Check Point Research 報告稱,自 2022 年 7 月以來,Glupteba 首次重返前十排行榜。Qbot 取代 Emotet 成為 12 月最猖獗的惡意軟體,Android 惡意軟體 Hiddad 卷土重來
2023 年 1 月,全球領先的網絡安全解決方案提供商 Check Point 軟體技術有限公司(納斯達克股票代碼:CHKP)釋出了其 2022 年 12 月最新版《全球威脅指數》報告。上月,基于區塊鍊的木馬僵屍網絡 Glupteba 來勢洶洶,自 2022 年 7 月以來首次重返前十排行榜,升至第八位。Qbot 是一種複雜的木馬,可竊取銀行憑證和鍵盤使用記錄,在上個月再度來襲後取代 Emotet 成為最猖獗的惡意軟體,影響了全球 7% 的機構。同時,Android 惡意軟體 Hiddad 卷土重來,教育行業仍然是全球受影響最大的行業。
盡管谷歌于 2021 年 12 月成功對 Glupteba 僵屍網絡活動造成重創,但該僵屍網絡近期餘燼複燃。作為一種子產品化惡意軟體變體,Glupteba 能夠在受感染電腦上實作各種不軌意圖。該僵屍網絡通常用作其他惡意軟體的下載下傳程式和植入程式。這意味着,Glupteba 感染可能導緻勒索軟體感染、資料洩露或其他安全事件。Glupteba 還可從受感染的機器上竊取使用者憑證和會話 cookie。這種身份驗證資料可用于通路使用者的線上帳戶或其他系統,便于攻擊者竊取敏感資料或利用這些被盜帳戶采取其他操作。最後,該惡意軟體被廣泛用于将加密貨币挖礦功能部署至其目标上,隐蔽的挖礦活動會耗盡電腦的資源。
12 月,Hiddad 在 2022 年進入移動惡意軟體排行榜前三名。Hiddad 是一種廣告分發惡意軟體,主要瞄準 Android 裝置。它能夠對合法應用進行重新打包,然後将其釋出到第三方商店。其主要功能是顯示廣告,但它也可以通路作業系統内置的關鍵安全細節。
Check Point 軟體技術公司研究副總裁 Maya Horowitz 表示:“我們最新的研究表明,惡意軟體經常僞裝成合法軟體,讓黑客通過後門通路裝置而不引起懷疑。是以,您在下載下傳任何軟體和應用或點選連結時務必要小心,無論它們看上去多麼真實。”
CPR 還指出,“Web Server Exposed Git 存儲庫資訊洩露”是最常被利用的漏洞,全球 46% 的機構是以遭殃,其次是“Web 伺服器惡意 URL 目錄周遊漏洞”,影響了全球 44% 的機構。“HTTP 載荷指令行注入”是第三大最常被利用的漏洞,全球影響範圍為 43%。
頭号惡意軟體家族
* 箭頭表示與上月相比的排名變化。
Qbot 是上個月最猖獗的惡意軟體,全球 7% 的機構受到波及,其次是 Emotet 和 XMRig,分别影響了全球 4% 和 3% 的機構。
↑ Qbot - Qbot(又名 Qakbot)是一種銀行木馬,于 2008 年首次出現,旨在竊取使用者的銀行憑證和擊鍵記錄。Qbot 通常通過垃圾郵件傳播,采用多種反 VM、反調試和反沙盒手段來阻礙分析和逃避檢測。
Emotet – Emotet 是一種能夠自我傳播的進階子產品化木馬。Emotet 曾經被用作銀行木馬,最近又被用作其他惡意軟體或惡意攻擊的傳播程式。它使用多種方法和規避技術來確定持久性和逃避檢測。此外,它還可以通過包含惡意附件或連結的網絡釣魚垃圾郵件進行傳播。
↑ XMRig - XMRig 是一種用于挖掘門羅币加密貨币的開源 CPU 挖礦軟體。攻擊者經常濫用此開源軟體,将其內建到惡意軟體中,進而在受害者的裝置上進行非法挖礦。
最常被利用的漏洞
12 月,“Web Server Exposed Git 存儲庫資訊洩露”是最常被利用的漏洞,全球 46% 的機構是以遭殃,其次是“Web 伺服器惡意 URL 目錄周遊漏洞”,影響了全球 44% 的機構。“HTTP 載荷指令行注入”是第三大最常被利用的漏洞,全球影響範圍為 43%。
