2021年2月头号恶意软件:Trickbot 取代 Emotet 的位置
2021-03-22
Check Point Research 报告指出,在1月份国际警察联合行动控制了 Emotet 后,网络犯罪分子转而利用 Trickbot 来维持其恶意活动。
2021年3月,全球网络安全解决方案提供商CheckPoint软件技术有限公司的威胁情报部门CheckPointResearch发布了2021年2月最新版《全球威胁指数》报告。研究人员报告称,Trickbot木马从1月份的指数排行榜第三位首次跃升至榜首。
CheckPoint研究人员报告称,在1月份Emotet僵尸网络遭到打击后,网络犯罪团伙目前正利用Trickbot等恶意软件变换新手法,继续实施其恶意活动。2月,Trickbot通过恶意垃圾邮件攻击活动进行传播,旨在诱骗法律和保险领域用户将带有恶意JavaScript文件的.zip存档文件下载至其PC上。打开该文件后,它将尝试从远程服务器下载其他恶意有效负载。
Trickbot是2020年全球第四大常见的恶意软件,影响了8%的组织。它在2020年造成严重损失的最重大网络攻击之一中发挥了关键作用。在此次事件中,美国领先的医疗保健服务提供商-环球健康服务公司(UHS)遭到了Ryuk勒索软件的攻击,并表示这场攻击造成的收成和成本损失为6700万美元。攻击者使用Trickbot从UHS的系统中检测并收集数据,然后发送勒索软件有效负载。
CheckPoint产品威胁情报与研究总监MayaHorowitz表示:"犯罪分子将继续使用现有威胁手段和工具,Trickbot因其多功能性及以往的攻击战果而获得青睐。正如我们所猜想的那样,即便某一重大威胁被消除,还会有许多其他威胁继续对全球网络构成高风险,因此组织必须确保采用强大的安全系统来防止其网络遭到入侵,并将风险降至最低。对所有员工进行全面培训至关重要,这样他们才能够掌握所需技能,从而准确识别传播Trickbot及其他恶意软件的恶意电子邮件类型。"
CheckPointResearch还警告称,"WebServerExposedGit存储库信息泄露"是最常被利用的漏洞,全球48%的组织因此遭殃,其次是"HTTP标头远程代码执行(CVE-2020-13756)",影响了全球46%的组织。"MVPowerDVR远程代码执行"在最常被利用的漏洞排行榜中位列第三,全球影响范围为45%。
头号恶意软件家族
*箭头表示与上月相比的排名变化
Trickbot是本月最活跃的恶意软件,影响了全球3%的组织,紧随其后的是XMRig和Qbot,分别影响了全球3%的组织。
1.↑Trickbot-Trickbot是一种使用广泛的僵尸网络和银行木马,不断添加新的功能、特性和传播向量。这让它成为一种灵活的可自定义的恶意软件,广泛用于多目的攻击活动。
2.↑XMRig-XMRig是一种开源CPU挖矿软件,用于门罗币加密货币的挖掘,2017年5月首次现身。
3.↑Qbot-Qbot是于2008年首次出现的银行木马,旨在窃取用户银行凭据和击键纪录。Qbot通常通过垃圾邮件传播,采用多种反VM、反调试和反沙盒手段来阻碍分析和逃避检测。
最常被利用的漏洞
本月,"WebServerExposedGit存储库信息泄露"是最常被利用的漏洞,全球48%的组织因此遭殃,其次是"HTTP标头远程代码执行(CVE-2020-13756)",影响了全球46%的组织。"MVPowerDVR远程代码执行"在最常被利用的漏洞排行榜中位列第三,全球影响范围为45%。
1.↑WebServerExposedGit存储库信息泄露-Git存储库报告的一个信息泄露漏洞。攻击者一旦成功利用该漏洞,便会使用户在无意间造成帐户信息泄露。
2.HTTP标头远程代码执行(CVE-2020-13756)-HTTP标头允许客户端和服务器传递带HTTP请求的其他信息。远程攻击者可能会使用存在漏洞的HTTP标头在受感染机器上运行任意代码。
3.↓MVPowerDVR远程代码执行-一种存在于MVPowerDVR设备中的远程代码执行漏洞。远程攻击者可利用此漏洞,通过精心设计的请求在受感染的路由器中执行任意代码。
主要移动恶意软件
本月,Hiddad位列最猖獗的移动恶意软件榜首,其次是xHelper和FurBall。
1.Hiddad-Hiddad是一种Android恶意软件,能够对合法应用进行重新打包,然后将其发布到第三方商店。其主要功能是显示广告,但它也可以访问操作系统内置的关键安全细节。
2.xHelper-自2019年3月以来开始肆虐的恶意应用,用于下载其他恶意应用并显示恶意广告。该应用能够对用户隐身,并在卸载后进行自我重新安装。
3.FurBall-FurBall是一种AndroidMRAT(移动远程访问木马),由与伊朗政府存在关联的伊朗APT组织APT-C-50部署。该恶意软件早在2017年的多起攻击活动中便已使用,至今仍然活跃。FurBall的功能包括窃取短信、通话日志、环绕声录音、通话记录、媒体文件收集、位置跟踪等。
