2022年7月份惡意軟體之「十惡不赦」排行榜

依據checkpoint的官網信息，在6月 Emotet 的全球影響力達到頂峰之後，Emotet 又回到了其全球影響力數字，並繼續成為最廣泛傳播的惡意軟體。由於過去看到的暑假，高峰可能已經結束。儘管如此，Emotet 功能的新功能和改進仍在不斷被發現，例如開發了最新的信用卡竊取模塊，並對其傳播系統進行了調整。

在 7 月份，還發現憑據竊取程序 Snake Keylogger 從第三位跌至第八位。6 月，Snake Keylogger 正在通過惡意 Word 文檔傳播，因此其流行率下降的部分原因可能是微軟最近確認它將默認阻止宏。排在第三位的是 XMRig，這是一種用於挖掘加密貨幣的開源 CPU 軟體——表明網絡犯罪分子從根本上是「為了錢」，儘管他們可能聲稱有更高的動機，例如黑客行動主義。Malibot 是我們上個月報告中新增的，仍然對移動銀行用戶構成威脅，因為它仍然是全球第三大流行的移動惡意軟體。

Emotet 繼續在月度頂級惡意軟體排行榜中占據主導地位。該殭屍網絡不斷發展以保持其持久性和逃避性。最新發展包括信用卡竊取模塊，意味著企業和個人在進行任何在線購物時都必須格外小心。此外，隨著微軟現在確認默認情況下會阻止宏，等待看看諸如 Snake Keylogger 之類的惡意軟體如何改變他們的策略。

「Web 伺服器暴露的 Git 存儲庫信息泄露」是最常被利用的漏洞，影響了全球抽樣42% 的組織，緊隨其後的是「Apache Log4j 遠程代碼執行」，影響全球抽樣41%的組織。「Web Servers Malicious URL Directory Traversal」一直保持在第三位，全球抽樣影響力達到 39%。

2022年7月「十惡不赦」

*箭頭表示與上個月相比排名的變化。

Emotet仍然是傳播最廣的惡意軟體，全球影響率為 7%。緊隨其後的是Formbook，它影響了全球 3% 的組織，然後是 XMRig，具有 2% 的全球影響力。

1. ↔ Emotet – Emotet 是一種先進的、自我傳播的模塊化木馬。Emotet 曾經被用作銀行木馬，但最近被用作其他惡意軟體或惡意活動的分發者。它使用多種方法來維護持久性和規避技術以避免檢測。此外，它還可以通過包含惡意附件或連結的網絡釣魚垃圾郵件進行傳播。
2. ↔ Formbook – Formbook 是一種針對 Windows 作業系統的信息竊取程序，於 2016 年首次被發現。由於其強大的規避技術和相對較低的價格，它在地下黑客論壇中被稱為惡意軟體即服務 (MaaS)。FormBook 從各種 Web 瀏覽器中獲取憑據，收集屏幕截圖、監控和記錄擊鍵，並可以根據其 C&C 的命令下載和執行文件。
3. ↑ XMRig – XMRig 是用於挖掘 Monero 加密貨幣的開源 CPU 挖掘軟體。威脅者經常濫用這種開源軟體，將其集成到他們的惡意軟體中，在受害者的設備上進行非法挖掘。
4. ↑ Ramnit – Ramnit 是一種模塊化銀行木馬，於 2010 年首次發現。Ramnit 竊取 Web 會話信息，使其運營商能夠竊取受害者使用的所有服務的帳戶憑據。這包括銀行以及企業和社交網絡帳戶。該木馬使用硬編碼域和由 DGA（域生成算法）生成的域來聯繫 C&C 伺服器並下載其他模塊。
5. ↑ Remcos – Remcos 是一種 RAT，於 2016 年首次出現。Remcos 通過附加到垃圾郵件的惡意 Microsoft Office 文檔進行傳播。它們旨在繞過 Microsoft Windows UAC 安全並以高級權限執行惡意軟體。
6. ↑ NJRat – NJRat 是一種遠程訪問木馬，主要針對中東地區的政府機構和組織。該木馬於 2012 年首次出現，具有多種功能。其中包括捕獲擊鍵、訪問受害者的相機、竊取存儲在瀏覽器中的憑據、上傳和下載文件、執行進程和文件操作以及查看受害者的桌面。NJRat 通過網絡釣魚攻擊和偷渡式下載感染受害者，在命令與控制伺服器軟體的支持下通過受感染的 USB 密鑰或網絡驅動器進行傳播。
7. ↓ Agent Tesla – Agent Tesla 是一種高級 RAT，可用作鍵盤記錄器和信息竊取器。它能夠監控和收集受害者的鍵盤輸入、系統鍵盤、截屏並將憑據泄露到安裝在受害者機器上的各種軟體中。這包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook。
8. ↓ Snake Keylogger – Snake 是一種模塊化的 .NET 鍵盤記錄器和憑據竊取程序，於 2020 年 11 月下旬首次被發現。其主要功能是記錄用戶擊鍵並將收集到的數據傳輸給威脅參與者。它對用戶的在線安全構成重大威脅，因為該惡意軟體可以竊取幾乎所有類型的敏感信息，並且已被證明特別具有規避性。
9. ↔ Glupteba – Glupteba 是一個後門，已逐漸成熟為殭屍網絡。到 2019 年，它包括一個通過公共比特幣列表的 C&C 地址更新機制、一個完整的瀏覽器竊取功能和一個路由器漏洞利用程序。
10. ↓ Phorpiex – Phorpiex 是 2010 年首次發現的殭屍網絡（又名 Trik），在其鼎盛時期控制了超過 100 萬台受感染的主機。它以通過垃圾郵件活動分發其他惡意軟體系列以及助長大規模垃圾郵件和性勒索活動而聞名。

