โพสต์

บทสรุปของบรรณาธิการ: อีกหนึ่งเดือนผ่านไปและในขณะที่โลกกำลังต่อสู้กับไวรัสซาร์ส - โควี -2 ที่ทำลายล้างไม่เพียงแค่การเสียชีวิตที่โชคร้ายเท่านั้น แต่โดยเฉพาะอย่างยิ่งภาวะเศรษฐกิจตกต่ำครั้งใหญ่การล่มสลายของธุรกิจอุตสาหกรรมทั้งหมดหยุดชะงักและการสูญเสียงานครั้งใหญ่จำนวนหลายร้อยล้าน ทั่วโลก. ท่ามกลางภัยพิบัติทั่วโลกนี้ยังคงมีปัญหาด้านความปลอดภัยทางไซเบอร์อยู่ทุกหนทุกแห่งทั้งการแฮ็กการบุกรุกและการโจรกรรม นักวิจัยของ Check Point เผยแพร่ข่าวสารสั้น ๆ เกี่ยวกับผู้กระทำความผิดที่เลวร้ายที่สุดในมัลแวร์เป็นประจำทุกเดือน ข่าวประชาสัมพันธ์ของผู้จำหน่ายมีอยู่ด้านล่าง

มัลแวร์ที่ต้องการตัวมากที่สุดในเดือนเมษายนปี 2020: โทรจันการเข้าถึงระยะไกลของ Agent Tesla แพร่กระจายอย่างกว้างขวางใน COVID-19 แคมเปญสแปมที่เกี่ยวข้อง

นักวิจัยของ Check Point พบว่ามีการโจมตีเพิ่มขึ้นอย่างรวดเร็วโดยใช้ Agent Tesla เวอร์ชันใหม่ที่สามารถขโมยรหัสผ่าน Wi-Fi ได้ในขณะที่โทรจันของธนาคาร Dridex เป็นภัยคุกคามที่พบบ่อยที่สุด

สิงคโปร์, @mcgallen #microwireข้อมูล 12 พฤษภาคม 2020 - การวิจัยจุดตรวจสอบหน่วยข่าวกรองภัยคุกคามของ Check Point® Software Technologies Ltd. (NASDAQ: CHKP) ซึ่งเป็นผู้ให้บริการโซลูชั่นรักษาความปลอดภัยไซเบอร์ชั้นนำระดับโลกได้เผยแพร่ดัชนีภัยคุกคามทั่วโลกล่าสุดสำหรับเดือนเมษายนปี 2020 นักวิจัยเห็นหลาย ๆ COVID-19 แคมเปญสแปมที่เกี่ยวข้องซึ่งแจกจ่ายโทรจันการเข้าถึงระยะไกล Agent Tesla รูปแบบใหม่โดยขยับขึ้นเป็นอันดับ 3 ในดัชนีส่งผลกระทบ 3% ขององค์กรทั่วโลก

Agent Tesla รุ่นใหม่ได้รับการแก้ไขเพื่อขโมยรหัสผ่าน Wi-Fi นอกเหนือจากข้อมูลอื่น ๆ เช่นข้อมูลรับรองอีเมล Outlook จากพีซีเป้าหมาย ในช่วงเดือนเมษายน Agent Tesla ถูกแจกจ่ายเป็นไฟล์แนบที่เป็นอันตรายหลายอย่าง COVID-19 แคมเปญสแปมที่เกี่ยวข้องซึ่งพยายามล่อให้เหยื่อดาวน์โหลดไฟล์ที่เป็นอันตรายภายใต้การปกปิดข้อมูลที่น่าสนใจเกี่ยวกับการแพร่ระบาด หนึ่งในแคมเปญเหล่านี้อ้างว่าส่งโดยองค์การอนามัยโลกโดยมีหัวข้อ 'URGENT INFORMATION LETTER: FIRST HUMAN COVID-19 การทดสอบวัคซีน / การอัปเดตผลลัพธ์ ' สิ่งนี้ชี้ให้เห็นว่าแฮกเกอร์จะใช้ประโยชน์จากเหตุการณ์ข่าวทั่วโลกและความกังวลของสาธารณชนเพื่อเพิ่มอัตราความสำเร็จในการโจมตี

โทรจัน Dridex ซึ่งเป็นที่รู้จักกันดีซึ่งเข้าสู่ Threat Index เป็นครั้งแรกในเดือนมีนาคมมีผลกระทบมากขึ้นในเดือนเมษายน ขยับขึ้นมาอยู่ที่ 1 ในดัชนีจากอันดับ 3 ของเดือนที่แล้วซึ่งส่งผลกระทบต่อ 4% ขององค์กรทั่วโลก XMRig ซึ่งเป็นมัลแวร์ที่แพร่หลายมากที่สุดในเดือนมีนาคมลดลงเป็นอันดับสอง

“ แคมเปญตัวแทน Tesla malspam ที่เราเห็นในเดือนเมษายนเน้นย้ำว่าอาชญากรไซเบอร์สามารถใช้ประโยชน์จากเหตุการณ์ข่าวและหลอกล่อเหยื่อที่ไม่สงสัยให้คลิกลิงก์ที่ติดไวรัสได้อย่างไร” Maya Horowitz ผู้อำนวยการหน่วยข่าวกรองและการวิจัยภัยคุกคามผลิตภัณฑ์ที่ตรวจสอบกล่าว จุด. “ เนื่องจากทั้ง Agent Tesla และ Dridex อยู่ในสามอันดับแรกของดัชนีภัยคุกคามอาชญากรจึงมุ่งเน้นไปที่การขโมยข้อมูลส่วนตัวและข้อมูลทางธุรกิจและข้อมูลรับรองของผู้ใช้เพื่อให้พวกเขาสามารถสร้างรายได้ ดังนั้นจึงจำเป็นอย่างยิ่งที่องค์กรต่างๆจะต้องใช้แนวทางเชิงรุกและมีพลวัตในการศึกษาผู้ใช้โดยแจ้งให้พนักงานทราบถึงเครื่องมือและเทคนิคล่าสุดโดยเฉพาะอย่างยิ่งเมื่อพนักงานทำงานจากที่บ้านมากขึ้น”

