บทสรุปของบรรณาธิการ: เป็นช่วงเวลาของเดือนอีกครั้งเมื่อ Check Point ของผู้ให้บริการความปลอดภัยทางไซเบอร์เผยแพร่รายงานมัลแวร์รายเดือนสำหรับเดือนพฤศจิกายน 2020 รายงานดังกล่าวกล่าวถึงการโจมตีที่เพิ่มขึ้นโดยใช้บ็อตเน็ต Phorpiex ซึ่งจะส่งแรนซัมแวร์ในแคมเปญสแปมที่เป็นอันตราย รุ่นของผู้จำหน่ายอยู่ด้านล่าง

มัลแวร์ที่ต้องการตัวมากที่สุดในเดือนพฤศจิกายนปี 2020: Phorpiex Botnet ที่มีชื่อเสียงกลับมาเป็นการติดเชื้อที่มีผลกระทบมากที่สุด

Check Point Research รายงานการโจมตีครั้งใหม่โดยใช้ Phorpiex Botnet ที่ส่ง Avaddon ransomware ในแคมเปญสแปมที่เป็นอันตราย

สิงคโปร์, @mcgallen #microwireข้อมูล 10 ธันวาคม 2020 - การวิจัยจุดตรวจสอบหน่วยข่าวกรองภัยคุกคามของCheck Point® Software Technologies Ltd. (NASDAQ: CHKP) ซึ่งเป็นผู้ให้บริการโซลูชั่นด้านความปลอดภัยทางไซเบอร์ชั้นนำระดับโลกได้เผยแพร่ล่าสุด ดัชนีภัยคุกคามทั่วโลกประจำเดือนพฤศจิกายน 2020โดยแสดงให้เห็นการติดเชื้อครั้งใหม่โดยบอตเน็ต Phorpiex ที่รู้จักกันดีซึ่งทำให้มันเป็นมัลแวร์ที่แพร่หลายมากที่สุดในเดือนนี้ซึ่งส่งผลกระทบต่อ 4% ขององค์กรทั่วโลก Phorpiex ถูกพบเห็นครั้งล่าสุดใน 10 อันดับแรกของ Threat Index ในเดือนมิถุนายนปีนี้

บอทเน็ต Phorpiex ได้รับการรายงานครั้งแรกในปี 2010 และเมื่อถึงจุดสูงสุดสามารถควบคุมโฮสต์ที่ติดเชื้อได้มากกว่าหนึ่งล้านโฮสต์ เป็นที่รู้จักในการเผยแพร่ตระกูลมัลแวร์อื่น ๆ ผ่านทางสแปมและการเติมเชื้อเพลิงจำนวนมาก แคมเปญสแปม“ sextortion” และการเข้ารหัสลับ Phorpiex ได้แจกจ่าย Avaddon ransomware อีกครั้งตามที่นักวิจัย Check Point เดิม รายงาน เมื่อต้นปีนี้ Avaddon เป็นรูปแบบ Ransomware-as-a-Service (RaaS) ที่ค่อนข้างใหม่และผู้ให้บริการได้สรรหา บริษัท ในเครืออีกครั้งเพื่อแจกจ่าย ransomware เพื่อลดผลกำไร Avaddon เผยแพร่ผ่านไฟล์ JS และ Excel โดยเป็นส่วนหนึ่งของแคมเปญ malspam และสามารถเข้ารหัสไฟล์ได้หลากหลายประเภท

“ Phorpiex เป็นหนึ่งในบ็อตเน็ตที่เก่าแก่และคงอยู่มากที่สุดและถูกใช้โดยผู้สร้างเป็นเวลาหลายปีเพื่อแจกจ่ายเพย์โหลดของมัลแวร์อื่น ๆ เช่น GandCrab และ Avaddon ransomware หรือสำหรับการหลอกลวงทางเพศ การติดเชื้อระลอกใหม่นี้กำลังแพร่กระจายแคมเปญแรนซัมแวร์อื่นซึ่งแสดงให้เห็นว่า Phorpiex เครื่องมือมีประสิทธิภาพเพียงใด” Maya Horowitz ผู้อำนวยการหน่วยข่าวกรองและวิจัยภัยคุกคามผลิตภัณฑ์ของ Check Point กล่าว “ องค์กรควรให้ความรู้แก่พนักงานเกี่ยวกับวิธีระบุ malspam ที่เป็นไปได้และระวังการเปิดไฟล์แนบที่ไม่รู้จักในอีเมลแม้ว่าจะดูเหมือนว่ามาจากแหล่งที่เชื่อถือได้ก็ตาม นอกจากนี้ควรตรวจสอบให้แน่ใจว่าได้ใช้การรักษาความปลอดภัยที่ป้องกันไม่ให้ติดไวรัสในเครือข่าย”

