Akamai最新报告发现：QSnatch感染是导致亚太地区恶意DNS流量增加的罪魁祸首

QSnatch 感染目前是企业环境中最大的僵尸网络威胁

攻击可能导致服务器瘫痪、数据被盗和服务中断

在全球范围内，约有 12% 的企业在过去一年中出现了数据泄露迹象

2023年 4月 3日 – 负责支持和保护网络生活的云服务提供商阿卡迈技术公司（Akamai Technologies, Inc.，以下简称：Akamai）（NASDAQ：AKAM），于近日发布了全新的《互联网现状》报告，该报告重点说明了恶意域名系统 (DNS) 流量对亚太地区企业和消费者造成的威胁。

这份亚太地区 (APAC) 报告的主要结论包括：

• QSnatch 成为亚太地区最大的僵尸网络威胁：专门针对 QNAP（企业用于备份或文件存储的网络连接存储 (NAS) 设备）的恶意软件 QSnatch 是 2022 年迄今为止亚太地区企业环境中最大的僵尸网络威胁。亚太地区近 60% 的受影响设备感染了 QSnatch，仅次于北美。
• 企业命令和控制流量增多：在任意季度，全球都有 10% 至 16% 的企业会在其网络中遇到命令和控制 (C2) 流量，这表明有可能正在发生攻击或存在数据泄露。在亚太地区，Akamai 观察到，约有 15% 的受影响设备会连接初始访问代理 (IAB) 域。这些域的背后是网络犯罪团伙，他们向其他网络犯罪分子（比如勒索软件团伙）出售遭到入侵网络的未经授权的访问权。
• 亚太地区遭受的家庭网络威胁全球最高：亚太地区记录的消费者家庭网络威胁远远高于全球其他地区。2022 年下半年，北美标记的恶意查询数量位居第二，与之相比，亚太地区是它的两倍。我们发现，亚太地区有超过 3.5 亿次查询与 Pykspa 有关，Pykspa 是一种利用 Skype 消息传播的蠕虫病毒，通过向受影响用户的联系人发送恶意链接来窃取信息。

企业受到 DNS 攻击的威胁日趋严重

由于对于互联网的大多数使用都是通过 DNS 进行的，这种普遍性使 DNS 成为了攻击基础架构的一个重要环节。Akamai 每天观察到近七万亿次 DNS 请求，并将恶意 DNS 事务分为三大类：恶意软件、网络钓鱼以及命令和控制。

根据 Akamai 的数据，在任意给定季度，全球有 10% 至 16% 的企业会在其网络中遇到命令和控制 (C2) 流量。C2 流量的存在表明可能有攻击正在进行中，或已发生数据泄露，而威胁则包括窃取信息的僵尸网络、初始访问代理 (IAB)（他们向其他网络犯罪分子出售遭到入侵网络的未经授权的访问权）等。

在亚太地区，15% 的受影响设备已连接到已知的 IAB C2 域（比如 Emotet），这些域首先进行初始入侵，然后向 Lockbit 等勒索软件团伙和其他网络犯罪团伙出售访问权。在该地区，还发现 Revil 和 Lockbit 等勒索软件变体也位列影响所有企业设备的五大 C2 威胁类型。 

网络连接存储设备正中攻击者的下怀，因为这些设备不太可能安装修补程序，而且存有大量高价值的数据。Akamai 的数据显示，2022 年，亚太地区近 60% 的受影响设备感染了 Qsnatch（一种针对 NAS 设备的信息窃取恶意软件），这使得该地区的感染数量仅次于北美。由于数据中心大量集中在亚太地区，再加上 NAS 设备在中小企业领域的普及，这些因素最有可能增加整体感染数量。

