当俄罗斯和乌克兰之间的战争正在进行时,战场上充满了烟雾,互联网上的公开和秘密斗争。安理会一票否决,欧洲和美国大喊制裁,但实质性不强。匿名黑客组织对俄罗斯发起了网络挑战。与此同时Conti勒索软件组织,RedBanditsRU网络犯罪组织和鲜为人知的CoomingProject勒索软件计划承诺对俄罗斯政府进行网络攻击和行为。
当全世界关注俄罗斯和乌克兰战争时,美国在台,朝鲜也恢复了导弹试验,这是朝鲜在 1月创纪录导弹试验,周日发射了一个疑似远程弹道火箭,全球关注乌克兰,西方媒体认为它加剧了紧张局势。
根据CheckPoint最新的2022年1月全球威胁指数显示,Emotet长期排名榜首后,再次排名第一Trickbot 推下第一,攀升第一,影响全球监测抽样6%的组织。事实证明,Log4j 仍然是一个影响全球监测抽样的大问题47.4受攻击最多的% 组织仍然是教育和研究。
臭名昭著的僵尸网络通常通过包含恶意附件或链接的网络钓鱼电子邮件传播。Trickbot 的流行只起到催化剂的作用,进一步加速了恶意软件的传播。Dridex前十名被挤出,取而代之的是 Lokibot,有一个信息窃取器用于获取电子邮件凭证、加密货币钱包密码和 FTP 服务器等数据。
本月,Dridex 从我们的前十名中消失,Lokibot 再次出现。Lokibot 在受害者最忙的时候,通过伪装的网络钓鱼电子邮件分发。这些威胁与 一起Log4j 漏洞的持续斗争强调了跨网络、云、移动和用户端点获得最佳安全性的重要性。
我们本月Apache Log4j 远程执行代码仍然是最常用的漏洞,影响了全球监抽样 47.4其次是% 组织Web 服务器暴露的 Git 存储信息泄露影响了全球监测抽样 45% 的组织HTTP Headers Remote Code Execution全球监测抽样影响率为 42%,在最常用的漏洞列表中排名第三。
20221月十恶不赦
*与上个月相比,箭头表示排名变化。
本月,Emotet它是影响全球 6% 组织的最受欢迎的恶意软件,其次是Trickbot, 4%的影响,Formbook随后,影响率为 3%。
1.↑ Emotet – Emotet 是一种先进的自我传播模块化木马。Emotet 曾被用作银行木马,最近被用作其他恶意软件或恶意活动的分发商。它使用多种方法来维持持久性和避免测试。此外,它还可以通过包含恶意附件或链接的在线钓鱼垃圾邮件传播。
2.↓ Trickbot – Trickbot 是一个模块化的僵尸网络和银行木马,不断更新新的功能、特性和分销向量。Trickbot 可作为多用途活动的一部分,成为一种灵活定制的恶意软件。
3.↓ Formbook – Formbook 是一种来自各种 的信息窃取器Web 在浏览器中获取凭证,收集屏幕截图、监控和记录键,并根据 C&C 命令下载和执行文件。
4.?Agent Tesla – Agent Tesla 是一种高级 RAT,它可以用作键盘记录器和信息窃取器。它可以监控和收集受害者的键盘输入、系统键盘、屏幕截图和各种软件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)。
5. ↑XMRig –XMRig 是开源 CPU 采矿软件,用于门罗币加密货币的采矿过程,于2017年5月首次出现在野外。
6.↓ Glupteba – Glupteba 是后门,逐渐成熟为僵尸网络。到2019年 ,它包括通过公共比特币列表的 C&C 地址更新机制,完整的浏览器窃取功能和路由器漏洞利用程序。
7.↓ Remcos – Remcos 是2016年第一次出现在野外的 RAT。Remcos恶意 通过添加到垃圾邮件中Microsoft Office 文档传播的目的是绕过 Microsoft Windows UAC 恶意软件以高级权限安全执行。
8.?Ramnit -Ramnit 是一种可以窃取银行凭证的银行木马FTP 密码,会话 cookie 个人数据。
9.↑ Phorpiex – Phorpiex 是僵尸网络(又称 Trik),自 2010 年以来一直存在,并在其鼎盛时期控制了超过一百万个受感染的主机。它以通过垃圾邮件活动分发其他恶意软件系列以及助长大规模垃圾邮件和性勒索活动而闻名。