ทีมวิจัยยังเตือนด้วยว่า“ HTTP Headers Remote Code Execution (CVE-2020-13756)” เป็นช่องโหว่ที่พบบ่อยที่สุดซึ่งส่งผลกระทบต่อองค์กรทั่วโลกถึง 54% ตามด้วย“ MVPower DVR Remote Code Execution” ส่งผลกระทบ 48% ขององค์กรทั่วโลกและ “ Dasan GPON Router Authentication Bypass (CVE-2018-10561) ส่งผลกระทบต่อ 44% ขององค์กรทั่วโลก

ตระกูลมัลแวร์อันดับต้น ๆ

* ลูกศรเกี่ยวข้องกับการเปลี่ยนแปลงอันดับเมื่อเทียบกับเดือนก่อนหน้า

ในเดือนนี้ Phorpiex เป็นมัลแวร์ที่ได้รับความนิยมมากที่สุดโดยมีผลกระทบทั่วโลก 4% ขององค์กรตามด้วย Dridex และ Hiddad ซึ่งส่งผลกระทบต่อ 3% ขององค์กรทั่วโลก

  1. ↑ Phorpiex - Phorpiex เป็นบ็อตเน็ตที่รู้จักกันในการเผยแพร่ตระกูลมัลแวร์อื่น ๆ ผ่านแคมเปญสแปมรวมถึงการกระตุ้นแคมเปญ Sextortion ขนาดใหญ่
  2. ↑ Dridex - Dridex เป็นโทรจันที่กำหนดเป้าหมายไปยังแพลตฟอร์ม Windows และมีรายงานว่าดาวน์โหลดผ่านไฟล์แนบอีเมลขยะ Dridex ติดต่อเซิร์ฟเวอร์ระยะไกลและส่งข้อมูลเกี่ยวกับระบบที่ติดไวรัส นอกจากนี้ยังสามารถดาวน์โหลดและเรียกใช้โมดูลตามอำเภอใจที่ได้รับจากเซิร์ฟเวอร์ระยะไกล
  3. ↔ฮิดดัด - Hiddad คือการติดมัลแวร์ Android ที่บรรจุแอปมือถือที่ถูกต้องตามกฎหมายแล้วเผยแพร่ไปยังร้านค้าของบุคคลที่สาม หน้าที่หลักคือการแสดงโฆษณา แต่ยังสามารถเข้าถึงรายละเอียดการรักษาความปลอดภัยที่สำคัญในระบบปฏิบัติการได้อีกด้วย

ช่องโหว่ยอดนิยม

เดือนนี้“ HTTP Headers Remote Code Execution (CVE-2020-13756)” เป็นช่องโหว่ที่พบบ่อยที่สุดซึ่งส่งผลกระทบต่อองค์กรทั่วโลกถึง 54% ตามด้วย“ MVPower DVR Remote Code Execution” ส่งผลกระทบ 48% ขององค์กรทั่วโลกและ“ Dasan GPON Router Authentication Bypass (CVE-2018-10561) ส่งผลกระทบ 44% ขององค์กรทั่วโลก

  1. ↑ HTTP Headers Remote Code Execution (CVE-2020-13756) - ส่วนหัว HTTP ให้ไคลเอ็นต์และเซิร์ฟเวอร์ส่งข้อมูลเพิ่มเติมด้วยคำขอ HTTP ผู้โจมตีระยะไกลอาจใช้ HTTP Header ที่มีช่องโหว่เพื่อเรียกใช้รหัสบนเครื่องเหยื่อโดยอำเภอใจ
  2. MVPower DVR Remote Code Execution - ช่องโหว่ในการเรียกใช้รหัสระยะไกลมีอยู่ในอุปกรณ์ MVPower DVR ผู้โจมตีระยะไกลสามารถใช้ประโยชน์จากจุดอ่อนนี้เพื่อเรียกใช้รหัสตามอำเภอใจในเราเตอร์ที่ได้รับผลกระทบผ่านคำขอที่สร้างขึ้น
  3. Dasan GPON Router Authentication Bypass (CVE-2018-10561) - ช่องโหว่การเลี่ยงผ่านการตรวจสอบสิทธิ์ที่มีอยู่ในเราเตอร์ Dasan GPON การใช้ช่องโหว่นี้อย่างประสบความสำเร็จจะทำให้ผู้โจมตีจากระยะไกลได้รับข้อมูลที่ละเอียดอ่อนและเข้าถึงระบบที่ได้รับผลกระทบโดยไม่ได้รับอนุญาต

มัลแวร์มือถือยอดนิยม

เดือนนี้ Hiddad ยังคงเป็นมัลแวร์มือถือที่แพร่หลายมากที่สุดตามด้วย xHelper และ Lotoor

