Check Point 的《全球威脅指數(shù)》報告曝光了基于云的新型加密惡意軟件。
2023 年 6 月,全球領先的網(wǎng)絡安全解決方案提供商 Check Point 軟件技術有限公司(納斯達克股票代碼:CHKP)發(fā)布了其 2023 年 5 月《全球威脅指數(shù)》報告。研究人員報告了基于 shellcode 的下載程序 GuLoader 的新版本,它是上個月第四大最猖獗的惡意軟件。憑借完全加密的有效載荷和反分析技術,新型 GuLoader 能夠存儲在包括 Google Drive 在內(nèi)的知名公有云服務中而不被發(fā)現(xiàn)。與此同時,Qbot 和 Anubis 在相應的排行榜中位列榜首,教育/研究行業(yè)仍是最常被攻擊的行業(yè)。
被網(wǎng)絡犯罪分子廣泛用于繞過殺毒檢測的 GuLoader 惡意軟件 發(fā)生了重大變化。最新的迭代采用了一種復雜的技術來替換合法進程中的代碼,可使其躲開進程監(jiān)控安全工具的檢查。有效載荷經(jīng)完全加密,隱蔽地存儲在包括 Google Drive 在內(nèi)的知名公有云服務中。這種加密、原始二進制格式以及與加載程序分離的獨特組合使殺毒程序無法發(fā)現(xiàn)有效載荷,對全球用戶和企業(yè)構(gòu)成重大威脅。
上月,Qbot 和 Anubis 也都在相應排行榜上位居榜首。盡管 Microsoft 通過阻止 Office 文件中的宏運行來減緩惡意軟件的傳播,但 Qbot 運營組織已迅速調(diào)整其散播方式。最近出現(xiàn)了一種濫用 Windows 10 寫字板程序中的動態(tài)鏈接庫 (DLL) 劫持漏洞感染計算機的新趨勢。
Check Point 軟件技術公司研究副總裁 Maya Horowitz 表示:“網(wǎng)絡犯罪分子越來越多地利用公共工具和服務散播和存儲惡意軟件。來源的可信度不再能確保完全安全。為此,企業(yè)亟需開展有關培訓以幫助其用戶及早識別可疑活動。我們強烈建議,在確認請求真實無害之前,切勿泄露個人信息或下載附件。此外,必須采用高級安全解決方案,例如 Check Point Horizon XDR/XPR,它可以有效地識別所謂的無害行為實際上是否是惡意行為,從而進一步加強針對復雜威脅的防御。”
Check Point 的指數(shù)報告顯示,教育/研究行業(yè)仍是全球網(wǎng)絡犯罪分子的首要攻擊目標。該報告還指出,“Web 服務器惡意 URL 目錄遍歷”漏洞是最常被利用的漏洞,全球 49% 的機構(gòu)因此遭殃。緊隨其后的是“Apache Log4j 遠程代碼執(zhí)行”和“HTTP 標頭遠程代碼執(zhí)行”漏洞,分別影響了全球 45% 和 44% 的機構(gòu)。
頭號惡意軟件家族
* 箭頭表示與上月相比的排名變化。
Qbot 是上個月最猖獗的惡意軟件,全球 6% 的機構(gòu)受到波及,其次是 Formbook 和 AgentTesla,分別影響了全球 5% 和 3% 的機構(gòu)。
1、↑ Qbot - Qbot(又名 Qakbot)是一種多用途惡意軟件,于 2008 年首次出現(xiàn),旨在竊取用戶憑證、記錄擊鍵次數(shù)、從瀏覽器中竊取 cookie、監(jiān)視用戶的銀行業(yè)務操作,并部署更多惡意軟件。Qbot 通常通過垃圾郵件傳播,采用多種反 VM、反調(diào)試和反沙盒手段來阻礙分析和逃避檢測。從 2022 年開始,它成為最猖獗的木馬之一。
2、↑ Formbook – Formbook 是針對 Windows 操作系統(tǒng)的信息竊取程序,于 2016 年首次被發(fā)現(xiàn)。由于其強大的規(guī)避技術和相對較低的價格,它在地下黑客論壇中作為惡意軟件即服務 (MaaS) 進行出售。Formbook 可從各種 Web 瀏覽器中獲取憑證、收集截圖、監(jiān)控和記錄擊鍵次數(shù),并按照其 C&C 命令下載和執(zhí)行文件。
