AhMyth – AhMyth 是一种远程访问木马 (RAT),于 2017 年被发现。它通过可在应用商店和各种网站上找到的 Android 应用进行分发。当用户安装这些受感染的应用程序之一时,恶意软件可以从设备收集敏感信息并执行键盘记录、截屏、发送短信和激活相机等操作。
最新的 2023 年 4 月全球威胁指数表明,研究人员发现了通过恶意 PDF 文件分发的大量 Qbot 恶意垃圾邮件活动,这些文件附加到以多种语言显示的电子邮件中。与此同时,物联网 (IoT) 恶意软件 Mirai 在利用 TP-Link 路由器中的一个新漏洞后一年内首次上榜,而医疗保健则上升为第二大受攻击行业。
上个月看到的 Qbot 活动涉及一种新的交付方法,即向目标发送一封电子邮件,其中的附件包含受保护的 PDF 文件。下载这些文件后,Qbot 恶意软件就会安装在设备上。研究人员发现了以多种不同语言发送垃圾邮件的实例,这意味着组织可以成为全球范围内的目标。
(资料图)
上个月还见证了最流行的物联网恶意软件之一 Mirai 的回归。研究人员发现它正在利用一个新的零日漏洞 CVE-2023-1380 来攻击 TP-Link 路由器并将它们添加到其僵尸网络中,该僵尸网络已被用于促进一些有记录以来最具破坏性的分布式 DDoS 攻击。
受影响的行业也发生了变化,医疗保健在 4 月份超过政府成为第二大受剥削的行业。对医疗机构的袭击事件已有详尽记录,一些国家继续面临不断的袭击。例如,网络犯罪集团美杜莎最近对澳大利亚的癌症设施发起了攻击。该行业仍然是黑客的一个有利可图的目标,因为它使他们有可能获得机密的患者数据和支付信息。它可能会对制药公司产生影响,因为它可能导致有关临床试验或新医疗药物和设备的泄漏。
网络犯罪分子不断研究绕过限制的新方法,这些活动进一步证明了恶意软件如何适应生存。随着 Qbot 的再次进攻,它再次提醒人们拥有全面的网络安全的重要性,以及在信任电子邮件的来源和意图方面的尽职调查。
“Web 服务器恶意 URL 目录遍历”是最常被利用的漏洞,影响了全球 48% 的组织,其次是“Apache Log4j 远程代码执行”,占 44%,“HTTP 标头远程代码执行”,全球影响为43%。
2023年4月“十恶不赦”
*箭头表示与上个月相比排名的变化。
AgentTesla是上个月最流行的恶意软件,影响了全球 10% 的组织,其次是Qbot,全球影响为 7%,Formbook为 6%。
↑ AgentTesla– AgentTesla 是一种高级 RAT,充当键盘记录器和信息窃取器,能够监视和收集受害者的键盘输入、系统键盘、截取屏幕截图,并将凭证泄露到安装在受害者机器上的各种软件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)。↓ Qbot– Qbot AKA Qakbot 是一种银行木马,于 2008 年首次出现。它旨在窃取用户的银行凭证和击键。Qbot 通常通过垃圾邮件分发,它采用多种反虚拟机、反调试和反沙盒技术来阻碍分析和逃避检测。↔Formbook– Formbook 是一种针对 Windows 操作系统的信息窃取程序,于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格,它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行销售。FormBook 从各种网络浏览器收集凭证、收集屏幕截图、监控和记录击键,并可以根据其 C&C 的命令下载和执行文件。↓ Emotet– Emotet 是一种先进的、自我传播的模块化木马。Emotet 曾被用作银行木马,最近被用作其他恶意软件或恶意活动的分发者。它使用多种方法来保持持久性和规避技术来避免检测。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。↑ GuLoader– Guloader 是一款自 2019 年 12 月以来广泛使用的下载器。GuLoader 首次出现时用于下载 Parallax RAT,但已应用于其他远程访问木马和信息窃取程序,如 Netwire、FormBook 和 AgentTesla。↓ XMRig– XMRig 是用于挖掘 Monero 加密货币的开源 CPU 挖掘软件。威胁行为者经常通过将其集成到他们的恶意软件中来滥用这种开源软件,从而在受害者的设备上进行非法挖掘。↑ Nanocore——NanoCore 是一种针对 Windows 操作系统用户的远程访问木马,于 2013 年首次在野外被发现。RAT 的所有版本都包含基本的插件和功能,例如屏幕捕获、加密货币挖掘、远程控制桌面和网络摄像头会话盗窃。↑ Phorpiex –Phorpiex 是一个僵尸网络(又名 Trik),自 2010 年以来一直活跃,在其高峰期控制了超过一百万台受感染的主机。它以通过垃圾邮件活动分发其他恶意软件系列以及助长大规模垃圾邮件和性勒索活动而闻名。↓ Remcos– Remcos 是一种 RAT,于 2016 年首次出现。Remcos 通过附加在垃圾邮件中的恶意 Microsoft Office 文档进行自我传播,旨在绕过 Microsoft Windows UAC 安全并以高级权限执行恶意软件。↑Mirai-Mirai 是一种臭名昭著的物联网 (IoT) 恶意软件,它跟踪易受攻击的物联网设备,例如网络摄像头、调制解调器和路由器,并将它们变成机器人。僵尸网络被其运营商用来进行大规模分布式拒绝服务 (DDoS) 攻击。Mirai 僵尸网络于 2016 年 9 月首次出现,并由于一些大规模攻击而迅速成为头条新闻,包括用于使整个利比里亚国家离线的大规模 DDoS 攻击,以及对互联网基础设施公司 Dyn 的 DDoS 攻击,该公司提供了很大一部分美国互联网的基础设施。全球受攻击最多的行业
