Check Point Research 指出,Emotet 是目前第七大最猖獗的惡意軟件,此次重返榜單“令人深感擔憂”。Trickbot 再度位列榜首。教育和研究行業仍然是黑客的首要攻擊目標。
2021 年 12 月, 全球領先網絡安全解決方案提供商 Check Point® 軟件技術有限公司(納斯達克股票代碼:CHKP)的威脅情報部門 Check Point Research 發布了其 2021 年 11 月最新版《全球威脅指數》報告。研究人員報告稱,Trickbot 仍然位居最猖獗的惡意軟件排行榜榜首,影響了全球 5% 的企業與機構,而最近卷土重來的 Emotet 則重返指數榜單第七位。CPR 還指出,教育/研究行業是首要攻擊目標。
盡管歐洲刑警組織及諸多執法機構在今年早些時候重拳打擊了 Emotet,但這一臭名昭著的僵尸網絡已被證實于 11 月卷土重來,成為第七大最常被利用的惡意軟件。本月,Trickbot 第六次位居指數榜單之首,甚至還與 Emotet 的新變種狼狽為奸,后者使用 Trickbot 的基礎設施安裝在受感染的機器上。
Emotet 通過網絡釣魚電子郵件進行傳播。郵件隨附受感染的 Word、Excel 和 Zip 文件,可將 Emotet 部署至受害者的主機。這些電子郵件包含具有吸引力的主題行,例如時事新聞、發票及虛假公司備忘錄,以誘騙受害者將其打開。最近,Emotet 還開始通過偽裝成 Adobe 軟件的惡意 Windows 應用安裝程序包進行傳播。
Check Point 軟件技術公司研究副總裁 Maya Horowitz 表示:“Emotet 不僅是網絡歷史上最成功的僵尸網絡之一,而且還是近年來針對性勒索軟件攻擊激增的罪魁禍首。該僵尸網絡于 11 月卷土重來,令人深感擔憂,因為它可能會導致此類攻擊進一步增加。Emotet 使用 Trickbot 的基礎設施,這意味著此方法正縮短 Emotet 在全球網絡中建立重要立足點所需的時間。由于它通過隨附惡意附件的網絡釣魚電子郵件進行傳播,因此在網絡安全方面,各組織的首要任務是實施用戶意識培訓和安全教育,這一點至關重要。任何想要下載 Adobe 軟件的用戶均應謹記,與任何應用一樣,僅可通過官方途徑下載。”
CPR 還指出,本月教育與研究行業是全球首要攻擊目標,其次是通信行業和政府部門。“Web 服務器惡意 URL 目錄遍歷漏洞”仍然是最常被利用的漏洞,全球 44% 的組織因此遭殃,其次是“Web Server Exposed Git 存儲庫信息泄露”,影響了全球 43.7% 的組織與機構。“HTTP 標頭遠程代碼執行”在最常被利用的漏洞排行榜中仍位列第三,全球影響范圍為 42%。
頭號惡意軟件家族
* 箭頭表示與上月相比的排名變化。
本月,Trickbot 是最猖獗的惡意軟件,全球 5% 的企業與機構受到波及,其次是 Agent Tesla 和 Formbook,兩者均影響了全球 4% 的組織機構。
↔ Trickbot - Trickbot 是一種模塊化僵尸網絡和銀行木馬,不斷添加新的功能、特性和傳播向量。這讓它成為一種靈活的可自定義的惡意軟件,廣泛用于多目的攻擊活動。
↑ Agent Tesla - Agent Tesla 是一種用作鍵盤記錄器和信息竊取程序的高級 RAT,能夠監控和收集受害者的鍵盤輸入與系統剪貼板、截圖并盜取受害者電腦上安裝的各種軟件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook)的證書。
↑ Formbook - Formbook 是一種信息竊取程序,可從各種 Web 瀏覽器中獲取憑證、收集截圖、監控和記錄擊鍵次數,并按照其 C&C 命令下載和執行文件。
全球首當其沖的行業:
本月,教育與研究行業是全球首要攻擊目標,其次是通信行業和政府、軍事部門。
教育/研究
通信
政府/軍事
最常被利用的漏洞
