โพสต์

บทสรุปของบรรณาธิการ: เมื่อเราคิดว่า Emotet botnet เป็นยุคก่อนดูเหมือนว่าจะเด้งกลับมา นี่เป็นคำเตือนที่เป็นธรรมสำหรับผู้ปฏิบัติงานด้านความปลอดภัยทางไซเบอร์ว่าผู้ไม่ประสงค์ดีมักจะพยายามครั้งแล้วครั้งเล่าอย่างไม่ลดละเพื่อทำลายล้างเครือข่ายและระบบของเรา ข่าวประชาสัมพันธ์ของผู้จำหน่ายอยู่ด้านล่าง

มัลแวร์ที่เป็นที่ต้องการตัวมากที่สุดในเดือนกรกฎาคมปี 2020: Emotet จะกลับมาอีกครั้งหลังจากหายไป XNUMX เดือน

การวิจัยจุดตรวจพบว่า Emotet botnet แพร่กระจายแคมเปญสแปมเพิ่มขึ้นอย่างรวดเร็วหลังจากไม่มีการใช้งานโดยมีเป้าหมายเพื่อขโมยข้อมูลประจำตัวของธนาคารและแพร่กระจายภายในเครือข่ายเป้าหมาย

สิงคโปร์, @mcgallen #microwireข้อมูล 11 สิงหาคม 2020 - การวิจัยจุดตรวจสอบหน่วยข่าวกรองภัยคุกคามของ Check Point® Software Technologies Ltd. (NASDAQ: CHKP) ซึ่งเป็นผู้ให้บริการโซลูชั่นความปลอดภัยทางไซเบอร์ชั้นนำทั่วโลกได้เผยแพร่ดัชนีภัยคุกคามทั่วโลกล่าสุดสำหรับเดือนกรกฎาคม 2020 นักวิจัยพบว่าหลังจากห่างหายไป 1 เดือน Emotet ก็กลับมาเป็นที่ 5 ในดัชนีซึ่งส่งผลกระทบถึง XNUMX% ขององค์กรทั่วโลก

ตั้งแต่เดือนกุมภาพันธ์ 2020 กิจกรรมของ Emotet ซึ่งส่วนใหญ่เป็นการส่งต่อแคมเปญ malspam เริ่มชะลอตัวลงและหยุดลงในที่สุดจนกระทั่งเกิดขึ้นอีกครั้งในเดือนกรกฎาคม รูปแบบนี้พบในปี 2019 เมื่อ Emotet botnet หยุดทำกิจกรรมในช่วงฤดูร้อน แต่กลับมาดำเนินการต่อในเดือนกันยายน

ในเดือนกรกฎาคม Emotet กำลังแพร่กระจายแคมเปญ malspam ทำให้เหยื่อติดเชื้อด้วย TrickBot และ Qbot ซึ่งใช้เพื่อขโมยข้อมูลประจำตัวของธนาคารและแพร่กระจายภายในเครือข่าย แคมเปญ malspam บางแคมเปญมีไฟล์ doc ที่เป็นอันตรายซึ่งมีชื่อเช่น“ form.doc” หรือ“ invoice.doc” ตามที่นักวิจัยระบุว่าเอกสารที่เป็นอันตรายได้เปิดตัว PowerShell เพื่อดึง Emotet binary จากเว็บไซต์ระยะไกลและติดเครื่องเพิ่มเข้าไปในบ็อตเน็ต การเริ่มต้นใหม่ของกิจกรรมของ Emotet จะเน้นถึงขนาดและพลังของบ็อตเน็ตทั่วโลก

“ เป็นเรื่องน่าสนใจที่ Emotet อยู่เฉยๆเป็นเวลาหลายเดือนเมื่อต้นปีนี้โดยทำซ้ำรูปแบบที่เราสังเกตเห็นครั้งแรกในปี 2019 เราสามารถสันนิษฐานได้ว่านักพัฒนาที่อยู่เบื้องหลังบ็อตเน็ตกำลังอัปเดตคุณสมบัติและความสามารถของมัน แต่เมื่อมีการใช้งานอีกครั้งองค์กรควรให้ความรู้แก่พนักงานเกี่ยวกับวิธีระบุประเภทของ malspam ที่มีภัยคุกคามเหล่านี้และเตือนเกี่ยวกับความเสี่ยงในการเปิดไฟล์แนบอีเมลหรือคลิกลิงก์จากแหล่งภายนอก นอกจากนี้ธุรกิจควรพิจารณาถึงการปรับใช้โซลูชันป้องกันมัลแวร์ที่สามารถป้องกันไม่ให้เนื้อหาดังกล่าวเข้าถึงผู้ใช้ปลายทางได้” Maya Horowitz ผู้อำนวยการหน่วยข่าวกรองและวิจัยภัยคุกคามผลิตภัณฑ์ของ Check Point กล่าว

