4000-110-253
2020 年 11 月頭号惡意軟件:臭名昭著的 Phorpiex 僵屍網絡再度成為(wèi)影(yǐng)響範圍最大(dà)的感染病毒. 2020-12-17
全球領先網絡安全解決方案提供商 Check Point® 軟件技(jì)術(shù)有(yǒu)限公司(納斯達克股票(piào)代碼:CHKP)的威脅情報部門(mén) Check Point Research 發布了 2020 年 11 月最新版《全球威脅指數(shù)》報告。該報告顯示,臭名昭著的 Phorpiex 僵屍網絡的感染率激增,成為(wèi)本月最猖獗的惡意軟件,影(yǐng)響了全球 4% 的組織。Phorpiex 最近一次出現在威脅指數(shù)榜單前 10 名是在今年 6 月。
Phorpiex 僵屍網絡于 2010 年首次發現,并在其巅峰時(shí)期控制(zhì)了超過一百萬台受感染主機。Phorpiex 因通(tōng)過垃圾郵件分發其他惡意軟件家(jiā)族并助長大(dà)規模“性勒索”垃圾郵件攻擊活動和(hé)加密貨币挖礦而廣為(wèi)人(rén)知,正如 Check Point 研究人(rén)員在今年早些(xiē)時(shí)候的最初報告,該僵屍網絡正再度分發 Avaddon 勒索軟件。Avaddon 是一種相對較新的勒索軟件即服務 (RaaS) 變體(tǐ),其攻擊者再次招募同夥來(lái)分發勒索軟件并從中抽取利潤。在惡意垃圾郵件攻擊活動中,Avaddon 通(tōng)過 JS 和(hé) Excel 文件進行(xíng)分發,并能夠加密各種文件類型。
Check Point 産品威脅情報與研究總監 Maya Horowitz 表示:“Phorpiex 是最早、最頑固的僵屍網絡之一,多(duō)年來(lái)一直被創建者用于分發 GandCrab 和(hé) Avaddon 勒索軟件等其他惡意軟件有(yǒu)效載荷,或實施性勒索欺詐。此次新一波病毒感染正在傳播另一場(chǎng)勒索軟件攻擊活動,這足以揭示 Phorpiex 工具的破壞性。組織應确保員工了解如何識别潛在的惡意垃圾郵件,并警惕打開(kāi)電(diàn)子郵件随附的未知附件,即使其似乎來(lái)自可(kě)靠來(lái)源。此外,組織還(hái)應确保部署安全防禦措施,以主動防止上(shàng)述威脅感染其網絡。”
研究團隊還(hái)警告稱,“HTTP 标頭遠程代碼執行(xíng) (CVE-2020-13756)”是最常被利用的漏洞,全球 54% 的組織因此遭殃,其次是“MVPower DVR 遠程代碼執行(xíng)”和(hé)“Dasan GPON 路由器(qì)身份驗證繞過 (CVE-2018-10561)”,兩者分别影(yǐng)響了全球 48% 和(hé) 44% 的組織。
頭号惡意軟件家(jiā)族
* 箭頭表示與上(shàng)月相比的排名變化。
Phorpiex 是本月最活躍的惡意軟件,影(yǐng)響了全球 4% 的組織,緊随其後的是 Dridex 和(hé) Hiddad,兩者均影(yǐng)響了全球 3% 的組織。
↑ Phorpiex - Phorpiex 是一種僵屍網絡,因通(tōng)過垃圾郵件攻擊活動分發其他惡意軟件家(jiā)族并助長大(dà)規模性勒索攻擊活動而廣為(wèi)人(rén)知。
↑ Dridex - Dridex 是一種針對 Windows 平台的木馬,據稱可(kě)通(tōng)過垃圾郵件附件下載。Dridex 不僅能夠聯系遠程服務器(qì)并發送有(yǒu)關受感染系統的信息,而且還(hái)可(kě)以下載并執行(xíng)從遠程服務器(qì)接收的任意模塊。
↔ Hiddad - Hiddad 是一種 Android 惡意軟件感染工具,能夠對合法移動應用進行(xíng)重新打包,然後将其發布到第三方商店(diàn)。其主要功能是顯示廣告,但(dàn)它也可(kě)以訪問操作(zuò)系統內(nèi)置的關鍵安全細節。
最常被利用的漏洞
本月,“HTTP 标頭遠程代碼執行(xíng) (CVE-2020-13756)”是最常被利用的漏洞,全球 54% 的組織因此遭殃,其次是“MVPower DVR 遠程代碼執行(xíng)”和(hé)“Dasan GPON 路由器(qì)身份驗證繞過 (CVE-2018-10561)”,兩者分别影(yǐng)響了全球 48% 和(hé) 44% 的組織。
↑HTTP 标頭遠程代碼執行(xíng) (CVE-2020-13756) - HTTP 标頭允許客戶端和(hé)服務器(qì)傳遞帶 HTTP 請(qǐng)求的其他信息。遠程攻擊者可(kě)能會(huì)使用存在漏洞的 HTTP 标頭在受感染機器(qì)上(shàng)運行(xíng)任意代碼。
↓ MVPower DVR 遠程代碼執行(xíng) - 一種存在于 MVPower DVR 設備中的遠程代碼執行(xíng)漏洞。遠程攻擊者可(kě)利用此漏洞,通(tōng)過精心設計(jì)的請(qǐng)求在受感染的路由器(qì)中執行(xíng)任意代碼。
↓ Dasan GPON 路由器(qì)身份驗證繞過 (CVE-2018-10561) – 一種存在于 Dasan GPON 路由器(qì)中的身份驗證繞過漏洞。遠程攻擊者可(kě)利用此漏洞獲取敏感信息,并在不經授權的情況下訪問受感染系統。
主要移動惡意軟件
Hiddad 仍然是本月最猖獗的移動惡意軟件,其次是 xHelper 和(hé) Lotoor。
1. Hiddad — Hiddad 是一種 Android 惡意軟件感染工具,能夠對合法應用進行(xíng)重新打包,然後将其發布到第三方商店(diàn)。其主要功能是顯示廣告,但(dàn)它也可(kě)以訪問操作(zuò)系統內(nèi)置的關鍵安全細節。
2. xHelper — xHelper 是自 2019 年 3 月以來(lái)開(kāi)始活躍的惡意應用,用于下載其他惡意應用和(hé)顯示惡意廣告。該應用能夠對用戶隐身,并在卸載後進行(xíng)自我重新安裝。
3. Lotoor — Lotoor 是一種黑(hēi)客工具,能夠利用 Android 操作(zuò)系統漏洞在入侵的移動設備上(shàng)獲得(de)根權限。
Check Point《全球威脅影(yǐng)響指數(shù)》及其《ThreatCloud 路線圖》基于 Check Point ThreatCloud 情報數(shù)據撰寫而成,ThreatCloud 是打擊網絡犯罪的最大(dà)協作(zuò)網絡,可(kě)通(tōng)過全球威脅傳感器(qì)網絡提供威脅數(shù)據和(hé)攻擊趨勢。ThreatCloud 數(shù)據庫每天檢查超過 25 億個(gè)網站(zhàn)和(hé) 5 億份文件,每天識别超過 2.5 億起惡意軟件攻擊活動。
轉自至頂網/Check Point
