俄乌战争正在进行时,战场硝烟弥漫、网络上明争暗斗,安理会一票否决,欧美各国大喊制裁,实质性不强,匿名者黑客组织向俄罗斯发起网络挑战。同时Conti勒索软件组织、RedBanditsRU网络犯罪组织和鲜为人知的CoomingProject勒索软件计划,承诺在发生针对俄罗斯的网络攻击和行为时,将帮助俄罗斯政府。
当全世界目光投向俄乌战争之际,美国在台海耀武扬威,而朝鲜也恢复导弹试验,这是朝鲜在 1 月份进行了创纪录的导弹试验之后,周日发射了一枚疑似远程弹道火箭,全球注意力都集中在了乌克兰身上,西方媒体认为其加剧了紧张局势。
根据CheckPoint的最新的2022年1月全球威胁指数显示,Emotet在长期位居榜首之后,再次把Trickbot 推下首位,攀升第一的位置,影响了全球监测抽样6%的组织。事实证明,Log4j 仍然是一个大问题,影响了全球监测抽样的 47.4% 的组织,受攻击最多的行业仍然是教育、研究。
臭名昭著的僵尸网络最常通过包含恶意附件或链接的网络钓鱼电子邮件传播。Trickbot 的流行只是起到了催化剂的作用,进一步加速传播了恶意软件。与此同时,Dridex完全从前十名中被挤出去,取而代之的是 Lokibot,有一个信息窃取器用于获取电子邮件凭据、加密货币钱包密码和 FTP 服务器等数据。
本月,Dridex 从我们的前十名中消失,Lokibot 重新出现。Lokibot 在受害者最忙碌的时候利用他们,通过伪装得很好的网络钓鱼电子邮件进行分发。这些威胁,连同与 Log4j 漏洞的持续斗争,强调了跨网络、云、移动和用户端点获得最佳安全性的重要性。
我们本月Apache Log4j 远程执行代码仍然是最常被利用的漏洞,影响了全球监测抽样 47.4% 的组织,其次是Web 服务器暴露的 Git 存储库信息泄露,影响了全球监测抽样 45% 的组织HTTP Headers Remote Code Execution在被利用最多的漏洞列表中排名第三,全球监测抽样影响率为 42%。
2022年1月“十恶不赦”
*箭头表示与上个月相比的排名变化。
本月,Emotet是最流行的恶意软件,影响了全球 6% 的组织,紧随其后的是Trickbot,影响率为 4%,Formbook紧随其后,影响率为 3%。
1.↑ Emotet – Emotet 是一种先进的、自我传播的模块化木马。Emotet 曾经被用作银行木马,最近被用作其他恶意软件或恶意活动的分发者。它使用多种方法来维护持久性和规避技术以避免检测。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。
2.↓ Trickbot – Trickbot 是一个模块化的僵尸网络和银行木马,不断更新新的功能、特性和分发向量。这使 Trickbot 成为一种灵活且可定制的恶意软件,可以作为多用途活动的一部分进行分发。
3.↓ Formbook – Formbook 是一个信息窃取器,它从各种 Web 浏览器中获取凭据,收集屏幕截图、监控和记录击键,并可以根据其 C&C 命令下载和执行文件。
4.↔Agent Tesla – Agent Tesla 是一种高级 RAT,可用作键盘记录器和信息窃取器。它能够监控和收集受害者的键盘输入、系统键盘、截取屏幕截图并将凭据泄露给安装在受害者机器上的各种软件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)。
5. ↑XMRig –XMRig 是一款开源 CPU 挖矿软件,用于门罗币加密货币的挖矿过程,于 2017 年 5 月首次出现在野外。
6.↓ Glupteba – Glupteba 是一个后门,逐渐成熟为僵尸网络。到 2019 年,它包括一个通过公共比特币列表的 C&C 地址更新机制、一个完整的浏览器窃取功能和一个路由器漏洞利用程序。
7.↓ Remcos – Remcos 是 2016 年首次出现在野外的 RAT。Remcos通过附加到垃圾邮件的恶意 Microsoft Office 文档进行传播,旨在绕过 Microsoft Windows UAC 安全并以高级权限执行恶意软件。
8.↔Ramnit -Ramnit 是一种银行木马,可窃取银行凭证、FTP 密码、会话 cookie 和个人数据。
9.↑ Phorpiex – Phorpiex 是一个僵尸网络(又名 Trik),自 2010 年以来一直存在,并在其鼎盛时期控制了超过一百万个受感染的主机。它以通过垃圾邮件活动分发其他恶意软件系列以及助长大规模垃圾邮件和性勒索活动而闻名。