3、↓AgentTesla – AgentTesla 是一種用作鍵盤記錄器和信息竊取程序的高級 RAT,能夠監(jiān)控和收集受害者的鍵盤輸入與系統(tǒng)剪貼板、截圖并盜取受害者電腦上安裝的各種軟件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端)的證書。
主要移動惡意軟件
上月,Anubis 躍居最猖獗的移動惡意軟件榜首,其次是 AhMyth 和 Hiddad。
1、Anubis – Anubis 是一種專為 Android 手機設計的銀行木馬惡意軟件。自最初檢測到以來,它已經(jīng)具有一些額外的功能,包括遠程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數(shù)百款不同應用中均已檢測到該銀行木馬。
2、AhMyth – AhMyth 是一種遠程訪問木馬 (RAT),于 2017 年被發(fā)現(xiàn),可通過應用商店和各種網(wǎng)站上的 Android 應用進行傳播。當用戶安裝這些受感染的應用后,該惡意軟件便可從設備收集敏感信息,并執(zhí)行鍵盤記錄、屏幕截圖、發(fā)送短信和激活攝像頭等操作,這些操作通常用于竊取敏感信息。
3、Hiddad - Hiddad 是一種 Android 惡意軟件,能夠?qū)戏☉眠M行重新打包,然后將其發(fā)布到第三方商店。其主要功能是顯示廣告,但它也可以訪問操作系統(tǒng)內(nèi)置的關鍵安全細節(jié)。
Check Point《全球威脅影響指數(shù)》及其《ThreatCloud 路線圖》基于 Check Point ThreatCloud AI(Check Point 安全系統(tǒng)背后的大腦)撰寫而成。ThreatCloud AI 提供的實時威脅情報來自于部署在全球網(wǎng)絡、端點和移動設備上的數(shù)億個傳感器。超過 40 項 AI 和機器學習技術(可識別并攔截新興威脅)和 Check Point 軟件技術公司情報與研究部門 Check Point Research 的獨家研究數(shù)據(jù)進一步豐富了這些情報內(nèi)容。
如欲查看 5 月份十大惡意軟件家族的完整列表,請訪問 Check Point 博客。
關于 Check Point Research
Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領先的網(wǎng)絡威脅情報。Check Point 研究團隊負責收集和分析 ThreatCloud 存儲的全球網(wǎng)絡攻擊數(shù)據(jù),以便在防范黑客的同時,確保所有 Check Point 產(chǎn)品都享有最新保護措施。此外,該團隊由 100 多名分析師和研究人員組成,能夠與其他安全廠商、執(zhí)法機關及各個計算機安全應急響應組展開合作。
關于 Check Point 軟件技術有限公司
Check Point 軟件技術有限公司是一家面向全球政府和企業(yè)的領先網(wǎng)絡安全解決方案提供商。Check Point Infinity 解決方案組合對惡意軟件、勒索軟件及其他威脅的捕獲率處于業(yè)界領先水準,可有效保護企業(yè)和公共組織免受第五代網(wǎng)絡攻擊。Infinity 包含四大核心支柱,可跨企業(yè)環(huán)境提供卓越安全保護和第五代威脅防護:Check Point Harmony(面向遠程用戶);Check Point CloudGuard(自動保護云環(huán)境);Check Point Quantum(有效保護網(wǎng)絡邊界和數(shù)據(jù)中心);Check Point Horizon (以預防為中心的統(tǒng)一安全管理和防御平臺) — 所有這一切均通過業(yè)界最全面、直觀的統(tǒng)一安全管理進行控制。Check Point 為十萬多家各種規(guī)模的企業(yè)提供保護。