本月,“Web 服務器惡意 URL 目錄遍歷漏洞”仍然是最常被利用的漏洞,全球 44% 的企業機構因此遭殃,其次是“Web Server Exposed Git 存儲庫信息泄露”,影響了全球 43.7% 的組織與機構。“HTTP 標頭遠程代碼執行”在最常被利用的漏洞排行榜中仍位列第三,全球影響范圍為 42%。
↔ Web 服務器惡意 URL 目錄遍歷漏洞(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260)- 不同 Web 服務器上都存在目錄遍歷漏洞。這一漏洞是由于 Web 服務器中的輸入驗證錯誤所致,沒有為目錄遍歷模式正確清理 URL。未經身份驗證的遠程攻擊者可利用漏洞泄露或訪問易受攻擊的服務器上的任意文件。
↔ Web Server Exposed Git 存儲庫信息泄露 - Git 存儲庫報告的一個信息泄露漏洞。 攻擊者一旦成功利用該漏洞,便會使用戶在無意間造成帳戶信息泄露。
↔ HTTP 標頭遠程代碼執行 (CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) - HTTP 標頭允許客戶端和服務器傳遞帶 HTTP 請求的其他信息。遠程攻擊者可能會使用存在漏洞的 HTTP 標頭在受感染機器上運行任意代碼。
主要移動惡意軟件
本月,AlienBot 位列最猖獗的移動惡意軟件榜首,其次是 xHelper 和 FluBot。
AlienBot - AlienBot 惡意軟件家族是一種針對 Android 設備的惡意軟件即服務 (MaaS),它允許遠程攻擊者首先將惡意代碼注入合法的金融應用中。攻擊者能夠獲得對受害者帳戶的訪問權限,并最終完全控制其設備。
xHelper - 自 2019 年 3 月以來開始肆虐的惡意應用,用于下載其他惡意應用并顯示惡意廣告。該應用能夠對用戶隱身,甚至可以在卸載后進行自我重新安裝。
FluBot - FluBot 是一種通過網絡釣魚短消息傳播的 Android 僵尸網絡,通常冒充物流配送品牌。一旦用戶點擊消息中的鏈接,FluBot 就會快速安裝并訪問手機上的所有敏感信息。
Check Point《全球威脅影響指數》及其《ThreatCloud 路線圖》基于 Check Point ThreatCloud 情報數據撰寫而成。ThreatCloud 提供的實時威脅情報來自于部署在全球網絡、端點和移動設備上的數億個傳感器。AI 引擎和 Check Point 軟件技術公司情報與研究部門 Check Point Research 的獨家研究數據進一步豐富了情報內容。
如欲查看 11 月份十大惡意軟件家族的完整列表,請訪問 Check Point 博客。
關于 Check Point Research
Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領先的網絡威脅情報。Check Point 研究團隊負責收集和分析 ThreatCloud 存儲的全球網絡攻擊數據,以便在防范黑客的同時,確保所有 Check Point 產品都享有最新保護措施。此外,該團隊由 100 多名分析師和研究人員組成,能夠與其他安全廠商、執法機關及各個計算機安全應急響應組展開合作。
關于 Check Point 軟件技術有限公司
Check Point 軟件技術有限公司 (www.checkpoint.com) 是一家面向全球政府和企業的領先網絡安全解決方案提供商。Check Point Infinity 解決方案組合對惡意軟件、勒索軟件及其他威脅的捕獲率處于業界領先水準,可有效保護企業和公共組織免受第五代網絡攻擊。Infinity 包含三大核心支柱,可跨企業環境提供卓越安全保護和第五代威脅防護:Check Point Harmony(面向遠程用戶);Check Point CloudGuard(自動保護云環境);Check Point Quantum(有效保護網絡邊界和數據中心)— 所有這一切均通過業界最全面、直觀的統一安全管理進行控制。Check Point 為十萬多家各種規模的企業提供保護。