10.↑ Lokibot – Lokibot 是一种主要通过网络钓鱼电子邮件分发的信息窃取器,用于窃取各种数据,如电子邮件凭证和 CryptoCoin 钱包和 FTP 服务器密码。
1月份漏洞Top10
本月Apache Log4j 远程代码执行仍然是最常用的漏洞,影响了全球监控抽样47.4%的组织,其次是 Web 服务器暴露的 Git 存储信息泄露影响了45%的全球监测抽样组织。HTTP Headers Remote Code Execution 在最常用的漏洞列表中排名第三,全球监测抽样的影响率为42%。
1.?Apache Log4j 远程代码执行 (CVE-2021-44228) – Apache Log4j 存在远程代码执行漏洞。成功使用这个漏洞可能允许远程攻击者在受影响的系统上执行任何代码。
2.? Web 暴露在服务器上Git 存储信息泄露– Git 存储库报告了一个信息泄露漏洞。成功使用这个漏洞可能会无意中泄露账户信息。
3.? HTTP 标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) ——HTTP 标头允许客户端和服务器通过 HTTP 请求传递额外信息。远程攻击者可以使用易受攻击的 HTTP 标头在受害机器上运行任何代码。
4.? Web恶意 服务器URL 目录遍历(CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – 那里有不同的 Web 服务器上有目录遍历漏洞。这个漏洞是因为 Web 目录遍历模式未正确清理服务器输入验证错误URI。未经身份验证,允许远程攻击者泄露或访问易受攻击服务器上的任何文件。
5.↑ 通过 HTTP 注入命令(CVE-2013-6719,CVE-2013-6720) – 通过 报告HTTP 注入命令漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功的利用将允许攻击者在目标机器上执行任意代码。
6.↑ D-LINK 多产品远程代码执行 (CVE-2015-2051) - 多个D-Link 产品报告了远程代码执行漏洞。在易受攻击的设备上成功使用任何代码。
7.↓ MVPower DVR 远程代码执行– MVPower DVR 设备中存在远程代码执行漏洞。远程攻击者可以利用这一弱点在受影响的路由器中执行任何代码。
8.↓ Dasan GPON 路由器身份验证绕过 (CVE-2018-10561) – Dasan GPON 存在于路由器中验证绕过漏洞。成功利用这个漏洞将允许远程攻击者在未经授权访问受影响的系统中获取敏感信息。
9.↑ PHP 复活节彩蛋信息披露 - PHP 页面报告了一个信息披露漏洞。这个漏洞是因为 Web 服务器配置不正确。远程攻击者可以通过向受影响的 PHP 页面发送特殊 URL 利用这个漏洞。
10.↓ Apache HTTP Server 目录遍历 (CVE-2021-41773,CVE-2021-42013) – Apache HTTP Server目录中存在漏洞。成功使用这个漏洞可能会允许攻击者访问受影响系统上的任何文件。
顶级移动恶意软件
本月xHelper移动恶意软件作为最流行的软件排名第一,其次是AlienBot和FluBot。
1.xHelper – 自 2019 年 3 月以来未在野外出现的恶意应用程序,用于下载其他恶意应用程序和显示广告。该应用程序能够对用户隐藏自身并在被卸载时重新安装自身。
2.AlienBot – AlienBot 恶意软件系列适用于 Android 设备的恶意软件是服务 (MaaS),它允许远程攻击者首先将恶意代码注入用程序注入恶意代码。攻击者获得访问受害者账户的权限,并最终完全控制他们的设备。
3.FluBot – FluBot 是一种 Android 僵尸网络恶意软件,通过网络钓鱼 SMS 消息分发,通常冒充物流配送品牌。用户单击消息中的链接,FluBot 将在手机上安装并访问所有敏感信息。