跟踪,CheckPoint发布的10 月全球威胁指数报告,键盘记录程序 AgentTesla 已成为最广泛传播的恶意软件,影响全球抽样 7% 的组织。来自信息窃取者 Lokibot 的攻击数量显着增加,五个月来首次达到第三位。此外,还披露了一个影响 Apache Commons Text 库的新漏洞 Text4Shell。
Lokibot 是一种商品信息窃取器,旨在从各种应用程序中获取凭据,包括:Web 浏览器、电子邮件客户端和 IT 管理工具。作为特洛伊木马,它的目标是通过伪装成合法程序潜入系统,不被发现。可以通过网络钓鱼电子邮件、恶意网站、SMS 和其他消息传递平台进行分发。这种受欢迎程度的上升可以通过以在线查询、订单和付款确认消息为主题的垃圾邮件活动的增加来解释。
10 月还发现了一个新的严重漏洞 Text4Shell (CVE-2022-42889)。基于 Apache Commons Text 的功能,这允许通过网络进行攻击,而无需任何特定权限或用户交互。Text4shell 让人想起 Log4Shell 漏洞,该漏洞仍然存在一年,是主要威胁之一,在 10 月列表中排名第二。尽管 Text4Shell 没有列入本月利用的主要漏洞列表,但它已经影响了全球超过 8% 的组织,Check Point 将继续监控其影响。
本月的排名发生了很大变化,一组新的恶意软件家族构成了三巨头。有趣的是,Lokibot 如此迅速地爬回了第三位,这表明网络钓鱼攻击的趋势越来越明显。随着时间进入11月,这是一个繁忙的购买期,重要的是人们要保持警惕并留意可能携带恶意代码的可疑电子邮件。注意诸如不熟悉的发件人、要求提供个人信息和链接等迹象。如有疑问,请直接访问网站并从经过验证的来源中找到适当的联系信息,并确保安装了恶意软件防护。
根据CheckPoint的研究还显示,“Web Server Exposed Git Repository Information Disclosure”是最常被利用的漏洞,影响了全球 43% 的组织,紧随其后的是“Apache Log4j 远程代码执行”,影响率为 41%。10 月,教育/研究仍然是全球受攻击最多的行业。
2022年10月“十恶不赦”
*箭头表示与上个月相比排名的变化。
AgentTesla是本月影响最广泛的恶意软件,影响了全球 7% 的组织,其次是SnakeKeylogger ,影响了 5%,Lokibot影响了 4%。
↑ AgentTesla – AgentTesla 是一种高级 RAT,可用作键盘记录器和信息窃取器。它能够监控和收集受害者的键盘输入、系统键盘、截取屏幕截图并将凭据泄露给安装在受害者机器上的各种软件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook)。
↑ SnakeKeylogger – SnakeKeylogger 是一个模块化的 .NET 键盘记录器和凭据窃取程序,于 2020 年 11 月首次被发现。其主要功能是记录用户的击键并将收集的数据传输给威胁参与者。它对用户的在线安全构成重大威胁,因为这种恶意软件可以窃取各种敏感信息,并且特别具有规避性。
↑Lokibot – Lokibot 是一种信息窃取程序,主要通过网络钓鱼电子邮件分发,用于窃取各种数据,例如电子邮件凭据,以及 Crypto Coin 钱包和 FTP 服务器的密码。
↑Icedid – IcedID 是一种银行木马,于 2017 年 9 月首次出现。它通过垃圾邮件活动传播,并经常使用 Emotet 等其他恶意软件来帮助其扩散。IcedID 使用诸如进程注入和隐写术之类的规避技术。它通过重定向攻击(通过安装本地代理将用户重定向到假克隆站点)和网络注入攻击来窃取用户财务数据。
↓ XMRig – XMRig 是用于挖掘 Monero 加密货币的开源 CPU 挖掘软件。威胁者经常滥用这种开源软件,将其集成到他们的恶意软件中,在受害者的设备上进行非法挖掘。
↓ Emotet- Emotet 是一种先进的、自我传播的模块化木马。Emotet 曾经用作银行木马,现在也用作其他恶意软件或恶意活动的分发者。它使用多种规避技术来避免检测。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。
↓ Formbook – Formbook 是针对 Windows 操作系统的信息窃取程序,于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格,它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行销售。Formbook 从各种 Web 浏览器收集凭据,收集屏幕截图,监控和记录击键,并可以根据其 C&C 的命令下载和执行文件。
↓ Ramnit – Ramnit 是 2010 年首次发现的模块化银行木马。Ramnit 窃取 Web 会话信息,使其运营商能够窃取受害者使用的所有服务的帐户凭据,包括银行应用程序以及公司和社交网络帐户。该木马使用硬编码域以及由 DGA(域生成算法)生成的域来联系 C&C 服务器并下载其他模块。