Akamai 亚太地区及日本安全技术和战略总监 Reuben Koh 表示：“随着作为全球经济和数字化转型中心的亚太地区的发展步伐不断加快，攻击者继续探索各种攻击企业的手段以获取经济利益也就不足为奇了。在 Akamai 的最新发现中，不仅重点指出了每个地区最为普遍的攻击，而且还指出多阶段攻击已经成为针对我们地区现代网络环境的主要攻击手段。攻击者发现，当他们合作开展攻击或在一次攻击中结合使用多种工具时，他们的得手率会提高。C2 基础架构对于这些攻击的成功至关重要，因为它们可以用于通信，以及促进下载攻击负载和下一阶段的恶意软件，以继续推进攻击。”。

他还表示：“由于多阶段攻击可能会对企业产生不利影响，因此，企业必须抢先一步阻击攻击者。除了直接经济损失、客户信心和信任受损等直接影响外，还会付出用于恢复遭到破坏的基础架构的长期成本，比如法律、赔偿和清理费用。”

家庭用户要对 DNS 攻击保持高度警惕

虽然攻击者的攻击目标往往是企业，因为成功入侵企业网络会带来更大的回报，但攻击家庭用户更容易而且更快，因为家庭用户的网络不像企业环境那样安全。攻击者不仅试图滥用计算机等传统设备，而且还试图滥用手机和物联网设备。

根据 Akamai 的数据，2022 年下半年，亚太地区出现与家庭网络威胁有关的查询数量最多。该地区的数量是北美地区的两倍，北美地区是标记查询次数第二多的地区。

我们发现，亚太地区有超过 3.5 亿次与 Pykspa 有关的查询，此威胁借由 Skype 来传播，通过向受影响用户的联系人发送恶意链接来窃取信息。它的后门功能允许攻击者连接到远程系统并执行任意命令，比如下载文件、终止进程，并通过各种方式传播，包括映射的驱动器和网络共享。

网络钓鱼活动也在积极攻击亚太地区的金融品牌，诱使毫无戒心的消费者成为网络钓鱼受害者。Akamai 的研究发现，超过 40% 的网络钓鱼活动以金融服务客户为目标，导致近 70% 的受害者遭受与金融相关的网络钓鱼诈骗和攻击。这清楚地表明，针对金融服务行业及其客户的攻击在 2022 年非常有效。

Akamai 亚太地区及日本安全技术和战略总监 Reuben Koh 表示：“家庭用户在其网络遭到入侵时可能失去所有数据，除了这种个人面对的后果外，如果他们的设备成为大规模僵尸网络的一部分，攻击者可以调动僵尸设备，并在用户不知情的情况下进行网络犯罪活动，比如发送垃圾邮件，甚至对企业发动 DDoS 攻击，这会产生更为隐蔽的严重后果。”

他还表示：“我们看到此类攻击在本地区兴起，这并不奇怪，亚太地区目前有超过 12 亿人在使用移动互联网服务^[1]，而且预计 2026 年物联网支出将达到 4360 亿美元^[2]。该地区对于移动设备和智能设备的使用和采用持续增加，可能预示着此类攻击也会增加，这要求家庭用户保持高度警惕，避免成为网络攻击的受害者。”

给企业和家庭用户的建议

在分析了 DNS 态势后，Akamai 向企业和家庭用户提供了以下指导建议：

• 保持积极主动，确保为您的所有数字资产和用户提供出色的网络安全保护：
  • 企业应首先实现对所有软件和硬件资产的监测，并绘制出企业数据历程中每一步的所有关键漏洞以及所需的控制措施，比如防范 DDoS、恶意软件攻击和采集以及横向移动和渗透。
  • 最佳做法包括保持更新所有系统和软件，实施反恶意软件和多重身份验证，并在任何时候都对用户和设备实施最低权限访问。对于较大的企业或要求更复杂的企业，请让专业供应商提供帮助，同时也要积极监控性能和异常事件。
• 在家里培养良好的安全做法：
  • 家庭用户应采取积极措施，确保定期进行软件更新，安装反恶意软件和对家庭 WIFI 网络使用 WPA2 AES 或 WPA3 加密，从而保护所有设备。他们还应该对任何潜在的可疑网站、下载内容和通过电子邮件或短信发送的消息保持高度警惕。