全球受攻擊最多的行業

教育/研究仍然是全球受到攻擊最多的行業，其次是政府/軍事和網際網路服務提供商/託管服務提供商 (ISP/MSP)。

1. 教育與研究
2. 政府/軍隊
3. ISP/MSP

7月份漏洞Top10

「Web 伺服器暴露的 Git 存儲庫信息泄露」是最常被利用的漏洞，影響了全球 42% 的組織。緊隨其後的是「Apache Log4j 遠程代碼執行」，它從第一名跌至第二名，影響略低，為 41%。「Web Servers Malicious URL Directory Traversal」一直保持在第三位，全球影響力達到 39%。

1. ↑ Web Server Exposed Git Repository Information Disclosure – Git Repository中報告了一個信息泄露漏洞。成功利用此漏洞可能會無意中泄露帳戶信息。
2. ↓ Apache Log4j 遠程代碼執行 (CVE-2021-44228) – Apache Log4j 中存在遠程代碼執行漏洞。成功利用此漏洞可能允許遠程攻擊者在受影響的系統上執行任意代碼。
3. ↔ Web 伺服器惡意 URL 目錄遍歷 (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) –那裡在不同的 Web 伺服器上存在目錄遍歷漏洞。該漏洞是由於 Web 伺服器中的輸入驗證錯誤未正確清理目錄遍歷模式的 URL。成功利用允許未經身份驗證的遠程攻擊者泄露或訪問易受攻擊的伺服器上的任意文件。
4. ↑ 通過 HTTP 進行命令注入 (CVE-2021-43936,CVE-2022-24086) –報告了通過 HTTP 的命令注入漏洞。遠程攻擊者可以通過向受害者發送特製請求來利用此問題。成功的利用將允許攻擊者在目標機器上執行任意代碼。
5. ↓ HTTP 標頭遠程代碼執行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） ——HTTP 標頭允許客戶端和伺服器通過 HTTP 請求傳遞附加信息。遠程攻擊者可能使用易受攻擊的 HTTP 標頭在受害者機器上運行任意代碼。
6. ↑ Apache Struts2 Content-Type Remote Code Execution (CVE-2015-2051) - 多個 D-Link 產品中報告了一個遠程代碼執行漏洞。成功利用可能導致在易受攻擊的設備上執行任意代碼。
7. ↔ MVPower DVR 遠程代碼執行– MVPower DVR 設備中存在遠程代碼執行漏洞。遠程攻擊者可以利用此弱點通過精心設計的請求在受影響的路由器中執行任意代碼
8. ↑ Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561) - Dasan GPON 路由器中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息並未經授權訪問受影響的系統。
9. ↓ PHPUnit 命令注入 (CVE-2017-9841) – PHPUnit 中存在命令注入漏洞。成功利用此漏洞將允許遠程攻擊者在受影響的系統中執行任意命令。

10. ↑ PHP 復活節彩蛋信息披露 - PHP 頁面中報告了一個信息披露漏洞。該漏洞是由於 Web 伺服器配置不正確造成的。遠程攻擊者可以通過向受影響的 PHP 頁面發送特製 URL 來利用此漏洞。

頂級移動惡意軟體

AlienBot是最流行的移動惡意軟體，其次是Anubis和MaliBot。

1. AlienBot – AlienBot 惡意軟體系列是用於 Android 設備的惡意軟體即服務 (MaaS)，它允許遠程攻擊者首先將惡意代碼注入合法的金融應用程式。攻擊者獲得對受害者帳戶的訪問權限，並最終完全控制他們的設備。
2. Anubis – Anubis 是專為 Android 手機設計的銀行木馬。自從最初檢測到它以來，它已經獲得了額外的功能，包括遠程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能和各種勒索軟體功能。它已在 Google 商店中的數百個不同應用程式中檢測到。
3. MaliBot – Malibot 是一種 Android 信息竊取惡意軟體，已被發現針對西班牙和義大利的用戶。信息竊取者將自己偽裝成不同名稱的加密挖掘應用程式，並專注於竊取財務信息、加密錢包和更多個人數據。