2022 年 9 月 ,全球领先的网络安全解决方案提供商 Check Point® 软件技术有限公司(纳斯达克股票代码:CHKP)的威胁情报部门 Check Point Research (CPR) 发布了其 2022 年 8 月最新版《全球威胁指数》报告。CPR 报告称,FormBook 取代了 Emotet,成为目前是最猖獗的恶意软件。
FormBook 是针对 Windows 操作系统的信息窃取程序,一旦部署,便可获取凭证、收集截图、监控和记录击键次数,并按照其指令和控制 (C&C) 命令下载和执行文件。自 2016 年首次被发现以来,它一直在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行出售,因其强大的规避技术和相对较低的价格而广为人知。
8 月,GuLoader 攻击活动也急速增加,使其第四大传播广泛的恶意软件。Guloader 最初用于下载 Parallax RAT,但此后被用于其他远程访问木马和信息窃取程序,例如 Netwire、Formbook 及 Agent Tesla。它通常通过广泛的电子邮件网络钓鱼攻击活动进行传播,诱骗受害者下载并打开恶意文件,企图趁虚而入。
此外,Check Point Research 还报告称,Android 间谍软件 Joker 卷土重来,并在本月主要移动恶意软件排行榜中位列第三。在安装后,Joker 可以窃取短消息、联系人列表及设备信息,并在未经受害者同意的情况下为他们注册付费服务。它的兴起在一定程度上与攻击活动的增长有关,因为最近发现它在一些 Google Play 商店应用中非常活跃。
Check Point 软件技术公司研究副总裁 Maya Horowitz 表示:“本月的指数排行榜发生了一些变化,包括 Emotet 从第一位跌至第五位以及 Joker 成为第三大常见的移动恶意软件,这反映了威胁形势的变化速度之快。因此应提醒个人和公司认识到及时了解最新威胁信息的重要性,因为知道如何保护自身安全至关重要。攻击者在不断演变,FormBook 的出现表明,我们切不可对安全防护懈怠,必须跨网络、端点及云端采用防范为先的整体方法。”
本月,CPR 还指出,教育/研究行业仍然是全球网络犯罪分子的首要攻击目标。政府/军事部门和医疗行业是第二大和第三大攻击目标。“Apache Log4j 远程代码执行”重回榜首,成为最常被利用的漏洞,全球 44% 的用户因此遭殃,其次是“Web Server Exposed Git 存储库信息泄露”,影响了全球 42% 的组织与机构。
头号恶意软件家族
* 箭头表示与上月相比的排名变化。
本月,FormBook 是传播最广泛的恶意软件,全球 5% 的企业受到波及,其次是 AgentTesla 和 XMRig,分别影响了全球 4% 和 2% 的组织与机构。
↑ FormBook – FormBook 是针对 Windows 操作系统的信息窃取程序,于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格,它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行出售。Formbook 可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数,并按照其 C&C 命令下载和执行文件。
↑ AgentTesla – AgentTesla 是一种用作键盘记录器和信息窃取程序的高级 RAT,能够监控和收集受害者的键盘输入与系统剪贴板、截图并盗取受害者电脑上安装的各种软件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)的证书。
↓ XMRig - XMRig 是一种用于挖掘门罗币加密货币的开源 CPU 软件。攻击者经常滥用此开源软件,并将其集成到恶意软件中,从而在受害者的设备上进行非法挖矿。
最常被利用的漏洞
本月,“Apache Log4j 远程代码执行”是最常被利用的漏洞,全球 44% 的机构因此遭殃,其次是“Web Server Exposed Git 存储库信息泄露”(从第一位跌至第二位),影响了全球 42% 的机构。“Web 服务器恶意 URL 目录遍历漏洞”仍位居第三,全球影响范围为 39%。
↑ Apache Log4j 远程代码执行 (CVE-2021-44228) - 一种存在于 Apache Log4j 中的远程代码执行漏洞。远程攻击者可利用这一漏洞在受影响系统上执行任意代码。
↓ Web Server Exposed Git 存储库信息泄露 - Git 存储库报告的一个信息泄露漏洞。 攻击者一旦成功利用该漏洞,便会使用户在无意间造成帐户信息泄露。
↔ Web 服务器恶意 URL 目录遍历漏洞(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260)- 不同 Web 服务器上都存在目录遍历漏洞。这一漏洞是由于 Web 服务器中的输入验证错误所致,没有为目录遍历模式正确清理 URL。未经身份验证的远程攻击者可利用漏洞泄露或访问易受攻击的服务器上的任意文件。
主要移动恶意软件
AlienBot 是本月最猖獗的移动恶意软件,其次是 Anubis 和 Joker。
AlienBot – AlienBot 是一种针对 Android 的银行木马,作为恶意软件即服务 (MaaS) 在地下出售。它支持键盘记录、动态覆盖(以窃取凭证)及短消息获取(可绕开 2FA),并可以利用 TeamViewer 模块提供其他远程控制功能。
Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。 自最初检测到以来,它已经具有一些额外的功能,包括远程访问木马 (RAT) 功能、键盘记录器和录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。
Joker – 一种存在于 Google Play 中的 Android 间谍软件,可窃取短消息、联系人列表及设备信息。此外,该恶意软件还能够在未经受害者同意或不知情的情况下为他们注册付费服务。
Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成。ThreatCloud 提供的实时威胁情报来自于部署在全球网络、端点和移动设备上的数亿个传感器。AI 引擎和 Check Point 软件技术公司情报与研究部门 Check Point Research 的独家研究数据进一步丰富了情报内容。