2023 年 2 月，全球領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商 Check Point 軟件技術(shù)有限公司(納斯達(dá)克股票代碼：CHKP)發(fā)布了其 2023 年 1 月《全球威脅指數(shù)》報(bào)告。上月，在品牌劫持事件增加后，信息竊取程序 Vidar 重返前 十排行榜，位列第七;中東和北非地區(qū)爆發(fā)了一場(chǎng)大型 njRAT 惡意軟件網(wǎng)絡(luò)釣魚(yú)攻擊活動(dòng)。

 

1 月，信息竊取程序 Vidar 被發(fā)現(xiàn)通過(guò)與遠(yuǎn)程桌面軟件公司 AnyDesk 有關(guān)的虛擬域名進(jìn)行傳播。該惡意軟件對(duì)各種熱門應(yīng)用進(jìn)行 URL 劫持，將用戶重定向到聲稱是 AnyDesk 官方網(wǎng)站的 IP 地址。一旦下載，該惡意軟件就會(huì)偽裝成合法安裝程序來(lái)竊取敏感信息，如登錄憑證、密碼、加密貨幣錢包數(shù)據(jù)和銀行信息。

 

研究人員還發(fā)現(xiàn)了一場(chǎng)名為 Earth Bogle 的大型攻擊活動(dòng)，該活動(dòng)針對(duì)整個(gè)中東和北非地區(qū)的攻擊目標(biāo)散播 njRAT 惡意軟件。攻擊者使用含有地緣政治主題的網(wǎng)絡(luò)釣魚(yú)電子郵件，誘使用戶打開(kāi)惡意附件。一旦下載并打開(kāi)，該木馬便會(huì)感染設(shè)備，允許攻擊者實(shí)施各種入侵活動(dòng)，以竊取敏感信息。

 

Check Point 軟件技術(shù)公司研究副總裁 Maya Horowitz 表示：“我們?cè)俅慰吹綈阂廛浖F(tuán)伙利用可信品牌傳播病毒，意在竊取個(gè)人身份信息。人們務(wù)必要注意其所點(diǎn)擊的鏈接，確保它們是合法 URL。請(qǐng)留意安全掛鎖圖標(biāo)，這表明網(wǎng)站裝有最 新 SSL 證書(shū)，而且還需注意任何不易察覺(jué)的拼寫錯(cuò)誤，這可能表明該網(wǎng)站是惡意網(wǎng)站。”

 

頭號(hào)惡意軟件家族

 

* 箭頭表示與上月相比的排名變化。

 

Qbot 和 Lokibot 是上月最猖獗的惡意軟件，分別影響了全球超過(guò) 6% 的機(jī)構(gòu)，其次是 AgentTesla，全球影響范圍為 5%。

 

↑ Qbot - Qbot(又名 Qakbot)是一種銀行木馬，于 2008 年首 次出現(xiàn)，旨在竊取用戶的銀行憑證和擊鍵記錄。Qbot 通常通過(guò)垃圾郵件傳播，采用多種反 VM、反調(diào)試和反沙盒手段來(lái)阻礙分析和逃避檢測(cè)。

 

↑Lokibot- LokiBot 是一種商品信息竊取程序，于 2016 年 2 月首 次發(fā)現(xiàn)，具有 Windows 和 Android 操作系統(tǒng)版本。它從各種應(yīng)用、網(wǎng)絡(luò)瀏覽器、電子郵件客戶端、IT 管理工具(如 PuTTY)等獲取憑證。LokiBot 在黑客論壇上出售，據(jù)信其源代碼已泄露，因此出現(xiàn)了許多變體。自 2017 年底以來(lái)，一些 Android 版本的 LokiBot 不僅具有信息竊取功能，而且還有勒索軟件功能。

 

↑AgentTesla– AgentTesla 是一種用作鍵盤記錄器和信息竊取程序的高 級(jí) RAT，能夠監(jiān)控和收集受害者的鍵盤輸入與系統(tǒng)剪貼板、截圖并盜取受害者電腦上安裝的各種軟件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端)的證書(shū)。

 

最常被利用的漏洞

 

上月，“Web Server Exposed Git存儲(chǔ)庫(kù)信息泄露”是最常被利用的漏洞，全球 46% 的機(jī)構(gòu)因此受到影響，其次是“HTTP 標(biāo)頭遠(yuǎn)程執(zhí)行代碼”，影響了全球 42% 的機(jī)構(gòu)。“MVPower DVR 遠(yuǎn)程代碼執(zhí)行”位列第三，全球影響范圍為 39%。

 

Web Server Exposed Git存儲(chǔ)庫(kù)信息泄露 - Git 存儲(chǔ)庫(kù)報(bào)告的一個(gè)信息泄露漏洞。攻擊者一旦成功利用該漏洞，便會(huì)造成帳戶信息的無(wú)意泄露。

