- 2022年2月頭號惡意事件軟件:
- Emotet仍然位居第一,TRickbot的指數榜單排名進(jìn)一步下滑
Check Point Research 指出,Emotet 再次成為最猖獗的惡意軟件,而 Trickbot 則從第二位跌至第六位。Apache Log4j 不再是最常被利用的漏洞,但教育/研究行業(yè)仍然是首要攻擊目標。
2022 年3 月,Check Point Research發(fā)布了其 2022 年 2 月最新版《全球威脅指數》報告。研究報告稱(chēng),Emotet 仍然是最猖獗的惡意軟件,影響了全球 5% 的機構,而 Trickbot 的指數榜單排名則進(jìn)一步下滑至第六位。
Trickbot 是一種僵尸網(wǎng)絡(luò )和銀行木馬,可竊取財務(wù)信息、帳戶(hù)登錄憑證及個(gè)人身份信息,并在網(wǎng)絡(luò )中橫向傳播和投放勒索軟件。2021 年,它曾七次出現在最猖獗的惡意軟件排行榜的榜首。然而,在過(guò)去幾周,Check Point Research 沒(méi)有發(fā)現任何新的 Trickbot 攻擊活動(dòng),該惡意軟件目前位于指數榜單的第六位。這在一定程度上可能是由于一些 Trickbot 成員加入了 Conti 勒索軟件團伙,正如最近 Conti 數據泄露事件所暗示的那樣。
本月,CPR 發(fā)現網(wǎng)絡(luò )犯罪分子正利用俄烏沖突來(lái)誘騙人們下載惡意附件,2 月份最猖獗的惡意軟件 Emotet電子郵件隨附惡意文件的主題為“撤回:俄烏軍事沖突:我們?yōu)蹩颂m作業(yè)人員的福利”。
Check Point 軟件技術(shù)公司研發(fā)副總裁 Maya Horowitz 表示:“目前,Emotet 等許多惡意軟件利用公眾對俄烏沖突的關(guān)注發(fā)起有關(guān)該主題的電子郵件攻擊活動(dòng),以誘騙人們下載惡意附件。請務(wù)必仔細檢查發(fā)件人的電子郵件地址是否真實(shí),注意電子郵件中的任何拼寫(xiě)錯誤,除非您確定電子郵件是安全的,否則切勿打開(kāi)附件或點(diǎn)擊鏈接。”
CPR 指出,本月,教育/研究行業(yè)仍是全球首要攻擊目標,其次是政府/軍事部門(mén)和 ISP/MSP。“Web Server Exposed Git 存儲庫信息泄露”是最常被利用的漏洞,全球 46% 的機構因此遭殃,其次是“Apache Log4j 遠程執行代碼”(從第一位跌至第二位),影響了全球 44% 的企業(yè)與機構。“HTTP標頭遠程代碼執行”是第三大最常被利用的漏洞,全球影響范圍為 41%。
頭號惡意軟件家族
本月,Emotet是最猖獗的惡意軟件,全球 6% 的企業(yè)與機構受到波及,緊隨其后的是 Trickbot 和 Formbook,分別影響了全球 4% 和 3% 的機構。
- ↔Emotet -Emotet 是一種能夠自我傳播的高級模塊化木馬。Emotet 曾經(jīng)被用作銀行木馬,最近又被用作其他惡意軟件或惡意攻擊的傳播程序。它使用多種方法和規避技術(shù)來(lái)確保持久性和逃避檢測。此外,它還可以通過(guò)包含惡意附件或鏈接的網(wǎng)絡(luò )釣魚(yú)垃圾郵件進(jìn)行傳播。
- ↑Glupteba-Glupteba是一種后門(mén)病毒,已逐漸成熟為一個(gè)僵尸網(wǎng)絡(luò )。到 2019 年,它包括 C&C 地址更新機制(通過(guò)公共比特幣列表)、完整的瀏覽器竊取程序功能及路由器漏洞利用程序
- ↑Formbook - Formbook 是一種信息竊取程序,可從各種 Web 瀏覽器中獲取憑證、收集截圖、監控和記錄擊鍵次數,并按照其 C&C 命令下載和執行文件。
