其乐融融的IT技术小站

2023年9月份恶意软件之“十恶不赦”排行榜

以色列与哈马斯战争正在如火如荼的进行,虽然我们对以色列的行径感到不耻,但是以色列之所以能够或者敢于如此残暴,很大程度上是以色列较周边阿拉伯国家在科技方面的优势,战争武器上的优势。从Checkpoint最新的 2023 年 9 月全球威胁指数中,研究人员报告了一项针对哥伦比亚企业的新型隐形网络钓鱼活动,旨在谨慎地传播Remcos 远程访问木马 (RAT)。与此同时,继 Qbot 崩溃后,Formbook 成为最流行的恶意软件,而教育行业仍然是最受攻击的行业。9 月,其发现了一次重大网络钓鱼活动,该活动针对哥伦比亚多个行业的 40 多家知名公司。其目的是在受害者的计算机上秘密安装Remcos RAT 。Remcos 是 9 月份第二大流行的恶意软件,是一种复杂的“瑞士军刀”RAT,可以完全控制受感染的计算机,并可用于各种攻击。Remcos 感染的常见后果包括数据盗窃、后续感染和账户接管。

上个月,FBI 在 8 月份控制了僵尸网络后,Qbot 也完全从恶意软件排行榜上跌落。标志着作为最流行恶意软件的长期统治的结束,该恶意软件在 2023 年的大部分时间里都位居榜首。

另外,Web 服务器恶意 URL 目录遍历是上个月最常被利用的漏洞,影响了全球 47% 的组织,其次是HTTP 命令注入(42%)和Zyxel ZyWALL 命令注入(39%)。

2023年9月“十恶不赦”

*箭头表示与上个月相比的排名变化。

Formbook是上个月最流行的恶意软件,对全球组织的影响达3%,其次是Remcos,对全球影响达2%,而Emotet对全球影响达2%。

↑ Formbook – Formbook 是一种针对 Windows 操作系统的信息窃取程序,于 2016 年首次被发现。它因其强大的规避技术和相对较低的价格而在地下黑客论坛中以恶意软件即服务 (MaaS) 的形式进行销售。Formbook 从各种 Web 浏览器获取凭据、收集屏幕截图、监视和记录击键,并可以根据其 C&C 的命令下载和执行文件。

^ Remcos – Remcos 是一种远程访问木马 (RAT),于 2016 年首次出现。Remcos 通过附加到垃圾邮件的恶意 Microsoft Office 文档进行传播,旨在绕过 Microsoft Windows UAC 安全性并通过以下方式执行恶意软件:高级特权。

↑ Emotet – Emotet 是一种先进的、自我传播的模块化木马。Emotet 曾经被用作银行木马,最近被用作其他恶意软件或恶意活动的传播者。它使用多种方法来维持持久性和逃避技术来避免检测。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。

↔ Nanocore – NanoCore 是一种针对 Windows 操作系统用户的远程访问木马,于 2013 年首次在野外观察到。所有版本的 RAT 都包含基本插件和功能,例如屏幕捕获、加密货币挖掘、远程控制桌面和网络摄像头会话盗窃。

↑ CloudEye – CloudEye(又名 Guloader)是一款针对 Windows 平台的下载器,用于在受害者计算机上下载并安装恶意程序。

↓ NJRat – NJRat 是一种远程访问木马,主要针对中东的政府机构和组织。该木马于 2012 年首次出现,具有多种功能:捕获击键、访问受害者的摄像头、窃取浏览器中存储的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和偷渡式下载感染受害者,并在命令与控制服务器软件的支持下通过受感染的 USB 密钥或网络驱动器进行传播。

↑ AgentTesla – AgentTesla 是一种高级 RAT,充当键盘记录程序和信息窃取程序,能够监控和收集受害者的键盘输入、系统键盘、截取屏幕截图以及窃取受害者计算机上安装的各种软件的凭据(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)。

^ Mirai – Mirai 是一种臭名昭著的物联网 (IoT) 恶意软件,它会跟踪易受攻击的物联网设备,例如网络摄像头、调制解调器和路由器,并将其转变为机器人。该僵尸网络被其运营商用来进行大规模分布式拒绝服务 (DDoS) 攻击。Mirai 僵尸网络于 2016 年 9 月首次出现,并因一些大规模攻击而迅速成为头条新闻,其中包括用于使利比里亚整个国家瘫痪的大规模 DDoS 攻击,以及针对互联网基础设施公司 Dyn 的 DDoS 攻击,该公司提供了很大一部分美国互联网基础设施。

^ Phorpiex – Phorpiex 是一个僵尸网络(又名 Trik),自 2010 年以来一直活跃,在高峰时期控制了超过一百万台受感染的主机。它以通过垃圾邮件活动分发其他恶意软件系列以及助长大规模垃圾邮件和性勒索活动而闻名。

↑ AsyncRat – Asyncrat 是一种针对 Windows 平台的木马。该恶意软件将有关目标系统的系统信息发送到远程服务器。它从服务器接收命令来下载并执行插件、终止进程、卸载/更新自身以及捕获受感染系统的屏幕截图。

