俄乌战争进行时,战场硝烟弥漫,互联网明争暗斗,安理会否决,欧美呼吁制裁,实质内容并不强大,匿名黑客组织向俄罗斯发起网络挑战。与此同时,Conti勒索软件组织、RedBanditsRU网络犯罪组织和鲜为人知的CoomingProject勒索软件计划已承诺在发生针对俄罗斯的网络攻击和行动时帮助俄罗斯政府。在世界关注俄乌战争之际,美国在台湾海峡大展拳脚,朝鲜恢复导弹试验,在1月份进行了创纪录的导弹试验后,于周日发射了疑似远程弹道火箭。注意力集中在乌克兰,西方媒体认为乌克兰加剧了紧张局势。根据CheckPoint最新发布的2022年1月全球威胁指数,Emotet在长期位居榜首之后再次将Trickbot推下至榜首,攀升至榜首,影响了全球监控样本中6%的组织。事实证明,Log4j仍然是一个大问题,影响了全球监控样本中47.4%的组织,受攻击最多的行业仍然是教育、科研。臭名昭著的僵尸网络最常通过包含恶意附件或链接的网络钓鱼电子邮件传播。Trickbot的流行只是起到了催化剂的作用,进一步加速了恶意软件的传播。与此同时,Dridex完全跌出前10名,取而代之的是Lokibot,这是一种信息窃取程序,用于收集电子邮件凭据、加密货币钱包密码和FTP服务器等数据。本月,Dridex从我们的前十名中消失,而Lokibot重新出现。Lokibot在受害者最忙的时候利用他们,通过伪装良好的网络钓鱼电子邮件分发他们。这些威胁,以及针对Log4j漏洞的持续斗争,强调了跨网络、云、移动和用户端点的最佳安全性的重要性。我们的ApacheLog4j远程代码执行仍然是本月最常被利用的漏洞,影响了我们全球监控样本中47.4%的组织,其次是Web服务器暴露的Git存储库信息泄漏,影响了我们全球监控样本中45%的组织HTTPHeadersRemote代码执行在最常被利用的漏洞列表中排名第三,影响了全球42%的监控样本。2022年1月“十恶不赦”*箭头表示与上个月相比的排名变化。Emotet是本月最流行的恶意软件,影响了全球6%的组织,其次是4%的Trickbot和3%的Formbook。1.↑Emotet–Emotet是一种先进的、自我传播的模块化木马。Emotet过去曾被用作银行木马,最近被用作其他恶意软件或恶意活动的分发者。它使用多种方法来保持持久性和规避技术以避免被发现。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。2.↓Trickbot–Trickbot是一种模块化的僵尸网络和银行木马,不断更新新功能、特性和分布向量。这使得Trickbot成为一种灵活且可定制的恶意软件,可以作为多用途活动的一部分进行分发。3.↓Formbook–Formbook是一种信息窃取器,可从各种Web浏览器获取凭据、收集屏幕截图、监控和记录击键,并可根据其C&C命令下载和执行文件。4.?AgentTesla–AgentTesla是一种高级RAT,可用作键盘记录器和信息窃取器。它能够监控和收集受害者的击键、系统键盘、截取屏幕截图并将凭证泄露给安装在受害者机器上的各种软件(包括GoogleChrome、MozillaFirefox和MicrosoftOutlook电子邮件客户端)。5.↑XMRig–XMRig是一种开源CPU挖矿软件,用于Monero加密货币的挖矿过程,于2017年5月首次出现在野外。6.↓Glupteba–Glupteba是一个后门,逐渐发展成为僵尸网络。截至2019年,它包括一个通过公共比特币列表的C&C地址更新机制、一个完整的浏览器窃取程序和一个路由器漏洞。7.↓Remcos–Remcos是一种RAT,于2016年首次出现。Remcos通过附加在垃圾邮件中的恶意MicrosoftOffice文档传播,旨在绕过MicrosoftWindowsUAC安全并以提升的权限执行恶意软件。8.?Ramnit-Ramnit是一种银行木马,可以窃取银行凭证、FTP密码、会话cookie和个人数据。9.↑Phorpiex–Phorpiex是一个僵尸网络(又名Trik),自2010年以来一直存在,在其高峰期控制了超过一百万台受感染的主机。