2023年1月,网络安全解决方案提供商CheckPoint?SoftwareTechnologies,LLC(纳斯达克股票代码:CHKP)发布了2022年12月的最新《全球威胁指数》报告。上个月,基于区块链的木马僵尸网络Glupteba卷土重来,自2022年7月以来首次重返前十排名,升至第八位。Qbot是一种复杂的特洛伊木马程序,可窃取银行凭据和键盘记录程序,它在上个月重新出现后取代Emotet成为最流行的恶意软件,影响了全球7%的机构。与此同时,Android恶意软件Hiddad卷土重来,教育行业仍是全球受影响最大的行业。虽然谷歌在2021年12月设法对Glupteba僵尸网络活动造成重大破坏,但该僵尸网络最近已从余烬中苏醒。作为模块化恶意软件变体,Glupteba能够在受感染的计算机上执行各种恶意目的。该僵尸网络通常用作其他恶意软件的下载器和投放器。这意味着Glupteba感染可能导致勒索软件感染、数据泄露或其他安全事件。Glupteba还可以从受感染的机器上窃取用户凭据和会话cookie。此身份验证数据可用于访问用户的在线帐户或其他系统,从而允许攻击者窃取敏感数据或对这些受感染的帐户采取其他操作。最后,该恶意软件被广泛用于在其目标上部署加密货币挖掘功能,隐蔽的挖掘活动会耗尽计算机资源。去年12月,Hiddad进入了2022年移动恶意软件排名前三。Hiddad是一种主要针对Android设备的广告分发恶意软件。它能够重新打包合法应用程序并将其分发到第三方商店。它的主要功能是显示广告,但它也可以访问操作系统内置的关键安全细节。CheckPointSoftwareTechnologies研究副总裁MayaHorowitz表示:“我们的最新研究表明,恶意软件经常伪装成合法软件,使黑客能够在不引起怀疑的情况下获得对设备的后门访问权限。使用它们时要小心,无论它们多么真实他们可能会出现。”CPR还指出,“Web服务器暴露的Git存储库信息泄露”是最常被利用的漏洞,影响了全球46%的组织,其次是“Web服务器恶意URL目录遍历漏洞”,影响了全球44%的组织。“HTTP负载的命令行注入”是第三大最常被利用的漏洞,全球影响为43%。排名靠前的恶意软件家族*箭头表示与上个月相比的排名变化。Qbot是上个月最流行的恶意软件,影响了全球7%的组织,其次是Emotet和XMRig,分别影响了全球4%和3%的组织。↑Qbot-Qbot(又名Qakbot)是一种银行木马,于2008年首次出现,用于窃取用户的银行凭证和击键。Qbot通常通过垃圾邮件传播,采用多种反虚拟机、反调试和反沙盒技术来阻碍分析和逃避检测。?Emotet–Emotet是一种能够自我传播的高级模块化木马。Emotet过去曾被用作银行木马,最近被用作其他恶意软件或恶意攻击的传播者。它使用多种方法和逃避技术来确保持久性和逃避检测。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。↑XMRig-XMRig是一款用于挖掘Monero加密货币的开源CPU挖掘软件。攻击者经常滥用此开源软件,将其集成到恶意软件中以在受害者的设备上进行非法挖矿。最常被利用的漏洞12月,“Web服务器暴露Git存储库信息泄露”是最常被利用的漏洞,影响了全球46%的组织,其次是“Web服务器恶意URL目录遍历漏洞”,影响了全球44%的机构。“HTTP负载的命令行注入”是第三大最常被利用的漏洞,全球影响为43%。↑WebServerExposedGitRepositoryInformationDisclosure-Git存储库报告的信息泄露漏洞。一旦攻击者成功利用该漏洞,将导致账户信息无意泄露。↓Web服务器恶意URL目录遍历漏洞(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260)-目录遍历漏洞存在于各种Web服务器上。该漏洞是由于Web服务器中的输入验证错误导致的,该错误未针对目录遍历模式正确清理URI。未经身份验证的远程攻击者可以利用此漏洞泄露或访问易受攻击的服务器上的任意文件。↑HTTP有效载荷命令注入(CVE-2021-43936、CVE-2022-24086)——已发现一个HTTP有效载荷命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此漏洞。攻击者可以利用此漏洞在目标计算机上执行任意代码。顶级移动恶意软件上个月,Anubis仍然是最流行的移动恶意软件,其次是Hiddad和AlienBot。Anubis–Anubis是一种专为Android手机设计的银行木马恶意软件。自最初发现以来,它已经添加了一些额外的功能,包括远程访问特洛伊木马(RAT)功能、键盘记录器和记录功能以及各种勒索软件功能。已在GooglePlay商店提供的数百种不同应用程序中检测到银行木马。Hiddad-Hiddad是一种Android恶意软件,可重新打包合法应用程序并将其分发到第三方商店。它的主要功能是显示广告,但它也可以访问操作系统内置的关键安全细节。AlienBot–AlienBot是一种适用于Android的银行木马,作为恶意软件即服务(MaaS)在地下销售。它支持键盘记录、动态覆盖(窃取凭据)和短信捕获(绕过2FA),并可以利用TeamViewer模块提供其他远程控制功能。CheckPoint《全球威胁影响指数》及其《ThreatCloud 路线图》是基于CheckPointThreatCloud情报数据编写的。ThreatCloud提供来自全球网络、端点和移动设备上部署的数亿个传感器的实时威胁情报。CheckPointResearch是CheckPointSoftwareTechnologies的情报和研究机构,AI引擎和独家研究数据进一步丰富了这些情报内容。