CheckPoint《全球威胁影响指数》及其《ThreatCloud路线图》基于CheckPointThreatCloud情报数据撰写而成,ThreatCloud是打击网络犯罪的最大协作网络,可通过全球威胁传感器网络提供威胁数据和攻击趋势。ThreatCloud数据库每天检查超过30亿个网站和6亿份文件,每天识别超过2.5亿起恶意软件攻击活动。
CheckPoint研究人员报告称,在1月份Emotet僵尸网络遭到打击后,网络犯罪团伙目前正利用Trickbot等恶意软件变换新手法,继续实施其恶意活动。2月,Trickbot通过恶意垃圾邮件攻击活动进行传播,旨在诱骗法律和保险领域用户将带有恶意JavaScript文件的.zip存档文件下载至其PC上。打开该文件后,它将尝试从远程服务器下载其他恶意有效负载。
Trickbot是2020年全球第四大常见的恶意软件,影响了8%的组织。它在2020年造成严重损失的最重大网络攻击之一中发挥了关键作用。在此次事件中,美国领先的医疗保健服务提供商-环球健康服务公司(UHS)遭到了Ryuk勒索软件的攻击,并表示这场攻击造成的收成和成本损失为6700万美元。攻击者使用Trickbot从UHS的系统中检测并收集数据,然后发送勒索软件有效负载。
CheckPoint产品威胁情报与研究总监MayaHorowitz表示:"犯罪分子将继续使用现有威胁手段和工具,Trickbot因其多功能性及以往的攻击战果而获得青睐。正如我们所猜想的那样,即便某一重大威胁被消除,还会有许多其他威胁继续对全球网络构成高风险,因此组织必须确保采用强大的安全系统来防止其网络遭到入侵,并将风险降至最低。对所有员工进行全面培训至关重要,这样他们才能够掌握所需技能,从而准确识别传播Trickbot及其他恶意软件的恶意电子邮件类型。"
CheckPointResearch还警告称,"WebServerExposedGit存储库信息泄露"是最常被利用的漏洞,全球48%的组织因此遭殃,其次是"HTTP标头远程代码执行(CVE-2020-13756)",影响了全球46%的组织。"MVPowerDVR远程代码执行"在最常被利用的漏洞排行榜中位列第三,全球影响范围为45%。
头号恶意软件家族
*箭头表示与上月相比的排名变化
Trickbot是本月最活跃的恶意软件,影响了全球3%的组织,紧随其后的是XMRig和Qbot,分别影响了全球3%的组织。
1.↑Trickbot-Trickbot是一种使用广泛的僵尸网络和银行木马,不断添加新的功能、特性和传播向量。这让它成为一种灵活的可自定义的恶意软件,广泛用于多目的攻击活动。
2.↑XMRig-XMRig是一种开源CPU挖矿软件,用于门罗币加密货币的挖掘,2017年5月首次现身。
3.↑Qbot-Qbot是于2008年首次出现的银行木马,旨在窃取用户银行凭据和击键纪录。Qbot通常通过垃圾邮件传播,采用多种反VM、反调试和反沙盒手段来阻碍分析和逃避检测。
最常被利用的漏洞
本月,"WebServerExposedGit存储库信息泄露"是最常被利用的漏洞,全球48%的组织因此遭殃,其次是"HTTP标头远程代码执行(CVE-2020-13756)",影响了全球46%的组织。"MVPowerDVR远程代码执行"在最常被利用的漏洞排行榜中位列第三,全球影响范围为45%。
1.↑WebServerExposedGit存储库信息泄露-Git存储库报告的一个信息泄露漏洞。攻击者一旦成功利用该漏洞,便会使用户在无意间造成帐户信息泄露。
2.HTTP标头远程代码执行(CVE-2020-13756)-HTTP标头允许客户端和服务器传递带HTTP请求的其他信息。远程攻击者可能会使用存在漏洞的HTTP标头在受感染机器上运行任意代码。
3.↓MVPowerDVR远程代码执行-一种存在于MVPowerDVR设备中的远程代码执行漏洞。远程攻击者可利用此漏洞,通过精心设计的请求在受感染的路由器中执行任意代码。
主要移动恶意软件
本月,Hiddad位列最猖獗的移动恶意软件榜首,其次是xHelper和FurBall。
1.Hiddad-Hiddad是一种Android恶意软件,能够对合法应用进行重新打包,然后将其发布到第三方商店。其主要功能是显示广告,但它也可以访问操作系统内置的关键安全细节。
2.xHelper-自2019年3月以来开始肆虐的恶意应用,用于下载其他恶意应用并显示恶意广告。该应用能够对用户隐身,并在卸载后进行自我重新安装。
3.FurBall-FurBall是一种AndroidMRAT(移动远程访问木马),由与伊朗政府存在关联的伊朗APT组织APT-C-50部署。该恶意软件早在2017年的多起攻击活动中便已使用,至今仍然活跃。FurBall的功能包括窃取短信、通话日志、环绕声录音、通话记录、媒体文件收集、位置跟踪等。
CheckPoint《全球威胁影响指数》及其《ThreatCloud路线图》基于CheckPointThreatCloud情报数据撰写而成,ThreatCloud是打击网络犯罪的最大协作网络,可通过全球威胁传感器网络提供威胁数据和攻击趋势。ThreatCloud数据库每天检查超过30亿个网站和6亿份文件,每天识别超过2.5亿起恶意软件攻击活动。
责任编辑:刘沙
专题
最新发布