它以通过垃圾邮件活动分发其他恶意软件系列以及促进大规模垃圾邮件和性勒索活动而闻名。10.↑Lokibot–Lokibot是一个信息窃取程序,主要通过网络钓鱼电子邮件进行分发,以窃取各种数据,例如电子邮件凭据以及CryptoCoin钱包和FTP服务器的密码。1月Top10漏洞ApacheLog4j远程代码执行仍然是本月最常被利用的漏洞,影响了全球监控样本中47.4%的组织,其次是Web服务器暴露的Git仓库信息泄露,影响了全球45%的监控样本抽样组织。HTTPHeadersRemoteCodeExecution在最常被利用的漏洞列表中排名第三,影响了全球42%的监控样本。1.?ApacheLog4j远程代码执行(CVE-2021-44228)–ApacheLog4j中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。2.?Web服务器暴露的Git存储库信息泄露–Git存储库中报告了一个信息泄露漏洞。成功利用此漏洞可能会无意中泄露帐户信息。3.?HTTP标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756)-HTTP标头允许客户端和服务器通过HTTP请求传递附加信息。远程攻击者可以使用易受攻击的HTTP标头在受害计算机上运行任意代码。4.?Web服务器恶意URL目录遍历(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260)–各种网络服务器存在目录遍历漏洞。该漏洞是由于Web服务器中的输入验证错误导致的,该错误未针对目录遍历模式正确清理URI。成功的利用可能允许未经身份验证的远程攻击者泄露或访问易受攻击的服务器上的任意文件。5.↑通过HTTP的命令注入(CVE-2013-6719、CVE-2013-6720)——报告了通过HTTP漏洞的命令注入。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功的利用将允许攻击者在目标机器上执行任意代码。6.↑D-LINK多产品远程代码执行(CVE-2015-2051)-多个D-Link产品中报告了远程代码执行漏洞。成功利用可能导致在易受攻击的设备上执行任意代码。7.↓MVPowerDVR远程代码执行——MVPowerDVR设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码。8.↓DasanGPON路由器身份验证绕过(CVE-2018-10561)–DasanGPON路由器中存在身份验证绕过漏洞。成功利用此漏洞可能允许远程攻击者获取敏感信息并未经授权访问受影响的系统。9.↑PHP复活节彩蛋泄露-PHP页面中报告了一个泄露漏洞。该漏洞是由于不正确的Web服务器配置造成的。远程攻击者可以通过向受影响的PHP页面发送特制URL来利用此漏洞。10.↓ApacheHTTPServer目录遍历(CVE-2021-41773、CVE-2021-42013)——ApacheHTTPServer存在一个目录遍历漏洞。成功利用此漏洞可能允许攻击者访问受影响系统上的任意文件。热门移动恶意软件本月xHelper位居最流行的移动恶意软件榜首,其次是AlienBot和FluBot。1.xHelper——自2019年3月以来未在野外发现的恶意应用程序,用于下载其他恶意应用程序并显示广告。该应用程序能够对用户隐藏自身并在卸载时重新安装自身。2.AlienBot——AlienBot恶意软件家族是针对Android设备的恶意软件即服务(MaaS),允许远程攻击者首先将恶意代码注入合法的金融应用程序。攻击者可以访问受害者的帐户并最终完全控制他们的设备。3.FluBot——FluBot是一种安卓僵尸网络恶意软件,通过钓鱼短信进行传播,通常冒充物流配送品牌。一旦用户点击消息中的链接,FluBot就会安装并访问手机上的所有敏感信息。
