Check Point發布了2023年7月全球威脅指數的分析報告。7月份最流行的惡意軟件是Qbot,影響了全球5%的組織,其次是Formbook(4%)和Remcos(2%)。全球遭到攻擊最多的行業是教育和研究行業,其次是政府和軍事行業,然后是醫療保健行業。最常被利用的漏洞Web服務器惡意URL目錄遍歷漏洞,影響了全球49%的組織,其次是Apache Log4j遠程代碼執行漏洞(45%)和HTTP標頭遠程代碼執行漏洞(42%)。最常見的移動惡意軟件Anubis,然后是SpinOk和AhMyth。
頂級惡意軟件家族
2023年7月,Qbot是最流行的惡意軟件,對全球組織的影響達5%,其次是Formbook,對全球影響達4%,而Remcos對全球影響達2%。
1.Qbot
Qbot 又稱 Qakbot 是一種多用途惡意軟件,首次出現于 2008 年。它旨在竊取用戶的憑據、記錄擊鍵、從瀏覽器竊取 cookie、監視銀行活動以及部署其他惡意軟件。Qbot 通常通過垃圾郵件進行分發,它采用多種反虛擬機、反調試和反沙箱技術來阻礙分析和逃避檢測。從 2022 年開始,它成為最流行的木馬之一。
2.Formbook
Formbook 是一種針對 Windows 操作系統的信息竊取程序,于 2016 年首次被發現。由于其強大的規避技術和相對較低的價格,它在地下黑客論壇中以惡意軟件即服務 (MaaS) 的形式進行銷售。FormBook 從各種 Web 瀏覽器獲取憑據、收集屏幕截圖、監視和記錄擊鍵,并可以根據其 C&C 的命令下載和執行文件。
3.Remcos
Remcos 是一種于 2016 年首次出現的 RAT。Remcos 通過附加在垃圾郵件中的惡意 Microsoft Office 文檔進行傳播,旨在繞過 Microsoft Windows UAC 安全性并以高級權限執行惡意軟件。
4.Emotet
Emotet 是一種先進的、自我傳播的模塊化木馬。Emotet 曾經被用作銀行木馬,最近被用作其他惡意軟件或惡意活動的分發者。它使用多種方法來維持持久性和逃避技術以避免檢測。此外,它還可以通過包含惡意附件或鏈接的網絡釣魚垃圾郵件進行傳播。
5.Nanocore
NanoCore 是一種針對 Windows 操作系統用戶的遠程訪問木馬,于 2013 年首次在野外發現。所有版本的 RAT 都包含基本插件和功能,例如屏幕捕獲、加密貨幣挖掘、遠程控制桌面和網絡攝像頭會話盜竊。
6.NJRat
NJRat 是一種遠程訪問木馬,主要針對中東的政府機構和組織。該木馬首次出現于 2012 年,具有多種功能:捕獲擊鍵、訪問受害者的攝像頭、竊取瀏覽器中存儲的憑據、上傳和下載文件、執行進程和文件操作以及查看受害者的桌面。NJRat 通過網絡釣魚攻擊和偷渡式下載感染受害者,并在命令與控制服務器軟件的支持下通過受感染的 USB 密鑰或網絡驅動器進行傳播。
7.GuLoader
Guloader 是一款自 2019 年 12 月以來廣泛使用的下載器。當它首次出現時,GuLoader 用于下載 Parallax RAT,但已應用于其他遠程訪問木馬和信息竊取程序,例如 Netwire、FormBook 和 Agent Tesla 。
8.Fakeupdates
Fakeupdates(又名 SocGholish)是一個用 JavaScript 編寫的下載器。它在啟動有效負載之前將其寫入磁盤。虛假更新通過許多其他惡意軟件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)導致進一步危害。
9.Phorpiex
Phorpiex 是一個僵尸網絡(又名 Trik),自 2010 年以來一直活躍,在高峰時期控制了超過一百萬臺受感染的主機。它以通過垃圾郵件活動分發其他惡意軟件系列以及助長大規模垃圾郵件和性勒索活動而聞名。
10.Ramnit
Ramnit 是一種模塊化銀行木馬,于 2010 年首次發現。Ramnit 竊取網絡會話信息,使其運營商能夠竊取受害者使用的所有服務的賬戶憑據,包括銀行賬戶、企業和社交網絡賬戶。該木馬使用硬編碼域以及 DGA(域生成算法)生成的域來聯系 C&C 服務器并下載其他模塊。
全球受攻擊最多的行業
2023年7月,教育/研究仍然位居全球最受開發行業的首位,其次是政府/軍事和醫療保健。
1.教育/研究
2.政府/軍隊
3.衛生保健
最常被利用的漏洞
2023年7月,Web服務器惡意URL目錄遍歷漏洞是最常被利用的漏洞,影響了全球49%的組織,其次是Apache Log4j遠程代碼執行漏洞(45%)和HTTP標頭遠程代碼執行漏洞(42%)。
