络犯罪分子战术的日益复杂化。随着 SafePay 等团伙的崛起以及 FakeUpdates 等持续性威胁的存在，用户必须采取主动、多层级的安全措施。随着网络威胁不断升级，借助实时威胁情报和强大的防御体系，提前应对不断演变的攻击至关重要。”

顶级恶意软件家族

(箭头表示与4月相比的排名变化。)

1.   FakeUpdates - Fakeupdates（又称SocGholish）是一种下载器恶意软件，最初于2018年被发现。它通过受感染或恶意网站上的驱动程序下载传播，诱使用户安装假冒的浏览器更新。

2.   Remcos - Remcos 是一种远程访问木马（RAT），首次于 2016 年被观察到，常通过钓鱼活动中的恶意文档进行传播。它设计用于绕过 Windows 安全机制（如 UAC），并以提升权限执行恶意软件，使其成为威胁行为者的多功能工具。

3.  ↑ Androxgh0st - AndroxGh0st 是一种基于 Python 的恶意软件，针对使用 Laravel PHP 框架的应用程序，通过扫描暴露的 .env 文件中包含的敏感信息（如 AWS、Twilio、Office 365 和 SendGrid 等服务的登录凭据）进行攻击。它通过利用僵尸网络识别运行 Laravel 的网站并提取机密数据。一旦获得访问权限，攻击者可部署额外恶意软件、建立后门连接，并利用云资源进行加密货币挖掘等活动。

顶级勒索软件集团

本月，SafePay 成为最主要的勒索软件威胁，其新一批运营者正同时针对大型企业和小型企业发起攻击。这些集团所采用的战术日益复杂，彼此间的竞争也愈发激烈。

SafePay - SafePay 是一个于 2024 年 11 月首次被发现的勒索软件集团，该集团采用双重勒索模式——加密受害者文件的同时窃取敏感数据以加大支付压力。尽管未以勒索软件即服务（RaaS）模式运营，SafePay仍报告了异常庞大的受害者数量。其集中化、内部驱动的组织结构导致战术、技术与程序（TTPs）高度一致，并能精准定位目标。

Qilin - Qilin（又称Agenda）是一个勒索软件即服务（RaaS）犯罪组织，与附属团体合作对受感染组织进行数据加密和窃取，随后索要赎金。该勒索软件变种于2022年7月首次被发现，采用Golang语言开发。该集团以大型企业和高价值机构为主要目标，特别针对医疗和教育行业。Qilin通常通过含有恶意链接的钓鱼邮件渗透受害者系统，以获取网络访问权限并窃取敏感信息。入侵后，Qilin通常在受害者基础设施中横向移动，寻找关键数据进行加密。

Play - Play 勒索软件，又称 PlayCrypt，是一种于 2022 年 6 月首次出现的勒索软件。该勒索软件针对北美、南美和欧洲的各类企业和关键基础设施，截至 2023 年 10 月，已影响约 300 个实体。Play 勒索软件通常通过被入侵的有效账户或利用未修补的漏洞（如 Fortinet SSL VPN 中的漏洞）进入网络。一旦进入系统，它会使用“利用现有资源的二进制文件”（LOLBins）等技术执行数据窃取和凭证盗取等任务。

数据基于双重勒索勒索软件集团运营的“羞耻网站”提供的洞察。

顶级移动恶意软件

Anubis - Anubis 是一种多功能银行木马，最初出现在 Android 设备上，并已发展出高级功能，包括通过拦截基于短信的一次性密码（OTP）绕过多因素认证（MFA）、键盘记录、音频录制以及勒索软件功能。它通常通过 Google Play 商店中的恶意应用进行分发，并已成为最常见的移动恶意软件家族之一。此外，Anubis还具备远程访问木马（RAT）功能，可对受感染系统进行全面监控和控制。

AhMyth - AhMyth是一种针对Android设备的远程访问木马（RAT），通常伪装成合法应用程序，如屏幕录制工具、游戏或加密货币工具。一旦安装，它将获得广泛权限以在重启后持续运行，并窃取敏感信息，包括银行凭证、加密货币钱包详情、多因素认证（MFA）代码及密码。AhMyth还支持键盘记录、屏幕截图、摄像头和麦克风访问，以及短信拦截，使其成为数据窃取和其他恶意活动的多功能工具。

↑ Necro - Necro 是一种恶意 Android 下载器，可根据创建者的指令从受感染设备下载并执行有害组件。该恶意软件已被发现存在于 Google Play 上的多个热门应用中，以及 Spotify、WhatsApp 和 Minecraft 等非官方平台上的应用修改版本中。Necro 能够向智能手机下载危险模块，执行显示和点击不可见广告、下载可执行文件以及安装第三方应用等操作。它还能打开隐藏窗口运行 JavaScript，可能导致用户被订阅到不需要的付费服务。此外，Necro 可将互联网流量通过受感染设备进行转发，将其转化为网络犯罪分子的代理僵尸网络的一部分。

5月份的数据凸显了复杂多阶段恶意软件攻击的持续上升，其中SafePay成为突出的勒索软件威胁。尽管FakeUpdates仍保持最广泛传播的恶意软件地位，但SafePay等新威胁行为者以及针对Lumma信息窃取器的持续攻击，表明网络攻击的复杂性正在不断演进。教育行业仍为主要目标，进一步强调了组织需采取主动、分层的安全措施以抵御日益复杂的威胁。

关于 Check Point 软件技术有限公司 

Check Point 软件技术有限公司（www.checkpoint.com）是数字信任领域的领先保护者，通过 AI 驱动的网络安全解决方案，保护全球超过 100,000 家组织免受网络威胁。Check Point 通过其 Infinity 平台与开放生态系统，坚持“预防为先”的理念，在提升安全效能的同时降低企业风险。依托以 SASE 为核心的混合网格架构，Infinity 平台实现了本地、云端及办公环境的统一管理，为企业及服务提供商带来灵活、简洁、可扩展的网络安全能力。

关于 Check Point Research

Check Point Research 能够为 Check Point Software 客户以及整个情报界提供领先的网络威胁情报。Check Point 研究团队负责收集和分析 ThreatCloud 存储的全球网络攻击数据，以便在防范黑客的同时，确保所有 Check Point 产品都享有最新保护措施。此外，该团队由 100 多名分析师和研究人员组成，能够与其他安全厂商、执法机关及各个计算机安全应急响应组展开合作。