全球首當其沖的行業(yè)
本月,教育/研究行業(yè)是全球首要攻擊目標,其次是政府/軍事部門(mén)和 ISP/MSP。
- 教育/研究
- 政府/軍事
- 互聯(lián)網(wǎng)服務(wù)提供商/托管服務(wù)提供商
最常被利用的漏洞
本月,“Web Server Exposed Git 存儲庫信息泄露”是最常被利用的漏洞,全球 46% 的企業(yè)因此遭殃,其次是“Apache Log4j 遠程執行代碼”(從第一位跌至第二位),影響了全球 44% 的組織與機構。“HTTP 標頭遠程代碼執行”是第三大最常被利用的漏洞,全球影響范圍為 41%。
- ↑Web Server Exposed Git 存儲庫信息泄露- Git 存儲庫報告的一個(gè)信息泄露漏洞。攻擊者一旦成功利用該漏洞,便會(huì )使用戶(hù)在無(wú)意間造成帳戶(hù)信息泄露。
- ↓Apache Log4j 遠程代碼執行 (CVE-2021-44228) - 一種存在于 Apache Log4j 中的遠程代碼執行漏洞。遠程攻擊者可利用這一漏洞在受影響系統上執行任意代碼。
- ↔HTTP 標頭遠程代碼執行 (CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) - HTTP 標頭允許客戶(hù)端和服務(wù)器傳遞帶 HTTP 請求的其他信息。遠程攻擊者可能會(huì )使用存在漏洞的 HTTP 標頭在受感染機器上運行任意代碼。
主要移動(dòng)惡意軟件
XLoader是本月最猖獗的移動(dòng)惡意軟件,其次是 xHelper和AlienBot。
- XLoader - XLoader 是由中國黑客組織 Yanbian Gang 開(kāi)發(fā)的 Android 間諜軟件和銀行木馬。該惡意軟件使用 DNS 欺騙來(lái)傳播受感染的 Android 應用,以收集個(gè)人和財務(wù)信息。
- xHelper - 自 2019 年3 月以來(lái)銷(xiāo)聲匿跡的惡意應用,用于下載其他惡意應用并顯示惡意廣告。該應用能夠對用戶(hù)隱身,并在卸載后進(jìn)行自我重新安裝。
- AlienBot - AlienBot 惡意軟件家族是一種針對 Android 設備的惡意軟件即服務(wù) (MaaS),它允許遠程攻擊者首先將惡意代碼注入合法的金融應用中。攻擊者能夠獲得對受害者帳戶(hù)的訪(fǎng)問(wèn)權限,并最終完全控制其設備。
Check Point《全球威脅影響指數》及其《ThreatCloud 路線(xiàn)圖》基于 Check Point ThreatCloud 情報數據撰寫(xiě)而成。ThreatCloud 提供的實(shí)時(shí)威脅情報來(lái)自于部署在全球網(wǎng)絡(luò )、端點(diǎn)和移動(dòng)設備上的數億個(gè)傳感器。AI 引擎和 Check Point 軟件技術(shù)公司情報與研究部門(mén) Check Point Research 的獨家研究數據進(jìn)一步豐富了情報內容。
關(guān)于 Check Point Research
Check Point Research 能夠為 Check Point客戶(hù)以及整個(gè)情報界提供領(lǐng)先的網(wǎng)絡(luò )威脅情報。Check Point 研究團隊負責收集和分析 ThreatCloud 存儲的全球網(wǎng)絡(luò )攻擊數據,以便在防范黑客的同時(shí),確保所有 Check Point 產(chǎn)品都享有最新保護措施。此外,該團隊由 100 多名分析師和研究人員組成,能夠與其他安全廠(chǎng)商、執法機關(guān)及各個(gè)計算機安全應急響應組展開(kāi)合作。