全球受攻击最多的行业

上个月,教育/研究在全球受攻击最严重的行业中仍然位居榜首,其次是通信和政府/军事。

  1. 教育/研究
  2. 通讯
  3. 政府/军队

最常被利用的漏洞

上个月,“Web 服务器恶意 URL 目录遍历”是最容易被利用的漏洞,影响了全球47%的组织,其次是“HTTP 命令注入”( 42 %)和“Zyxel ZyWALL 命令注入”( 39 %)。

  1. ↑ Web 服务器恶意 URL 目录遍历(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、 CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) –有是不同Web服务器上的目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误导致的,该错误未正确清理目录遍历模式的 URI。成功利用此漏洞允许未经身份验证的远程攻击者披露或访问易受攻击的服务器上的任意文件。
  2. ↔ HTTP 命令注入(CVE-2021-43936、CVE-2022-24086) – 已报告 HTTP 命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功利用该漏洞将允许攻击者在目标计算机上执行任意代码。
  3. ↑ Zyxel ZyWALL 命令注入 (CVE-2023-28771) – Zyxel ZyWALL 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意操作系统命令。
  4. ↑ WordPress portable-phpMyAdmin 插件身份验证绕过 (CVE-2012-5469) – WordPress portable-phpMyAdmin 插件中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并对受影响的系统进行未经授权的访问。
  5. ↓ MVPower CCTV DVR 远程执行代码 (CVE-2016-20016) - MVPower CCTV DVR 中存在远程执行代码漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
  6. ↓ PHP 彩蛋信息泄露 (CVE-2015-2051) – PHP 页面中报告了一个信息泄露漏洞。该漏洞是由于不正确的 Web 服务器配置造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。
  7. ↓ Dasan GPON 路由器身份验证绕过 (CVE-2018-10561) – Dasan GPON 路由器中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并对受影响的系统进行未经授权的访问。
  8. ↓ PHPUnit 命令注入 (CVE-2017-9841) – PHPUnit 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意命令。
  9. ^ OpenSSL TLS DTLS Heartbeat 信息泄露(CVE-2014-0160、CVE-2014-0346) – OpenSSL TLS DTLS Heartbeat 信息泄露 OpenSSL 中存在一个信息泄露漏洞。该漏洞又名 Heartbleed,是由于处理 TLS/DTLS 心跳数据包时出现错误造成的。攻击者可以利用此漏洞泄露所连接的客户端或服务器的内存内容。
  10. ↑ Muieblackcat PHP Scanner – Muieblackcat 是一款漏洞扫描产品。远程攻击者可以使用 Muieblackcat 来检测目标服务器上的漏洞。

热门移动恶意软件

上个月,Anubis仍然位居最流行移动恶意软件的榜首,其次是AhMyth和SpinOk。

  1. Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来,它已获得了额外的功能,包括远程访问木马 (RAT) 功能、键盘记录器、录音功能和各种勒索软件功能。Google 商店中数百个不同的应用程序已检测到该病毒。
  2. AhMyth – AhMyth 是 2017 年发现的远程访问木马 (RAT)。它通过 Android 应用程序分发,可在应用程序商店和各种网站上找到。当用户安装这些受感染的应用程序之一时,恶意软件可以从设备收集敏感信息并执行键盘记录、截图、发送短信和激活摄像头等操作,这些操作通常用于窃取敏感信息。
  3. SpinOk – SpinOk 是一个作为间谍软件运行的 Android 软件模块。它收集有关设备上存储的文件的信息,并能够将它们传输给恶意威胁参与者。截至 2023 年 5 月,该恶意模块存在于 100 多个 Android 应用程序中,下载量超过 4.21 亿次。

常规安全建议:

  • 安全意识:了解与之互动的任何媒介和表面,并在通过电子邮件、短信或在线接收消息时保持警惕和聪明。任何消息都可能是恶意的或包含恶意软件的链接,仅与已知发件人交互
  • 仅从受信任的来源下载软件或应用程序:仅从受信任的官方来源下载适用于 鸿蒙、iOS 或 Android 的应用程序。许多威胁行为者会尝试发送伪装成合法应用程序的恶意软件
  • 不要点击不熟悉的链接:切勿点击来自不熟悉来源的链接,也不应上网访问不熟悉的链接。注意这些URL,有什么常见或不熟悉的地方吗?通过花一点时间寻找网站可能存在欺诈的迹象,可以快速识别其合法性。
  • 最新补丁:使计算机和软件保持最新状态并应用安全补丁,尤其是那些标记为关键的补丁,可以帮助限制组织遭受攻击的脆弱性,因为此类补丁通常被忽视或延迟太久而无法提供所需的补丁保护。
  • 加强用户身份验证:实施强大的密码策略、要求使用多因素身份验证以及对员工进行有关旨在窃取登录凭据的各种攻击的教育,都是组织网络安全策略的关键组成部分。
赞 ()
分享到:更多 ()

相关推荐

内容页底部广告位3
留言与评论(共有 0 条评论)
   
验证码: