2023年10月,全球領先的網絡安全解決方案提供商 Check Point® 軟件技術有限公司(納斯達克股票代碼:CHKP)發布了其 2023 年 9 月《全球威脅指數》報告。研究人員報告了一起針對哥倫比亞企業的新型隱秘網絡釣魚攻擊活動,該攻擊活動旨在秘密傳播 Remcos 遠程訪問木馬 (RAT)。與此同時,在 Qbot 關閉后,Formbook 成為最猖獗的惡意軟件,教育行業仍是首要攻擊目標。

 

9 月份,Check Point Research 發現了一起針對哥倫比亞多個行業 40 多家知名公司的大規模網絡釣魚攻擊活動,該攻擊活動的目標是在受害者的電腦上秘密安裝 Remcos RAT。Remcos 是 9 月份第二大最猖獗的惡意軟件,它是一種復雜的多功能 RAT,能夠完全控制受感染的電腦,并可用于各種攻擊。Remcos 感染的常見后果包括數據竊取、后續感染和賬戶接管。

 

繼 Qbot 僵尸網絡在八月份被執法機構控制后,上個月 Qbot 徹底跌出了頭號惡意軟件排行榜。這標志著 Qbot 霸榜時代的終結。Qbot 在 2023 年的大部分時間里都占據頭號惡意軟件排行榜榜首。

 

Check Point 軟件技術公司研究副總裁 Maya Horowitz 表示:“在哥倫比亞發現的這起攻擊活動讓我們得以窺見攻擊者所使用的復雜逃避技術。這也很好地說明了這些技術的入侵能力,以及為什么我們需要利用網絡彈性來防范各種類型的攻擊。”

 

CPR 還指出,“Web 服務器惡意 URL 目錄遍歷漏洞”是上月最常被利用的漏洞,全球 47% 的機構因此遭殃,其次是“HTTP 載荷命令行注入”和“Zyxel ZyWALL 命令注入”,分別影響了全球 42% 和 39% 的機構。

 

頭號惡意軟件家族

 

* 箭頭表示與上月相比的排名變化。

 

1.↑ Formbook – Formbook 是一種針對 Windows 操作系統的信息竊取程序,于 2016 年首次被發現。由于其強大的規避技術和相對較低的價格,它在地下黑客論壇中作為惡意軟件即服務 (MaaS) 進行出售。Formbook 可從各種 Web 瀏覽器中獲取憑證、收集截圖、監控和記錄擊鍵次數并按照其 C&C 命令下載和執行文件。

 

2.↑ Remcos- Remcos 是一種遠程訪問木馬 (RAT),于 2016 年首次現身。Remcos 通過垃圾電子郵件隨附的惡意 Microsoft Office 文檔自行傳播,旨在繞過 Microsoft Windows UAC 安全保護并以高級權限執行惡意軟件。

 

3.↑ Emotet– Emotet 是一種能夠自我傳播的高級模塊化木馬。Emotet 曾經被用作銀行木馬,最近又被用作其他惡意軟件或惡意攻擊的傳播程序。它使用多種方法和規避技術來確保持久性和逃避檢測。此外,它還可以通過包含惡意附件或鏈接的網絡釣魚垃圾郵件進行傳播。

 

最常被利用的漏洞

 

上月,“Web 服務器惡意 URL 目錄遍歷漏洞”是最常被利用的漏洞,全球 47%的機構因此遭殃,其次是“HTTP 載荷命令行注入”和“Zyxel ZyWALL 命令注入”,分別影響了全球 42%和 39%的機構。

 

1.↑ Web 服務器惡意 URL 目錄遍歷漏洞(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260)- 不同 Web 服務器上都存在目錄遍歷漏洞。這一漏洞是由于 Web 服務器中的輸入驗證錯誤所致,沒有為目錄遍歷模式正確清理 URI。未經身份驗證的遠程攻擊者可利用漏洞泄露或訪問易受攻擊的服務器上的任意文件。

 

2.HTTP 載荷命令行注入(CVE-2021-43936,CVE-2022-24086)– 現已發現一種 HTTP 載荷命令行注入漏洞。遠程攻擊者可以通過向受害者發送特制的請求來利用此漏洞。攻擊者可通過該漏洞在目標計算機上執行任意代碼。

 

3.↑ Zyxel ZyWALL 命令注入 (CVE-2023-28771) - 這是一種存在于 Zyxel ZyWALL 中的命令注入漏洞。遠程攻擊者可利用該漏洞在受影響系統上執行任意操作系統命令。

 

主要移動惡意軟件

 

上月,Anubis 仍是最猖獗的移動惡意軟件,其次是 AhMyth 和 SpinOk。

 

1.Anubis – Anubis 是一種專為 Android 手機設計的銀行木馬惡意軟件。自最初檢測到以來,它已經具有一些額外的功能,包括遠程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數百款不同應用中均已檢測到該銀行木馬。

 

2.AhMyth – AhMyth 是一種遠程訪問木馬 (RAT),于 2017 年被發現,可通過應用商店和各種網站上的 Android 應用進行傳播。當用戶安裝這些受感染的應用后,該惡意軟件便可從設備收集敏感信息,并執行鍵盤記錄、屏幕截圖、發送短信和激活攝像頭等操作,這些操作通常用于竊取敏感信息。

 

3.SpinOk -SpinOk 是一種用作間諜軟件的 Android 軟件模塊,可收集設備上保存的文件信息,并將其傳輸給攻擊者。截至 2023 年 5 月,該惡意模塊在 100 多款 Android 應用中均有發現,下載量超過 4.21 億次。

 

Check Point《全球威脅影響指數》及其《ThreatCloud 路線圖》基于 Check Point ThreatCloud情報數據撰寫而成。ThreatCloud 提供的實時威脅情報來自于部署在全球網絡、端點和移動設備上的數億個傳感器。AI 引擎和 Check Point 軟件技術公司情報與研究部門 Check Point Research 的獨家研究數據進一步豐富了這些情報內容。

 

如欲查看 9 月份十大惡意軟件家族的完整列表,請訪問 Check Point 博客。

 

關于 Check Point Research

 

Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領先的網絡威脅情報。Check Point 研究團隊負責收集和分析 ThreatCloud 存儲的全球網絡攻擊數據,以便在防范黑客的同時,確保所有 Check Point 產品都享有最新保護措施。此外,該團隊由 100 多名分析師和研究人員組成,能夠與其他安全廠商、執法機關及各個計算機安全應急響應組展開合作。

 

關于 Check Point軟件技術有限公司

 

Check Point 軟件技術有限公司 (www.checkpoint.com.cn) 是一家面向全球政府和企業的領先網絡安全解決方案提供商。Check Point Infinity 解決方案組合對惡意軟件、勒索軟件及其他威脅的捕獲率處于業界領先水準,可有效保護企業和公共組織免受第五代網絡攻擊。Infinity 包含四大核心支柱,可跨企業環境提供卓越安全保護和第五代威脅防護:Check Point Harmony(面向遠程用戶);Check Point CloudGuard(自動保護云環境);Check Point Quantum(有效保護網絡邊界和數據中心);CheckPointHorizon(以預防為中心的統一安全管理和防御平臺)— 所有這一切均通過業界最全面、直觀的統一安全管理進行控制。Check Point 為十萬多家各種規模的企業提供保護。