ทีมวิจัยยังเตือนด้วยว่า“ MVPower DVR Remote Code Execution” เป็นช่องโหว่ที่ถูกใช้บ่อยที่สุดซึ่งส่งผลกระทบต่อ 44% ขององค์กรทั่วโลกตามด้วย“ OpenSSL TLS DTLS Heartbeat Information Disclosure” ซึ่งส่งผลกระทบ 42% ขององค์กรทั่วโลก “ Command Injection Over HTTP Payload” อยู่ในอันดับที่ 38 โดยมีผลกระทบทั่วโลก XNUMX%

ตระกูลมัลแวร์อันดับต้น ๆ

* ลูกศรเกี่ยวข้องกับการเปลี่ยนแปลงอันดับเมื่อเทียบกับเดือนก่อนหน้า

เดือนนี้ Emotet เป็นมัลแวร์ที่ได้รับความนิยมมากที่สุดโดยมีผลกระทบทั่วโลก 5% ขององค์กรตามด้วย Dridex และ Agent Tesla ที่มีผลต่อ 4% ของแต่ละองค์กร

  1. ↑ อีโมเท็ต - Emotet เป็นโทรจันขั้นสูงที่แพร่กระจายตัวเองและโมดูลาร์ Emotet เดิมเป็นโทรจันของธนาคาร แต่เพิ่งถูกใช้เป็นตัวแทนจำหน่ายมัลแวร์หรือแคมเปญที่เป็นอันตรายอื่น ๆ ใช้หลายวิธีในการรักษาความคงอยู่และเทคนิคการหลบหลีกเพื่อหลีกเลี่ยงการตรวจจับ นอกจากนี้ยังสามารถแพร่กระจายผ่านอีเมลสแปมฟิชชิ่งที่มีไฟล์แนบหรือลิงก์ที่เป็นอันตราย
  2. ↑ ไดรเดกซ์ - Dridex เป็นโทรจันที่กำหนดเป้าหมายไปที่แพลตฟอร์ม Windows และมีรายงานว่าดาวน์โหลดผ่านไฟล์แนบอีเมลขยะ Dridex ติดต่อเซิร์ฟเวอร์ระยะไกลและส่งข้อมูลเกี่ยวกับระบบที่ติดไวรัส นอกจากนี้ยังสามารถดาวน์โหลดและเรียกใช้โมดูลตามอำเภอใจที่ได้รับจากเซิร์ฟเวอร์ระยะไกล
  3. ↓ตัวแทนเทสลา - Agent Tesla เป็น RAT ขั้นสูงที่ทำหน้าที่เป็น keylogger และผู้ขโมยข้อมูลที่สามารถตรวจสอบและรวบรวมข้อมูลแป้นพิมพ์ของเหยื่อคลิปบอร์ดของระบบการจับภาพหน้าจอและการกรองข้อมูลรับรองที่เป็นของซอฟต์แวร์ต่างๆที่ติดตั้งบนเครื่องของเหยื่อ (รวมถึง Google Chrome, ไคลเอนต์อีเมล Mozilla Firefox และ Microsoft Outlook)

ช่องโหว่ยอดนิยม

เดือนนี้“ MVPower DVR Remote Code Execution” เป็นช่องโหว่ที่ถูกใช้บ่อยที่สุดซึ่งส่งผลกระทบต่อองค์กรทั่วโลกถึง 44% ตามด้วย“ OpenSSL TLS DTLS Heartbeat Information Disclosure” ซึ่งส่งผลกระทบ 42% ขององค์กรทั่วโลก “ Command Injection Over HTTP Payload” อยู่ในอันดับที่ 38 โดยมีผลกระทบทั่วโลก XNUMX%

  1. ↑การดำเนินการรหัสระยะไกล MVPower DVR - ช่องโหว่การเรียกใช้รหัสระยะไกลที่มีอยู่ในอุปกรณ์ MVPower DVR ผู้โจมตีระยะไกลสามารถใช้ประโยชน์จากจุดอ่อนนี้เพื่อเรียกใช้รหัสตามอำเภอใจในเราเตอร์ที่ได้รับผลกระทบผ่านคำขอที่สร้างขึ้น
  2. ↓การเปิดเผยข้อมูล OpenSSL TLS DTLS Heartbeat (CVE-2014-0160; CVE-2014-0346) - ช่องโหว่ในการเปิดเผยข้อมูลที่มีอยู่ใน OpenSSL ช่องโหว่นี้เกิดจากข้อผิดพลาดเมื่อจัดการกับแพ็กเก็ตการเต้นของหัวใจ TLS / DTLS ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อเปิดเผยเนื้อหาหน่วยความจำของไคลเอนต์หรือเซิร์ฟเวอร์ที่เชื่อมต่อ
  3. ↑ Command Injection ผ่าน HTTP Payload - มีการรายงานการแทรกคำสั่งเหนือช่องโหว่ของเพย์โหลด HTTP ผู้โจมตีระยะไกลสามารถใช้ประโยชน์จากปัญหานี้ได้โดยส่งคำขอที่ออกแบบมาเป็นพิเศษไปยังเหยื่อ การหาประโยชน์ที่ประสบความสำเร็จจะทำให้ผู้โจมตีสามารถเรียกใช้รหัสบนเครื่องเป้าหมายได้ตามอำเภอใจ