1.Web 服務器惡意 URL 目錄遍歷
該漏洞是由于 Web 服務器中的輸入驗證錯誤導致的,該錯誤未正確清理目錄遍歷模式的 URI。成功利用此漏洞允許未經身份驗證的遠程攻擊者披露或訪問易受攻擊的服務器上的任意文件。
2.Apache Log4j 遠程代碼執行 (CVE-2021-44228)
Apache Log4j 中存在遠程代碼執行漏洞。成功利用此漏洞可能允許遠程攻擊者在受影響的系統上執行任意代碼。
3.HTTP 標頭遠程代碼執行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756)
HTTP 標頭允許客戶端和服務器通過 HTTP 請求傳遞附加信息。遠程攻擊者可能使用易受攻擊的 HTTP 標頭在受害計算機上運行任意代碼。
4.Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561)
Dasan GPON 路由器中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并對受影響的系統進行未經授權的訪問。
5.MVPower CCTV DVR 遠程執行代碼 (CVE-2016-20016)
MVPower CCTV DVR 中存在遠程執行代碼漏洞。成功利用此漏洞可能允許遠程攻擊者在受影響的系統上執行任意代碼。
6.F5 BIG-IP 遠程代碼執行 (CVE-2021-22986)
F5 BIG-IP 設備中存在遠程代碼執行漏洞。成功利用此漏洞可能允許遠程攻擊者在受影響的系統上執行任意代碼。
7.PHP Easter Egg Information Disclosure
PHP 頁面中報告了一個信息泄露漏洞。該漏洞是由于不正確的 Web 服務器配置造成的。遠程攻擊者可以通過向受影響的 PHP 頁面發送特制 URL 來利用此漏洞。
8.HTTP 命令注入(CVE-2021-43936、CVE-2022-24086)
遠程攻擊者可以通過向受害者發送特制請求來利用此漏洞。成功利用該漏洞將允許攻擊者在目標計算機上執行任意代碼。
9.WordPress portable-phpMyAdmin 插件身份驗證繞過 (CVE-2012-5469)
WordPress portable-phpMyAdmin 插件中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并對受影響的系統進行未經授權的訪問。
10.OpenSSL TLS DTLS 心跳信息泄露(CVE-2014-0160、CVE-2014-0346)
OpenSSL 中存在信息泄露漏洞。該漏洞又名 Heartbleed,是由于處理 TLS/DTLS 心跳數據包時出現錯誤造成的。攻擊者可以利用此漏洞泄露所連接的客戶端或服務器的內存內容。
熱門移動惡意軟件
2023年7月,Anubis在最流行的移動惡意軟件中排名第一,其次是SpinOk和AhMyth。
1.Anubis
Anubis 是一種專為 Android 手機設計的銀行木馬惡意軟件。自最初檢測到以來,它已獲得了額外的功能,包括遠程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能和各種勒索軟件功能。Google 商店中數百個不同的應用程序已檢測到該病毒。
2.SpinOk
SpinOk 是一個作為間諜軟件運行的 Android 軟件模塊。它收集有關設備上存儲的文件的信息,并能夠將它們傳輸給惡意威脅參與者。截至 2023 年 5 月,該惡意模塊存在于 100 多個 Android 應用程序中,下載量超過 4.21 億次。
3.AhMyth
AhMyth 是 2017 年發現的遠程訪問木馬 (RAT)。它通過 Android 應用程序分發,可在應用程序商店和各種網站上找到。當用戶安裝這些受感染的應用程序之一時,惡意軟件可以從設備收集敏感信息并執行鍵盤記錄、截圖、發送短信和激活攝像頭等操作,這些操作通常用于竊取敏感信息。
# 59號實驗室銳評 #
Check Point報告顯示,7月份的全球最易利用的漏洞主要為Web應用系統類漏洞,攻擊者最為關注的漏洞依舊是能夠遠程執行代碼類漏洞,因此在安全防護工作中,關注最新安全風險,日常化暴露面梳理工作是十分必要的。此外頂級惡意軟件家族的攻擊目標主要是敏感信息竊取,數據安全防護刻不容緩!
浙公網安備 33010502006954號 