10.↑ Lokibot – Lokibot 是一种主要通过网络钓鱼电子邮件分发的信息窃取器,用于窃取各种数据,例如电子邮件凭据,以及 CryptoCoin 钱包和 FTP 服务器的密码。
1月份漏洞Top10
本月Apache Log4j 远程代码执行仍然是最常被利用的漏洞,影响了全球监测抽样47.4%的组织,其次是 Web 服务器暴露的 Git 存储库信息泄露,影响了全球监测抽样45%的组织。HTTP Headers Remote Code Execution 在被利用最多的漏洞列表中排名第三,全球监测抽样影响率为42%。
1.↔Apache Log4j 远程代码执行 (CVE-2021-44228) – Apache Log4j 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
2.↔ Web服务器暴露的 Git 存储库信息泄露– Git 存储库中报告了一个信息泄露漏洞。成功利用此漏洞可能会无意中泄露账户信息。
3.↔ HTTP 标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) ——HTTP 标头允许客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能使用易受攻击的 HTTP 标头在受害机器上运行任意代码。
4.↔ Web服务器恶意 URL 目录遍历(CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – 那里在不同的 Web 服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误未正确清理目录遍历模式的 URI。成功利用允许未经身份验证的远程攻击者泄露或访问易受攻击的服务器上的任意文件。
5.↑ 通过 HTTP 进行命令注入(CVE-2013-6719,CVE-2013-6720) – 报告了通过 HTTP 进行命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功的利用将允许攻击者在目标机器上执行任意代码。
6.↑ D-LINK 多产品远程代码执行 (CVE-2015-2051) - 多个D-Link 产品中报告了远程代码执行漏洞。成功利用可能导致在易受攻击的设备上执行任意代码。
7.↓ MVPower DVR 远程代码执行– MVPower DVR 设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心制作的请求在受影响的路由器中执行任意代码。
8.↓ Dasan GPON 路由器身份验证绕过 (CVE-2018-10561) – Dasan GPON 路由器中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并未经授权访问受影响的系统。
9.↑ PHP 复活节彩蛋信息披露 - PHP 页面中报告了一个信息披露漏洞。该漏洞是由于 Web 服务器配置不正确造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。
10.↓ Apache HTTP Server 目录遍历 (CVE-2021-41773,CVE-2021-42013) – Apache HTTP Server中存在目录遍历漏洞。成功利用此漏洞可能允许攻击者访问受影响系统上的任意文件。
顶级移动恶意软件
本月xHelper作为最流行的移动恶意软件排名第一,其次是AlienBot和FluBot。
1.xHelper – 自 2019 年 3 月以来未在野外出现的恶意应用程序,用于下载其他恶意应用程序和显示广告。该应用程序能够对用户隐藏自身并在被卸载时重新安装自身。
2.AlienBot – AlienBot 恶意软件系列是适用于 Android 设备的恶意软件即服务 (MaaS),它允许远程攻击者首先将恶意代码注入合法的金融应用程序。攻击者获得对受害者账户的访问权限,并最终完全控制他们的设备。
3.FluBot – FluBot 是一种 Android 僵尸网络恶意软件,通过网络钓鱼 SMS 消息分发,通常冒充物流配送品牌。一旦用户单击消息中的链接,FluBot 就会安装并访问手机上的所有敏感信息。
