2024年1月全球威胁指数中,研究人员发现了一种名为 VexTrio 的新型普遍流量分发系统 (TDS),该系统已通过由70,000多个受感染站点组成的网络为60多家附属机构提供了帮助。与此同时,在新推出的指数排名中,LockBit3 被评为最流行的勒索软件组,而教育仍然是全球受影响最严重的行业。
VexTrio 至少从 2017 年开始活跃,与数十名同事合作,通过复杂的 TDS 传播恶意内容。VexTrio 使用类似于合法营销联属网络的系统,其活动通常很难被发现,尽管活跃了六年多,但其运营规模却基本上未被注意到。这是因为几乎没有将其与特定威胁参与者或攻击链联系起来,由于广泛的网络和先进的操作,使其成为相当大的网络安全风险。
Check Point Software 研究副总裁 Maya Horowitz 表示:“网络犯罪分子已经从单纯的黑客演变为欺骗的策划者,VexTrio 再次提醒人们该行业已变得多么具有商业头脑。” “为了确保安全,个人和组织应优先考虑定期网络安全更新,采用强大的端点保护,并培养保持警惕的在线实践文化。通过保持信息灵通和积极主动,我们可以共同加强防御,抵御新兴网络威胁带来的不断变化的危险。”
Check Point 索引现在首次根据 200 多个羞耻网站的活动对最流行的勒索软件组进行了排名。上个月,LockBit3 是最流行的勒索软件组织,造成了 20% 的已发布攻击。他们对一月份的一些重大事件负责,包括对三明治连锁店赛百味和芝加哥圣安东尼医院的袭击。
此外,CPR 还透露,全球最常被利用的漏洞是“HTTP 命令注入”,影响了 44% 的组织,其次是影响 41% 的“Web 服务器恶意 URL 目录遍历”,以及影响全球的“HTTP 标头远程代码执行” 40%。
2024年1月“十恶不赦”
*箭头表示与上个月相比的排名变化
Fak eUpdates是本月最流行的恶意软件,影响了全球 4% 的组织,其次是Qbot,影响了 3%,其次是Formbook,影响了 2%。
- ↔ F akeUpdates – FakeUpdates(又名 SocGholish)是一个用 JavaScript 编写的下载器。它在启动有效负载之前将其写入磁盘。FakeUpdates 通过许多其他恶意软件导致了进一步的危害,包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult。
- ↑ Qbot – Qbot 又称 Qakbot 是一种多用途恶意软件,首次出现于 2008 年。它旨在窃取用户的凭据、记录击键、窃取浏览器的 cookie、监视银行活动以及部署其他恶意软件。Qbot 通常通过垃圾邮件进行分发,它采用多种反虚拟机、反调试和反沙箱技术来阻碍分析和逃避检测。从 2022 年开始,它成为最流行的特洛伊木马之一。
- ↓Formbook – Formbook 是一款针对 Windows 操作系统的信息窃取程序,于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格,它在地下黑客论坛中以恶意软件即服务 (MaaS) 的形式进行销售。Formbook 从各种 Web 浏览器获取凭据、收集屏幕截图、监控并记录击键,并可以根据其 C&C 的命令下载和执行文件。
- ↓ Nanocore – Nanocore 是一种针对 Windows 操作系统用户的远程访问木马,于 2013 年首次在野外观察到。所有版本的 RAT 都包含基本插件和功能,例如屏幕捕获、加密货币挖掘、远程控制桌面和网络摄像头会话盗窃。
- ↔ AsyncRAT – AsyncRAT 是一种针对 Windows 平台的木马。该恶意软件将有关目标系统的系统信息发送到远程服务器。它从服务器接收命令来下载并执行插件、终止进程、卸载/更新自身以及捕获受感染系统的屏幕截图。
- ↓ Remcos – Remcos 是一种于 2016 年首次出现的 RAT。Remcos 通过恶意 Microsoft Office 文档进行传播,这些文档附加在垃圾邮件中,旨在绕过 Microsoft Windows UAC 安全性并以高级权限执行恶意软件。
- ↔ Phorpiex – Phorpiex 是一个僵尸网络(又名 Trik),自 2010 年以来一直活跃,在高峰期控制了超过一百万受感染的主机。它以通过垃圾邮件活动分发其他恶意软件系列以及助长大规模垃圾邮件和性勒索活动而闻名。
- ↑ Ramnit – Ramnit 特洛伊木马是一种能够泄露敏感数据的恶意软件。此类数据可以包括银行凭证、FTP 密码、会话 cookie 和个人数据等任何内容。
- ↓ NJRat – NJRat 是一种远程访问木马,主要针对中东的政府机构和组织。该木马首次出现于 2012 年,具有多种功能:捕获击键、访问受害者的摄像头、窃取浏览器中存储的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和偷渡式下载感染受害者,并在命令与控制服务器软件的支持下通过受感染的 USB 密钥或网络驱动器进行传播。
- ↓ AgentTesla – AgentTesla 是一种高级 RAT,充当键盘记录器和信息窃取程序,能够监控和收集受害者的键盘输入、系统键盘、截取屏幕截图以及窃取受害者计算机上安装的各种软件的凭据(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)。
最常被利用的漏洞
上个月,“HTTP 命令注入”是最常被利用的漏洞,影响了全球 44% 的组织,其次是“Web 服务器恶意 URL 目录遍历”,影响了 41%,“HTTP 标头远程代码执行”影响了全球 40% 。
- ↑ HTTP 命令注入(CVE-2021-43936、CVE-2022-24086) ——已报告 HTTP 命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功利用该漏洞将允许攻击者在目标计算机上执行任意代码。
