Check Point Research 發現了大規模 Qbot 木馬惡意垃圾郵件攻擊活動,該木馬在上月的威脅指數排行榜中位列第二。與此同時,物聯網 (IoT) 惡意軟件 Mirai 在今年首次重返榜單,醫療行業成為第二大最常被攻擊的行業。
2023 年 5 月,全球領先的網絡安全解決方案提供商 Check Point 軟件技術有限公司(納斯達克股票代碼:CHKP)發布了其 2023 年 4 月《全球威脅指數》報告。在今年4月,研究人員發現了大規模的 Qbot 惡意垃圾郵件攻擊活動,該攻擊活動通過隨附到多語種電子郵件的惡意 PDF 文件進行傳播。與此同時,利用 TP-Link 路由器中的新漏洞發起攻擊的物聯網 (IoT) 惡意軟件 Mirai 在今年首次登榜,醫療行業上升為第二大最常被攻擊的行業。
上月,Qbot 攻擊活動采用了一種新的傳播手段,即向攻擊目標發送一封隨附受保護 PDF 文件附件的電子郵件。一旦下載這些文件,Qbot 惡意軟件就會安裝到設備上。研究人員發現,該攻擊活動使用多種不同的語言來發送惡意垃圾郵件,這意味著世界各地的企業與機構都可能會成為攻擊目標。在中國,Emotet木馬仍舊是影響力最大的惡意軟件,我國有超過22%的企業與機構在4月仍然深受其害。
此外,上個月最猖獗的 IT 惡意軟件之一 Mirai 卷土重來。研究人員發現,它正利用新的零日漏洞 CVE-2023-1380 來攻擊 TP-Link 路由器,并將這些路由器添加到其僵尸網絡中,后者已被用于發起多起頗具破壞性的分布式 DDoS 攻擊。在這波最新攻擊活動之前,Check Point Research (CPR) 發布了一份有關物聯網攻擊肆虐的詳實報告。
受影響行業的排名也發生了變化,醫療行業在 4 月份超過政府部門成為第二大最常被攻擊的行業。對醫療機構的攻擊均有案可稽,目前部分國家(地區)的醫療機構仍然面臨著持續攻擊。例如,網絡犯罪組織 Medusa 最近對澳大利亞的癌癥診療設施發起了攻擊。醫療行業仍是黑客眼中的首選目標之一,因為他們有望從中竊取機密的患者數據和支付信息。
Check Point 軟件技術公司研究副總裁 Maya Horowitz 表示:“網絡犯罪分子一直在研究利用新方法來繞過安全限制,這些攻擊活動進一步表明了惡意軟件可快速適應新變化。Qbot 的死灰復燃又一次提醒我們必須實施全面的網絡安全防護,并務必核實電子郵件的真實來源和意圖。”
CPR 還指出,“Web 服務器惡意 URL 目錄遍歷漏洞”是最常被利用的漏洞,全球 48% 的機構因此遭殃,其次是“Apache Log4j 遠程代碼執行”,影響了全球 44% 的機構,然后是“HTTP 標頭遠程代碼執行”,全球影響范圍為 43%。
頭號惡意軟件家族
* 箭頭表示與上月相比的排名變化。
AgentTesla 是上月最猖獗的惡意軟件,影響了全球超過 10% 的機構,其次是 Qbot 和 Formbook,全球影響范圍均為 4%。
↑AgentTesla – AgentTesla 是一種用作鍵盤記錄器和信息竊取程序的高級 RAT,能夠監控和收集受害者的鍵盤輸入與系統剪貼板、截圖并盜取受害者電腦上安裝的各種軟件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端)的證書。
↓ Qbot - Qbot(又名 Qakbot)是一種銀行木馬,于 2008 年首次出現,旨在竊取用戶的銀行憑證和擊鍵記錄。Qbot 通常通過垃圾郵件傳播,采用多種反 VM、反調試和反沙盒手段來阻礙分析和逃避檢測。
Formbook – Formbook 是針對 Windows 操作系統的信息竊取程序,于 2016 年首次被發現。由于其強大的規避技術和相對較低的價格,它在地下黑客論壇中作為惡意軟件即服務 (MaaS) 進行出售。Formbook 可從各種 Web 瀏覽器中獲取憑證、收集截圖、監控和記錄擊鍵次數,并按照其 C&C 命令下載和執行文件。
主要移動惡意軟件
上月,Ahmyth 成為最猖獗的移動惡意軟件,其次是 Anubis 和 Hiddad。
AhMyth – AhMyth 是一種遠程訪問木馬 (RAT),于 2017 年被發現,可通過應用商店和各種網站上的 Android 應用進行傳播。當用戶安裝這些受感染的應用后,該惡意軟件便可從設備收集敏感信息,并執行鍵盤記錄、屏幕截圖、發送短信和激活攝像頭等操作。
Anubis – Anubis 是一種專為 Android 手機設計的銀行木馬惡意軟件。自最初檢測到以來,它已經具有一些額外的功能,包括遠程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數百款不同應用中均已檢測到該銀行木馬。
Hiddad - Hiddad 是一種 Android 惡意軟件,能夠對合法應用進行重新打包,然后將其發布到第三方商店。其主要功能是顯示廣告,但它也可以訪問操作系統內置的關鍵安全細節。
Check Point《全球威脅影響指數》及其《ThreatCloud 路線圖》基于 Check Point ThreatCloud 情報數據撰寫而成。ThreatCloud 提供的實時威脅情報來自于部署在全球網絡、端點和移動設備上的數億個傳感器。AI 引擎和 Check Point 軟件技術公司情報與研究部門 Check Point Research 的獨家研究數據進一步豐富了這些情報內容。
關于 Check Point Research
Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領先的網絡威脅情報。Check Point 研究團隊負責收集和分析 ThreatCloud 存儲的全球網絡攻擊數據,以便在防范黑客的同時,確保所有 Check Point 產品都享有最新保護措施。此外,該團隊由 100 多名分析師和研究人員組成,能夠與其他安全廠商、執法機關及各個計算機安全應急響應組展開合作。
關于 Check Point 軟件技術有限公司
Check Point 軟件技術有限公司是一家面向全球政府和企業的領先網絡安全解決方案提供商。Check Point Infinity 解決方案組合對惡意軟件、勒索軟件及其他威脅的捕獲率處于業界領先水準,可有效保護企業和公共組織免受第五代網絡攻擊。Infinity 包含四大核心支柱,可跨企業環境提供卓越安全保護和第五代威脅防護:Check Point Harmony(面向遠程用戶);Check Point CloudGuard(自動保護云環境);Check Point Quantum(有效保護網絡邊界和數據中心);Check Point Horizon (以預防為中心的統一安全管理和防御平臺) — 所有這一切均通過業界最全面、直觀的統一安全管理進行控制。Check Point 為十萬多家各種規模的企業提供保護。