上个月,教育/研究仍然是全球受攻击最严重的行业,其次是医疗保健和政府/军事。
教育/研究卫生保健政府/军队最常被利用的漏洞
上个月,“Web 服务器恶意 URL 目录遍历”是最常被利用的漏洞,影响了全球48%的组织,其次是“Apache Log4j 远程执行代码”,影响了全球44%的组织,“HTTP 标头远程执行代码”在全球范围内受到影响43%的影响。
↑ Web 服务器恶意 URL 目录遍历 –在不同的 Web 服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误导致的,该错误未正确清理目录遍历模式的 URI。成功的利用允许未经身份验证的远程攻击者泄露或访问易受攻击的服务器上的任意文件。↓ Apache Log4j 远程代码执行 (CVE-2021-44228)– Apache Log4j 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。↓ HTTP 标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756)——HTTP 标头让客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能会使用易受攻击的 HTTP 标头在受害计算机上运行任意代码。↑ HTTP 上的命令注入(CVE-2021-43936、CVE-2022-24086)——已报告 HTTP 上的命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功的利用将允许攻击者在目标机器上执行任意代码。↓ MVPower DVR 远程代码执行 –MVPower DVR 设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码。↔ PHP 复活节彩蛋信息泄露 –PHP 页面中报告了一个信息泄露漏洞。该漏洞是由于不正确的 Web 服务器配置造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。↓ OpenSSL TLS DTLS 心跳信息泄露(CVE-2014-0160、CVE-2014-0346)——OpenSSL TLS DTLS 心跳信息泄露OpenSSL 中存在信息泄露漏洞。该漏洞又名 Heartbleed,是由于处理 TLS/DTLS 心跳数据包时出现错误造成的。攻击者可以利用此漏洞泄露连接的客户端或服务器的内存内容。↓ Dasan GPON 路由器身份验证绕过 (CVE-2018-10561)– Dasan GPON 路由器中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并获得对受影响系统的未授权访问。↑ D-Link 多个产品远程代码执行 (CVE-2015-2051)– 多个 D-Link 产品中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。↓ PHP 复活节彩蛋信息泄露 –PHP 页面中报告了一个信息泄露漏洞。该漏洞是由于不正确的 Web 服务器配置造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。↔ WordPress portable-phpMyAdmin 插件身份验证绕过 (CVE-2012-5469)– WordPress portable-phpMyAdmin 插件中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并获得对受影响系统的未授权访问。顶级移动恶意软件
上个月,Ahmyth仍然是最流行的移动恶意软件,其次是Anubis和Hiddad。
AhMyth– AhMyth 是一种远程访问木马 (RAT),于 2017 年被发现。它通过可在应用商店和各种网站上找到的 Android 应用进行分发。当用户安装这些受感染的应用程序之一时,恶意软件可以从设备收集敏感信息并执行键盘记录、截屏、发送短信和激活相机等操作。Anubis– Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自从最初被发现以来,它已经获得了额外的功能,包括远程访问木马 (RAT) 功能、键盘记录器、录音功能和各种勒索软件功能。已在 Google 商店中提供的数百种不同应用程序中检测到它。Hiddad– Hiddad 是一种 Android 恶意软件,它会重新打包合法应用程序,然后将它们发布到第三方商店。它的主要功能是显示广告,但它也可以访问操作系统内置的关键安全细节。关键词:
