Check Point 2 月全球威脅指數:Emotet 仍位居第一
Check Point Research 指出,Emotet 再次成為最猖獗的惡意軟件,而 Trickbot 則從第二位跌至第六位。Apache Log4j 不再是最常被利用的漏洞,但教育/研究行業仍然是首要攻擊目標。
2022 年 3 月 ,全球領先網絡安全解決方案提供商 Check Point? 軟件技術有限公司(納斯達克股票代碼:CHKP)的威脅情報部門 Check Point Research發布了其 2022 年 2 月最新版《全球威脅指數》報告。研究人員報告稱,Emotet 仍然是最猖獗的惡意軟件,影響了全球 5% 的機構,而 Trickbot 的指數榜單排名則進一步下滑至第六位。
Trickbot 是一種僵尸網絡和銀行木馬,可竊取財務信息、帳戶登錄憑證及個人身份信息,并在網絡中橫向傳播和投放勒索軟件。2021 年,它曾七次出現在最猖獗的惡意軟件排行榜的榜首。然而,在過去幾周,Check Point Research 沒有發現任何新的 Trickbot 攻擊活動,該惡意軟件目前位于指數榜單的第六位。這在一定程度上可能是由于一些 Trickbot 成員加入了 Conti 勒索軟件團伙,正如最近的 Conti 數據泄露事件所暗示的那樣。
本月,CPR 發現網絡犯罪分子正利用俄烏沖突來誘騙人們下載惡意附件,2 月份最猖獗的惡意軟件 Emotet電子郵件隨附惡意文件的主題為“撤回:俄烏軍事沖突:我們烏克蘭作業人員的福利”。
Check Point 軟件技術公司研發副總裁 Maya Horowitz 表示:“目前,Emotet 等許多惡意軟件利用公眾對俄烏沖突的關注發起有關該主題的電子郵件攻擊活動,以誘騙人們下載惡意附件。請務必仔細檢查發件人的電子郵件地址是否真實,注意電子郵件中的任何拼寫錯誤,除非您確定電子郵件是安全的,否則切勿打開附件或點擊鏈接。”
CPR 指出,本月,教育/研究行業仍是全球首要攻擊目標,其次是政府/軍事部門和 ISP/MSP。“Web Server Exposed Git 存儲庫信息泄露”是最常被利用的漏洞,全球 46% 的機構因此遭殃,其次是“Apache Log4j 遠程執行代碼”(從第一位跌至第二位),影響了全球 44% 的企業與機構。“HTTP 標頭遠程代碼執行”是第三大最常被利用的漏洞,全球影響范圍為 41%。
頭號惡意軟件家族
* 箭頭表示與上月相比的排名變化。
? Emotet - Emotet 是一種能夠自我傳播的高級模塊化木馬。Emotet 曾經被用作銀行木馬,最近又被用作其他惡意軟件或惡意攻擊的傳播程序。它使用多種方法和規避技術來確保持久性和逃避檢測。此外,它還可以通過包含惡意附件或鏈接的網絡釣魚垃圾郵件進行傳播。
↑ Formbook - Formbook 是一種信息竊取程序,可從各種 Web 瀏覽器中獲取憑證、收集截圖、監控和記錄擊鍵次數,并按照其 C&C 命令下載和執行文件。
↑ Glupteba - Glupteba 是一種后門病毒,已逐漸成熟為一個僵尸網絡。到 2019 年,它包括 C&C 地址更新機制(通過公共比特幣列表)、完整的瀏覽器竊取程序功能及路由器漏洞利用程序。
全球首當其沖的行業
本月,教育/研究行業是全球首要攻擊目標,其次是政府/軍事部門和 ISP/MSP。
1 教育/研究
2 政府/軍事
3 互聯網服務提供商/托管服務提供商
最常被利用的漏洞
本月,“Web Server Exposed Git 存儲庫信息泄露”是最常被利用的漏洞,全球 46% 的企業因此遭殃,其次是“Apache Log4j 遠程執行代碼”(從第一位跌至第二位),影響了全球 44% 的組織與機構。“HTTP 標頭遠程代碼執行”是第三大最常被利用的漏洞,全球影響范圍為 41%。
1 ↑ Web Server Exposed Git 存儲庫信息泄露 - Git 存儲庫報告的一個信息泄露漏洞。攻擊者一旦成功利用該漏洞,便會使用戶在無意間造成帳戶信息泄露。
2 ↓ Apache Log4j 遠程代碼執行 (CVE-2021-44228) - 一種存在于 Apache Log4j 中的遠程代碼執行漏洞。遠程攻擊者可利用這一漏洞在受影響系統上執行任意代碼。
3 ? HTTP 標頭遠程代碼執行 (CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) - HTTP 標頭允許客戶端和服務器傳遞帶 HTTP 請求的其他信息。遠程攻擊者可能會使用存在漏洞的 HTTP 標頭在受感染機器上運行任意代碼。
主要移動惡意軟件
本月主要移動威脅來自于x Helper與AlienBot。
xHelper - 自 2019 年3 月以來開始肆虐的惡意應用,用于下載其他惡意應用并顯示惡意廣告。該應用能夠對用戶隱身,并在卸載后進行自我重新安裝。
AlienBot - AlienBot 惡意軟件家族是一種針對 Android 設備的惡意軟件即服務 (MaaS),它允許遠程攻擊者首先將惡意代碼注入合法的金融應用中,從而訪問受害者的帳戶,并最終完全控制其設備。
Check Point《全球威脅影響指數》及其《ThreatCloud 路線圖》基于 Check Point ThreatCloud 情報數據撰寫而成。ThreatCloud 提供的實時威脅情報來自于部署在全球網絡、端點和移動設備上的數億個傳感器。AI 引擎和 Check Point 軟件技術公司情報與研究部門 Check Point Research 的獨家研究數據進一步豐富了情報內容。
如欲查看 2 月份十大惡意軟件家族的完整列表,請訪問 Check Point 博客。