↓ Vidar- Vidar 是一个针对 Windows 操作系统的信息窃取程序。它于 2018 年底首次被发现,旨在从各种网络浏览器和数字钱包中窃取密码、信用卡数据和其他敏感信息。Vidar 在各种在线论坛上出售,并用作恶意软件投放器来下载 GandCrab 勒索软件作为其辅助有效负载。
↔ Remcos – Remcos 是一种 RAT,于 2016 年首次出现。Remcos 通过附加到垃圾邮件的恶意 Microsoft Office 文档进行传播,旨在绕过 Microsoft Windows UAC 安全性并以高级权限执行恶意软件。
全球受攻击最多的行业
本月,教育/研究部门仍然是全球受攻击最多的行业,其次是政府/军事和医疗保健。
- 教育/研究
- 政府/军队
- 卫生保健
最常被利用的漏洞
“Web 服务器暴露 Git 存储库信息泄露”仍然是 10 月份最常被利用的漏洞,影响了全球 43% 的组织。紧随其后的是“Apache Log4j 远程代码执行”以 41% 的影响位居第二,“HTTP 标头远程代码执行”以 39% 的全球影响位居第三。
↔ Web 服务器暴露的 Git 存储库信息泄露 – Git 存储库中报告了一个信息泄露漏洞。成功利用此漏洞可能会导致无意泄露帐户信息。
↔ Apache Log4j 远程代码执行 (CVE-2021-44228) – Apache Log4j 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
↑ HTTP 标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) ——HTTP 标头允许客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能使用易受攻击的 HTTP 标头在受害者机器上运行任意代码。
↑ Web 服务器恶意 URL 目录遍历 (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) –那里在不同的 Web 服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误未正确清理目录遍历模式的 URL。成功利用允许未经身份验证的远程攻击者泄露或访问任意文件。
↓ 通过 HTTP 进行命令注入 (CVE-2021-43936,CVE-2022-24086) –报告了通过 HTTP 的命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功的利用将允许攻击者在目标机器上执行任意代码。
↔ MVPower DVR 远程代码执行– MVPower DVR 设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码
↔ PHP Easter Egg Information Disclosure – PHP 页面中报告了一个信息泄露漏洞。该漏洞是由于 Web 服务器配置不正确造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。
↑ WordPress 便携式 phpMyAdmin 插件身份验证绕过 (CVE-2012-5469) - WordPress 便携式 phpMyAdmin 插件中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并未经授权访问受影响的系统。
↔ Dasan GPON 路由器身份验证绕过 (CVE-2018-10561)- Dasan GPON 路由器中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并未经授权访问受影响的系统。
↓ PHPUnit 命令注入 (CVE-2017-9841) – PHPUnit 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意命令。
顶级移动恶意软件
本月,Anubis继续成为最流行的移动恶意软件,紧随其后的是Hydra和Joker。
Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自从它最初被发现以来,它已经获得了额外的功能,包括远程访问木马 (RAT) 功能、键盘记录器和录音功能以及各种勒索软件功能。它已在 Google 商店中的数百个不同应用程序中检测到。
Hydra – Hydra 是一种银行木马,旨在通过请求受害者启用危险权限来窃取金融凭证。
Joker – Joker 是 Google Play 中的一款 Android 间谍软件,旨在窃取 SMS 消息、联系人列表和设备信息。该恶意软件还可以在受害者未经同意或不知情的情况下为其注册付费高级服务。