2022 年 4 月, 全球领先网络安全解决方案提供商Check Point® 软件技术有限公司(纳斯达克股票代码:CHKP)的威胁情报部门 Check Point Research (CPR)发布了其 2022 年 3 月最新版《全球威胁指数》报告。研究人员报告称,Emotet 仍是第一大恶意软件,影响了全球 10% 的机构(比 2 月份翻一番)。
Emotet 是一种能够自我传播的高级模块化木马,使用多种方法和规避技术来确保持久性和逃避检测。自去年 11 月卷土重来,Emotet 持续占据了最猖獗恶意软件的榜首地位。本月这种情况更为显著,因为许多电子邮件攻击活动一直在传播僵尸网络,包括利用节日气氛的各种复活节主题网络钓鱼诈骗。这些电子邮件被发送给全球各地的受害者,以使用主题“buona pasqua,复活节快乐”的电子邮件为例,它随附了一份恶意 XLS 文件来散布 Emotet。
本月,用作键盘记录器和信息窃取程序的高级 RAT - Agent Tesla 是第二大最猖獗的恶意软件,在上个月的指数榜单中位列第四。Agent Tesla 的攀升是因为多起全新恶意垃圾邮件攻击活动在全球范围内通过恶意 xlsx/pdf 文件散布 RAT 。
Check Point 软件技术公司研发副总裁 Maya Horowitz 表示:“近年来,随着防御技术的进步,网络犯罪分子愈发依靠使用者的信任才能侵入公司网络。通过为网络钓鱼电子邮件设置复活节等季节性假日主题,他们能够利用节日气氛诱骗受害者下载含有 Emotet 等恶意软件的恶意附件。在复活节周末前夕,预计将出现更多此类诈骗,因此我们建议用户密切关注,即使电子邮件看似来自可靠来源。同时需要注意的是,所有公共假日都可能成为网络犯罪分子利用的‘信任漏洞’。本月,我们还观察到 Apache Log4j 再次成为最常被利用的漏洞之一。即使这一漏洞在去年年底引发广泛关注,但它的威胁仍将持续。各机构需要立即采取行动,防止攻击发生。”
头号恶意软件家族
* 箭头表示与上月相比的排名变化。
本月,Emotet 仍是第一大恶意软件,全球 10% 的企业与机构受到波及,其次是 Agent Tesla 和 XMRig,两者均影响了 2% 的机构。
- ↔ Emotet - Emotet 是一种能够自我传播的高级模块化木马。Emotet 曾经被用作银行木马,最近又被用作其他恶意软件或恶意攻击的传播程序。它使用多种方法和规避技术来确保持久性和逃避检测。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。
- ↑ Agent Tesla – Agent Tesla 是一种用作键盘记录器和信息窃取程序的高级 RAT,能够监控和收集受害者的键盘输入与系统剪贴板、截图并盗取受害者电脑上安装的各种软件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)的证书。
- ↑ XMRig - XMRig 是一种开源 CPU 挖矿软件,用于门罗币加密货币的挖掘,2017 年 5 月首次现身。
最常被利用的漏洞
本月,“Apache Log4j 远程代码执行”是最常被利用的漏洞,全球 33% 的机构因此遭殃,其次是“Web Server Exposed Git 存储库信息泄露”(从第一位跌至第二位),影响了全球 26% 的机构。“HTTP 标头远程代码执行”在最常被利用的漏洞排行榜中仍位列第三,全球影响范围为 26%。
- ↑ Apache Log4j 远程代码执行 (CVE-2021-44228) - 一种存在于 Apache Log4j 中的远程代码执行漏洞。远程攻击者可利用这一漏洞在受影响系统上执行任意代码。
- ↓ Web Server Exposed Git 存储库信息泄露 - Git 存储库报告的一个信息泄露漏洞。攻击者一旦成功利用该漏洞,便会使用户在无意间造成帐户信息泄露。
- ↔ HTTP 标头远程代码执行 (CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) - HTTP 标头允许客户端和服务器传递带 HTTP 请求的其他信息。远程攻击者可能会使用存在漏洞的 HTTP 标头在受感染机器上运行任意代码。
主要移动恶意软件
AlienBot 是本月最猖獗的移动恶意软件,其次是 xHelper 和 FluBot。
- AlienBot - AlienBot 恶意软件家族是一种针对 Android 设备的恶意软件即服务 (MaaS),它允许远程攻击者首先将恶意代码注入合法的金融应用中。攻击者能够获得对受害者帐户的访问权限,并最终完全控制其设备。
- xHelper - 自 2019 年 3 月以来开始肆虐的恶意应用,用于下载其他恶意应用并显示恶意广告。该应用能够对用户隐身,并在卸载后进行自我重新安装。
- FluBot - FluBot 是一种通过网络钓鱼短消息(短信诈骗)传播的 Android 恶意软件,通常冒充物流配送品牌。在用户点击消息中的链接后,他们就会被重定向到包含 FluBot 的虚假应用的下载。安装后,该恶意软件的多种功能可收集凭证并支持实施短信诈骗操作,包括上传联系人列表以及向其他电话号码发送短消息。
Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成。ThreatCloud 提供的实时威胁情报来自于部署在全球网络、端点和移动设备上的数亿个传感器。AI 引擎和 Check Point 软件技术公司情报与研究部门 Check Point Research 的独家研究数据进一步丰富了情报内容。
关于 Check Point Research
Check Point Research 能够为 Check Point Software 客户以及整个情报界提供领先的网络威胁情报。Check Point 研究团队负责收集和分析 ThreatCloud 存储的全球网络攻击数据,以便在防范黑客的同时,确保所有 Check Point 产品都享有最新保护措施。此外,该团队由 100 多名分析师和研究人员组成,能够与其他安全厂商、执法机关及各个计算机安全应急响应组展开合作。