  1. ฮิดดัด - Hiddad คือการติดมัลแวร์ Android ซึ่งบรรจุแอปที่ถูกต้องตามกฎหมายแล้วเผยแพร่ไปยังร้านค้าของบุคคลที่สาม หน้าที่หลักคือการแสดงโฆษณา แต่ยังสามารถเข้าถึงรายละเอียดการรักษาความปลอดภัยที่สำคัญในระบบปฏิบัติการได้อีกด้วย
  2. xHelper - xHelper เป็นแอปพลิเคชั่นที่เป็นอันตรายที่พบเห็นได้ทั่วไปตั้งแต่เดือนมีนาคม 2019 ใช้สำหรับดาวน์โหลดแอปที่เป็นอันตรายอื่น ๆ และแสดงโฆษณา แอปพลิเคชันสามารถซ่อนตัวเองจากผู้ใช้และติดตั้งตัวเองใหม่ในกรณีที่ถอนการติดตั้ง
  3. Lotoor - Lotoor เป็นเครื่องมือแฮ็คที่ใช้ช่องโหว่บนระบบปฏิบัติการ Android เพื่อรับสิทธิ์รูทบนอุปกรณ์มือถือที่ถูกบุกรุก

ดัชนีผลกระทบภัยคุกคามทั่วโลกของ Check Point และ ThreatCloud Map ขับเคลื่อนโดยหน่วยสืบราชการลับ ThreatCloud ของ Check Point ซึ่งเป็นเครือข่ายความร่วมมือที่ใหญ่ที่สุดในการต่อสู้กับอาชญากรรมทางไซเบอร์ซึ่งให้ข้อมูลภัยคุกคามและแนวโน้มการโจมตีจากเครือข่ายเซ็นเซอร์ภัยคุกคามทั่วโลก ฐานข้อมูล ThreatCloud ตรวจสอบเว็บไซต์กว่า 2.5 พันล้านไฟล์และ 500 ล้านไฟล์ต่อวันและระบุกิจกรรมมัลแวร์มากกว่า 250 ล้านรายการทุกวัน

รายชื่อตระกูลมัลแวร์ 10 อันดับแรกทั้งหมดในเดือนพฤศจิกายนมีอยู่ใน Check Point Blog.

เกี่ยวกับ Check Point Research 

Check Point Research นำเสนอข่าวกรองภัยคุกคามทางไซเบอร์ชั้นนำ Check Point Software ลูกค้าและชุมชนข่าวกรองที่ยิ่งใหญ่กว่า ทีมวิจัยรวบรวมและวิเคราะห์ข้อมูลการโจมตีทางไซเบอร์ทั่วโลกที่จัดเก็บบน ThreatCloud เพื่อป้องกันไม่ให้แฮกเกอร์สามารถเข้าถึงได้ในขณะเดียวกันก็ตรวจสอบให้แน่ใจว่าผลิตภัณฑ์ Check Point ทั้งหมดได้รับการอัปเดตด้วยการป้องกันล่าสุด ทีมวิจัยประกอบด้วยนักวิเคราะห์และนักวิจัยกว่า 100 คนที่ร่วมมือกับผู้ขายความปลอดภัยอื่น ๆ การบังคับใช้กฎหมายและ CERT ต่างๆ

ติดตาม Check Point Research ได้ทาง:

เกี่ยวกับเรา Check Point Software Technologies Ltd.

Check Point Software เทคโนโลยีส์ จำกัด (www.checkpoint.com) เป็นผู้ให้บริการโซลูชั่นด้านความปลอดภัยทางไซเบอร์ชั้นนำให้กับรัฐบาลและองค์กรต่างๆทั่วโลก โซลูชันของ Check Point ช่วยปกป้องลูกค้าจากการโจมตีทางไซเบอร์รุ่นที่ 5 ด้วยอัตราการจับมัลแวร์แรนซัมแวร์และภัยคุกคามขั้นสูงที่เป็นเป้าหมายในอุตสาหกรรม Check Point นำเสนอสถาปัตยกรรมการรักษาความปลอดภัยหลายระดับ“ Infinity Total Protection พร้อมการป้องกันภัยคุกคามขั้นสูง Gen V” สถาปัตยกรรมผลิตภัณฑ์แบบผสมผสานนี้ปกป้องระบบคลาวด์เครือข่ายและอุปกรณ์พกพาขององค์กร Check Point นำเสนอระบบการจัดการความปลอดภัยในการควบคุมจุดเดียวที่ครอบคลุมและใช้งานง่ายที่สุด Check Point ปกป้องมากกว่า 100,000 องค์กรทุกขนาด

# # #