check point research 发现,在隐匿一段时间后,emotet 僵尸网络掀起垃圾邮件攻击活动的频率激增,企图窃取银行凭证并在目标网络内部传播
近日,全球领先的网络安全凯发k8官网下载的解决方案提供商 check point® 软件技术有限公司(纳斯达克股票代码:chkp)的威胁情报部门 check point research 发布了其 2020 年 7 月最新版《全球威胁指数》报告。研究人员发现,在隐匿五个月后,emotet 现已重回指数报告排行榜首位,影响了全球 5% 的组织。
自 2020 年 2 月以来,emotets 攻击活动(主要是发送一波又一波的恶意垃圾邮件)开始放缓并最终停止,直到 7 月再度现身。2019 年曾出现过这种模式,当时 emotet 僵尸网络在夏季停止活动,但于 9 月卷土重来。
7 月,emotet 不断掀起恶意垃圾邮件攻击活动,使用 trickbot 和 qbot 感染受害者,进而窃取银行凭证并在网络内部传播。一些恶意垃圾邮件攻击活动包含名为“form.doc”或“invoice.doc”的恶意文档文件。据研究人员称,恶意文档将启动 powershell,以便从远程网站中拉取 emotet 二进制文件并感染机器,从而将其添加到僵尸网络。emotet 攻击活动卷土重来突显了全球僵尸网络的规模和强度。
check point 产品威胁情报与研究总监 maya horowitz 表示:“有趣的是,emotet 在今年早些时候短暂休眠了数月,再现了我们于 2019 年首次发现的模式。我们可以假设僵尸网络背后的开发人员正在更新其特性和功能。由于其再度活跃起来,企业应确保员工了解如何识别携带这些威胁的恶意垃圾邮件类型,并警告员工警惕打开电子邮件附件或点击外部链接的风险。此外,企业还应考虑部署反恶意软件凯发k8官网下载的解决方案,以防止此类内容到达最终用户。”
研究团队还警告称“mvpower dvr 远程执行代码”是最常被利用的漏洞,全球 44% 的组织因此遭殃,其次是“openssl tls dtls 心跳信息泄露”,影响了全球 42% 的组织。“http 载荷命令行注入”位列第三,全球影响范围为 38%。
头号恶意软件家族
* 箭头表示与上月相比的排名变化。
本月,emotet 是第一大恶意软件,全球 5% 的组织受到波及,紧随其后的是 dridex和 agent tesla,分别影响了 4% 的组织。
↑ emotet - emotet 是一种能够自我传播的高级模块化木马。emotet 最初是一种银行木马,但最近被用作其他恶意软件或恶意攻击的传播程序。它使用多种方法和规避技术来确保持久性和逃避检测。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。
↑ dridex – dridex 是一种针对 windows 平台的木马,据说通过垃圾邮件附件进行下载。dridex 不仅能够联系远程服务器并发送有关受感染系统的信息,而且还可以下载并执行从远程服务器接收的任意模块。
↓ agent tesla – agent tesla 是一种用作键盘记录器和信息窃取程序的高级 rat,能够监控和收集受害者的键盘输入与系统剪贴板、截图并盗取受害者电脑上安装的各种软件(包括 google chrome、mozilla firefox 和 microsoft outlook 电子邮件客户端)的凭证。
最常被利用的漏洞
本月,“mvpower dvr 远程执行代码”是最常被利用的漏洞,全球 44% 的组织因此遭殃,其次是“openssl tls dtls 心跳信息泄露”,影响了全球 42% 的组织。“http 载荷命令行注入”位列第三,全球影响范围为 38%。
↑ mvpower dvr 远程执行代码 - 一种存在于 mvpower dvr 设备中的远程代码执行漏洞。远程攻击者可利用此漏洞,通过精心设计的请求在受感染的路由器中执行任意代码。
↓ openssl tls dtls 心跳信息泄露(cve-2014-0160;cve-2014-0346) - 一种存在于 openssl 中的信息泄露漏洞。该漏洞是因处理 tls/dtls 心跳包时发生错误所致。攻击者可利用该漏洞泄露联网客户端或服务器的内存内容。
3. ↑ http 载荷命令行注入 – 现已发现一种 http 载荷命令行注入漏洞。远程攻击者可以通过向受害者发送特制的请求来利用此漏洞。攻击者可通过该漏洞在目标计算机上执行任意代码。
头号移动恶意软件家族
本月,xhelper 是第一大恶意软件,其次是 necro 和 preamo。
xhelper - 自 2019 年 3 月以来开始肆虐的恶意应用,用于下载其他恶意应用并显示恶意广告。该应用能够对用户隐身,并在卸载后进行自我重新安装。
necro - necro 是一种木马植入程序,可下载其他恶意软件、显示侵入性广告,并通过收取付费订阅费用骗取钱财。
preamo - preamo 是一种 android 恶意软件,通过点击从三家广告代理(presage、admob 和 mopub)检索到的横幅来模拟用户。
check point《全球威胁影响指数》及其《threatcloud 路线图》基于 check point threatcloud 情报数据撰写而成,threatcloud 是打击网络犯罪的最大协作网络,可通过全球威胁传感器网络提供威胁数据和攻击趋势。threatcloud 数据库每天检查超过 25 亿个网站和 5 亿份文件,每天识别超过 2.5 亿起恶意软件攻击活动。
如欲查看 7 月份十大恶意软件家族的完整列表,请访问 check point 博客。
关于 check point research
check point research 能够为 check point software 客户以及整个情报界提供领先的网络威胁情报。check point 研究团队负责收集和分析 threatcloud 存储的全球网络攻击数据,以便在防范黑客的同时,确保所有 check point 产品都享有最新保护措施。此外,该团队由 100 多名分析师和研究人员组成,能够与其他安全厂商、执法机关及各个计算机安全应急响应组展开合作。
关于 check point 软件技术有限公司
check point 软件技术有限公司(www.checkpoint.com) 是一家面向全球企业用户业内领先的信息安全凯发k8官网下载的解决方案提供商。check point 凯发k8官网下载的解决方案对恶意软件、勒索软件和高级目标威胁的防范率处于业界领先水准,可有效保护客户免受第五代网络攻击。check point 为业界提供前瞻性多级安全架构 infinity total protection,这一组合产品架构具备第五代高级威胁防御能力,可全面保护企业的云、网络,移动,工业互联网和iot系统。