- ↔ Web 服务器恶意 URL 目录遍历(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、 CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) –有不同Web服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误导致的,该错误未正确清理目录遍历模式的 URI。成功利用此漏洞允许未经身份验证的远程攻击者披露或访问易受攻击的服务器上的任意文件。
- ↑ HTTP 标头远程代码执行– HTTP 标头允许客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能使用易受攻击的 HTTP 标头在受害计算机上运行任意代码。
- ↓ Apache Log4j 远程代码执行 (CVE-2021-44228) – Apache Log4j 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
- ↑ Apache HTTP Server 目录遍历 (CVE-2021-41773) – Apache HTTP Server 中存在目录遍历漏洞。成功利用此漏洞可能允许攻击者访问受影响系统上的任意文件。
- ↑ TP-Link TL-WR840N/TL-WR841N 身份验证绕过- TP-Link WR840N 和 TL-WR841N 路由器中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并对受影响的系统进行未经授权的访问。
- ↔ PHP 复活节彩蛋信息泄露 (CVE-2015-2051) – PHP 页面中报告了一个信息泄露漏洞。该漏洞是由于不正确的 Web 服务器配置造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。
- ↑ Atlassian Confluence 模板注入 (CVE-2023-22527) – Confluence 是一个基于 Web 的企业 wiki 应用程序,使团队能够共享业务相关信息。Confluence 是 Atlassian Wiki 的一部分。该应用程序可以安装在组织的内部服务器上,也可以在 Atlassian 服务器上远程使用。
- ^ Muieblackcat PHP Scanner - Muieblackcat 是一款漏洞扫描产品。远程攻击者可以使用 Muieblackcat 来检测目标服务器上的漏洞。
- ↑ Atlassian Confluence 服务器任意文件读取 (CVE-2021-26085) – Atlassian Confluence 服务器中存在任意文件读取漏洞。成功利用此漏洞可能允许未经身份验证的远程攻击者访问和读取任意文件。
热门移动恶意软件
上个月,Anubis仍然位居最流行的移动恶意软件榜首,其次是AhMyth和Hiddad。
- Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来,它已获得了额外的功能,包括远程访问木马 (RAT) 功能、键盘记录器、录音功能和各种勒索软件功能。Google 商店中数百个不同的应用程序已检测到该病毒。
- AhMyth – AhMyth 是 2017 年发现的远程访问木马 (RAT)。它通过 Android 应用程序分发,可在应用程序商店和各种网站上找到。当用户安装这些受感染的应用程序之一时,恶意软件可以从设备收集敏感信息并执行键盘记录、截图、发送短信和激活摄像头等操作,这些操作通常用于窃取敏感信息。
- Hiddad – Hiddad 是一种 Android 恶意软件,它会重新打包合法应用程序,然后将其发布到第三方商店。它的主要功能是展示广告,但它也可以访问操作系统内置的关键安全细节。
全球受攻击最严重的行业
上个月,教育/研究在全球受攻击行业中仍然位居首位,其次是政府/军事和医疗保健。
- 教育/研究
- 政府/军队
- 卫生保健
顶级勒索软件组
本节包含来自双重勒索勒索软件组织运营的近 200 个勒索软件“耻辱网站”的信息,其中 68 个今年发布了受害者的姓名和信息。网络犯罪分子利用这些网站向不立即支付赎金的受害者施加压力。这些羞耻网站的数据带有其自身的偏见,但仍然为勒索软件生态系统提供了有价值的见解,而勒索软件生态系统目前是企业面临的第一大风险。
上个月,LockBit3是最流行的勒索软件组织,占已发布攻击的 20%,其次是8Base(占 10%)和Akira(占 9%)。
- LockBit3 – LockBit3 是一种勒索软件,以RaaS模式运行,于 2019 年 9 月首次报告。LockBit3 针对来自不同国家的大型企业和政府实体,不针对俄罗斯或独立国家联合体的个人。
- 8base – 8Base 威胁组织是一个勒索软件团伙,至少自 2022 年 3 月起就一直活跃。由于其活动显着增加,该团伙在 2023 年中期声名狼藉。据观察,该组织使用了多种勒索软件变体,其中 Phobos 是常见的元素。8Base 的运作相当复杂,他们在勒索软件中使用了先进技术就证明了这一点。该组织的手段包括双重勒索策略。
- Akira – Akira 勒索软件于 2023 年初首次报告,针对 Windows 和 Linux 系统。它使用 CryptGenRandom 和 Chacha 2008 的对称加密进行文件加密,与泄露的 Conti v2 勒索软件类似。Akira 通过各种方式传播,包括受感染的电子邮件附件和 VPN 端点中的漏洞。感染后,它会加密数据并附加“. akira”扩展名的文件名,然后提出勒索信要求支付解密费用。