ตระกูลมัลแวร์มือถืออันดับต้น ๆ

เดือนนี้ xHelper เป็นมัลแวร์ที่ได้รับความนิยมมากที่สุดตามด้วย Necro และ PreAMo

  1. xHelper - แอปพลิเคชันที่เป็นอันตรายซึ่งพบเห็นได้ทั่วไปตั้งแต่เดือนมีนาคม 2019 ใช้สำหรับดาวน์โหลดแอปที่เป็นอันตรายอื่น ๆ และแสดงโฆษณา แอปพลิเคชันสามารถซ่อนตัวเองจากผู้ใช้และติดตั้งตัวเองใหม่ในกรณีที่ถูกถอนการติดตั้ง
  2. Necro - Necro เป็น Android Trojan Dropper สามารถดาวน์โหลดมัลแวร์อื่น ๆ แสดงโฆษณาที่ล่วงล้ำและขโมยเงินโดยเรียกเก็บเงินจากการสมัครสมาชิกแบบชำระเงิน
  3. ปรีโม - PreAmo เป็นมัลแวร์ Android เลียนแบบผู้ใช้โดยคลิกที่แบนเนอร์ที่ดึงมาจากเอเจนซี่โฆษณาสามแห่ง ได้แก่ Presage, Admob และ Mopub

ดัชนีผลกระทบภัยคุกคามทั่วโลกของ Check Point และ ThreatCloud Map ขับเคลื่อนโดยหน่วยสืบราชการลับ ThreatCloud ของ Check Point ซึ่งเป็นเครือข่ายความร่วมมือที่ใหญ่ที่สุดในการต่อสู้กับอาชญากรรมทางไซเบอร์ซึ่งให้ข้อมูลภัยคุกคามและแนวโน้มการโจมตีจากเครือข่ายเซ็นเซอร์ภัยคุกคามทั่วโลก ฐานข้อมูล ThreatCloud ตรวจสอบเว็บไซต์กว่า 2.5 พันล้านไฟล์และ 500 ล้านไฟล์ต่อวันและระบุกิจกรรมมัลแวร์มากกว่า 250 ล้านรายการทุกวัน

รายชื่อตระกูลมัลแวร์ 10 อันดับแรกทั้งหมดในเดือนกรกฎาคมมีอยู่ใน ตรวจสอบจุดบล็อก.

แหล่งข้อมูลการป้องกันภัยคุกคามของ Check Point มีอยู่ที่  http://www.checkpoint.com/threat-prevention-resources/index.html

เกี่ยวกับ Check Point Research
Check Point Research นำเสนอข่าวกรองภัยคุกคามทางไซเบอร์ชั้นนำ Check Point Software ลูกค้าและชุมชนข่าวกรองที่ยิ่งใหญ่กว่า ทีมวิจัยรวบรวมและวิเคราะห์ข้อมูลการโจมตีทางไซเบอร์ทั่วโลกที่จัดเก็บบน ThreatCloud เพื่อป้องกันไม่ให้แฮกเกอร์สามารถเข้าถึงได้ในขณะเดียวกันก็ตรวจสอบให้แน่ใจว่าผลิตภัณฑ์ Check Point ทั้งหมดได้รับการอัปเดตด้วยการป้องกันล่าสุด ทีมวิจัยประกอบด้วยนักวิเคราะห์และนักวิจัยกว่า 100 คนที่ร่วมมือกับผู้ขายความปลอดภัยอื่น ๆ การบังคับใช้กฎหมายและ CERT ต่างๆ

ติดตาม Check Point Research ได้ทาง:

เกี่ยวกับเรา Check Point Software เทคโนโลยี จำกัด
Check Point Software Technologies Ltd. (www.checkpoint.com) เป็นผู้ให้บริการโซลูชั่นด้านความปลอดภัยทางไซเบอร์ชั้นนำให้กับรัฐบาลและองค์กรต่างๆทั่วโลก โซลูชันของ Check Point ปกป้องลูกค้าจากการโจมตีทางไซเบอร์รุ่นที่ 5 ด้วยอัตราการจับมัลแวร์แรนซัมแวร์และภัยคุกคามขั้นสูงที่เป็นเป้าหมายในอุตสาหกรรม Check Point นำเสนอสถาปัตยกรรมการรักษาความปลอดภัยหลายระดับ“ Infinity Total Protection พร้อมการป้องกันภัยคุกคามขั้นสูง Gen V” สถาปัตยกรรมผลิตภัณฑ์แบบผสมผสานนี้ปกป้องระบบคลาวด์เครือข่ายและอุปกรณ์พกพาขององค์กร Check Point ให้ระบบการจัดการความปลอดภัยในการควบคุมจุดเดียวที่ครอบคลุมและใช้งานง่ายที่สุด Check Point ปกป้องมากกว่า 100,000 องค์กรทุกขนาด

# # #