↑ Web Server Exposed Git 存儲庫資訊洩露 - Git 存儲庫報告的一個資訊洩露漏洞。攻擊者一旦成功利用該漏洞,便會造成帳戶資訊的無意洩露。
↓ Web 伺服器惡意 URL 目錄周遊漏洞(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260)- 不同 Web 伺服器上都存在目錄周遊漏洞。這一漏洞是由于 Web 伺服器中的輸入驗證錯誤所緻,沒有為目錄周遊模式正确清理 URI。未經身份驗證的遠端攻擊者可利用漏洞洩露或通路易受攻擊的伺服器上的任意檔案。
↑ HTTP 載荷指令行注入(CVE-2021-43936,CVE-2022-24086)– 現已發現一種 HTTP 載荷指令行注入漏洞。遠端攻擊者可以通過向受害者發送特制的請求來利用此漏洞。攻擊者可通過該漏洞在目标計算機上執行任意代碼。
主要移動惡意軟體
上月,Anubis 仍是最猖獗的移動惡意軟體,其次是 Hiddad 和 AlienBot。
Anubis – Anubis 是一種專為 Android 手機設計的銀行木馬惡意軟體。 自最初被發現以來,它已經增添了一些額外的功能,包括遠端通路木馬 (RAT) 功能、鍵盤記錄器和錄音功能及各種勒索軟體特性。在谷歌商店提供的數百款不同應用中均已檢測到該銀行木馬。
Hiddad - Hiddad 是一種 Android 惡意軟體,能夠對合法應用進行重新打包,然後将其釋出到第三方商店。其主要功能是顯示廣告,但它也可以通路作業系統内置的關鍵安全細節。
AlienBot – AlienBot 是一種針對 Android 的銀行木馬,作為惡意軟體即服務 (MaaS) 在地下出售。它支援鍵盤記錄、動态覆寫(以竊取憑證)及短消息擷取(可繞開 2FA),并可以利用 TeamViewer 子產品提供其他遠端控制功能。
Check Point《全球威脅影響指數》及其《ThreatCloud 路線圖》基于 Check Point ThreatCloud 情報資料撰寫而成。ThreatCloud 提供的實時威脅情報來自于部署在全球網絡、端點和移動裝置上的數億個傳感器。AI 引擎和 Check Point 軟體技術公司情報與研究部門 Check Point Research 的獨家研究資料進一步豐富了這些情報内容。
如欲檢視 12 月份十大惡意軟體家族的完整清單,請通路 Check Point 部落格。
關于 Check Point Research
Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領先的網絡威脅情報。Check Point 研究團隊負責收集和分析 ThreatCloud 存儲的全球網絡攻擊資料,以便在防範黑客的同時,確定所有 Check Point 産品都享有最新保護措施。此外,該團隊由 100 多名分析師和研究人員組成,能夠與其他安全廠商、執法機關及各個計算機安全應急響應組展開合作。
關于 Check Point 軟體技術有限公司
Check Point 軟體技術有限公司 (www.checkpoint.com.cn) 是一家面向全球政府和企業的領先網絡安全解決方案提供商。Check Point Infinity 解決方案組合對惡意軟體、勒索軟體及其他威脅的捕獲率處于業界領先水準,可有效保護企業和公共組織免受第五代網絡攻擊。Infinity 包含四大核心支柱,可跨企業環境提供卓越安全保護和第五代威脅防護:Check Point Harmony(面向遠端使用者);Check Point CloudGuard(自動保護雲環境);Check Point Quantum(有效保護網絡邊界和資料中心);Check Point Horizon (以預防為中心的統一安全管理和防禦平台) — 所有這一切均通過業界最全面、直覺的統一安全管理進行控制。Check Point 為十萬多家各種規模的企業提供保護。