 

↑HTTP 標(biāo)頭遠(yuǎn)程代碼執(zhí)行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) - HTTP 標(biāo)頭允許客戶端和服務(wù)器傳遞帶 HTTP 請(qǐng)求的其他信息。遠(yuǎn)程攻擊者可能會(huì)使用存在漏洞的 HTTP 標(biāo)頭在受感染機(jī)器上運(yùn)行任意代碼。

 

↑MVPower DVR遠(yuǎn)程執(zhí)行代碼 - 一種存在于 MVPower DVR 設(shè)備中的遠(yuǎn)程代碼執(zhí)行漏洞。遠(yuǎn)程攻擊者可利用此漏洞，通過(guò)精心設(shè)計(jì)的請(qǐng)求在受感染的路由器中執(zhí)行任意代碼。

 

主要移動(dòng)惡意軟件

 

上月，Anubis仍是最猖獗的移動(dòng)惡意軟件，其次是Hiddad和AhMyth。

 

Anubis– Anubis 是一種專為 Android 手機(jī)設(shè)計(jì)的銀行木馬惡意軟件。自最初檢測(cè)到以來(lái)，它已經(jīng)具有一些額外的功能，包括遠(yuǎn)程訪問(wèn)木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數(shù)百款不同應(yīng)用中均已檢測(cè)到該銀行木馬。

 

Hiddad- Hiddad 是一種 Android 惡意軟件，能夠?qū)戏☉?yīng)用進(jìn)行重新打包，然后將其發(fā)布到第三方商店。其主要功能是顯示廣告，但它也可以訪問(wèn)操作系統(tǒng)內(nèi)置的關(guān)鍵安全細(xì)節(jié)。

 

AhMyth– AhMyth 是一種遠(yuǎn)程訪問(wèn)木馬 (RAT)，于 2017 年被發(fā)現(xiàn)，可通過(guò)應(yīng)用商店和各種網(wǎng)站上的 Android 應(yīng)用進(jìn)行傳播。當(dāng)用戶安裝這些受感染的應(yīng)用后，該惡意軟件便可從設(shè)備收集敏感信息，并執(zhí)行鍵盤記錄、屏幕截圖、發(fā)送短信和激活攝像頭等操作，這些操作通常用于竊取敏感信息。

 

Check Point《全球威脅影響指數(shù)》及其《ThreatCloud 路線圖》基于 Check Point ThreatCloud 情報(bào)數(shù)據(jù)撰寫而成。ThreatCloud 提供的實(shí)時(shí)威脅情報(bào)來(lái)自于部署在全球網(wǎng)絡(luò)、端點(diǎn)和移動(dòng)設(shè)備上的數(shù)億個(gè)傳感器。AI 引擎和 Check Point 軟件技術(shù)公司情報(bào)與研究部門 Check Point Research 的獨(dú) 家研究數(shù)據(jù)進(jìn)一步豐富了這些情報(bào)內(nèi)容。

 

關(guān)于 Check Point Research

 

Check Point Research 能夠?yàn)?Check Point Software 客戶以及整個(gè)情報(bào)界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報(bào)。Check Point 研究團(tuán)隊(duì)負(fù)責(zé)收集和分析 ThreatCloud 存儲(chǔ)的全球網(wǎng)絡(luò)攻擊數(shù)據(jù)，以便在防范黑客的同時(shí)，確保所有 Check Point 產(chǎn)品都享有最 新保護(hù)措施。此外，該團(tuán)隊(duì)由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機(jī)關(guān)及各個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)組展開(kāi)合作。

 

關(guān)于 Check Point 軟件技術(shù)有限公司

 

Check Point 軟件技術(shù)有限公司 是一家面向全球政府和企業(yè)的領(lǐng)先網(wǎng)絡(luò)安全解決方案提供商。Check Point Infinity 解決方案組合對(duì)惡意軟件、勒索軟件及其他威脅的捕獲率處于業(yè)界領(lǐng)先水準(zhǔn)，可有效保護(hù)企業(yè)和公共組織免受第五代網(wǎng)絡(luò)攻擊。Infinity 包含四大核心支柱，可跨企業(yè)環(huán)境提供卓越安全保護(hù)和第五代威脅防護(hù)：Check Point Harmony(面向遠(yuǎn)程用戶);Check Point CloudGuard(自動(dòng)保護(hù)云環(huán)境);Check Point Quantum(有效保護(hù)網(wǎng)絡(luò)邊界和數(shù)據(jù)中心);Check Point Horizon (以預(yù)防為中心的統(tǒng)一安全管理和防御平臺(tái)) — 所有這一切均通過(guò)業(yè)界最全面、直觀的統(tǒng)一安全管理進(jìn)行控制。Check Point 為十萬(wàn)多家各種規(guī)模的企業(yè)提供保護(hù)。