ทีมวิจัยยังเตือนด้วยว่า“ MVPower DVR Remote Code Execution” ยังคงเป็นช่องโหว่ที่ถูกใช้บ่อยที่สุดแม้ว่าผลกระทบจะเพิ่มขึ้นจนครอบคลุม 46% ขององค์กรทั่วโลก ตามด้วย“ OpenSSL TLS DTLS Heartbeat Information Disclosure” ซึ่งมีผลกระทบทั่วโลก 41% ตามด้วย“ Command Injection Over HTTP Payload” ซึ่งส่งผลกระทบ 40% ขององค์กรทั่วโลก

ตระกูลมัลแวร์อันดับต้น ๆ
* ลูกศรเกี่ยวข้องกับการเปลี่ยนแปลงอันดับเมื่อเทียบกับเดือนก่อนหน้า

เดือนนี้ Dridex ขึ้นเป็นที่ 1 โดยส่งผลกระทบต่อ 4% ขององค์กรทั่วโลกตามด้วย XMRig และ Agent Tesla ส่งผลกระทบ 4% และ 3% ขององค์กรทั่วโลกตามลำดับ

  1. ↑ ไดรเดกซ์ - Dridex เป็นโทรจันที่กำหนดเป้าหมายไปที่แพลตฟอร์ม Windows และมีรายงานว่าดาวน์โหลดผ่านไฟล์แนบอีเมลขยะ Dridex ติดต่อเซิร์ฟเวอร์ระยะไกลและส่งข้อมูลเกี่ยวกับระบบที่ติดไวรัส นอกจากนี้ยังสามารถดาวน์โหลดและเรียกใช้โมดูลตามอำเภอใจที่ได้รับจากเซิร์ฟเวอร์ระยะไกล
  2. ↓ XMRig - XMRig เป็นซอฟต์แวร์การขุด CPU แบบโอเพ่นซอร์สที่ใช้สำหรับกระบวนการขุดของ Monero cryptocurrency ซึ่งพบเห็นได้ครั้งแรกในเดือนพฤษภาคม 2017
  3. ↑ตัวแทนเทสลา - Agent Tesla เป็น RAT ขั้นสูงที่ทำหน้าที่เป็น keylogger และผู้ขโมยข้อมูลซึ่งสามารถตรวจสอบและรวบรวมข้อมูลแป้นพิมพ์แป้นพิมพ์ระบบการจับภาพหน้าจอและการกรองข้อมูลรับรองให้กับซอฟต์แวร์ต่างๆที่ติดตั้งบนเครื่องของเหยื่อ (รวมถึง Google Chrome , Mozilla Firefox และไคลเอนต์อีเมล Microsoft Outlook)

ช่องโหว่ยอดนิยม
เดือนนี้“ MVPower DVR Remote Code Execution” เป็นช่องโหว่ที่ถูกใช้บ่อยที่สุดโดยส่งผลกระทบ 46% ขององค์กรทั่วโลกตามด้วย“ OpenSSL TLS DTLS Heartbeat Information Disclosure” ซึ่งมีผลกระทบทั่วโลก 41% อันดับที่ 3 ช่องโหว่“ Command Injection Over HTTP Payload” ได้รับผลกระทบ 40% ขององค์กรทั่วโลกโดยส่วนใหญ่พบในการโจมตีที่ใช้ช่องโหว่แบบ zero-day ในเราเตอร์และอุปกรณ์สวิตช์“ DrayTek” (CVE-2020-8515)

  1. ↔การดำเนินการรหัสระยะไกล MVPower DVR - ช่องโหว่การเรียกใช้รหัสระยะไกลที่มีอยู่ในอุปกรณ์ MVPower DVR ผู้โจมตีระยะไกลสามารถใช้ประโยชน์จากจุดอ่อนนี้เพื่อเรียกใช้รหัสตามอำเภอใจในเราเตอร์ที่ได้รับผลกระทบผ่านคำขอที่สร้างขึ้น
  2. ↑การเปิดเผยข้อมูลการเต้นของหัวใจ OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) - ช่องโหว่ในการเปิดเผยข้อมูลซึ่งมีอยู่ใน OpenSSL ช่องโหว่นี้เกิดจากข้อผิดพลาดเมื่อจัดการกับแพ็คเก็ต TLS / DTLS heartbeat ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อเปิดเผยเนื้อหาหน่วยความจำของไคลเอนต์หรือเซิร์ฟเวอร์ที่เชื่อมต่อ
  3. ↑ Command Injection ผ่าน HTTP Payload - ผู้โจมตีระยะไกลสามารถใช้ประโยชน์จากปัญหานี้ได้โดยส่งคำขอที่ออกแบบมาเป็นพิเศษไปยังเหยื่อ การหาประโยชน์ที่ประสบความสำเร็จจะทำให้ผู้โจมตีสามารถใช้รหัสบนเครื่องเป้าหมายได้ตามอำเภอใจ

ตระกูลมัลแวร์ยอดนิยม - มือถือ
เดือนนี้ xHelper ยังคงครองที่ 1 ในฐานะมัลแวร์บนมือถือที่แพร่หลายมากที่สุดตามด้วย Lotoor และ AndroidBauts

  1. xHelper - แอปพลิเคชันที่เป็นอันตรายซึ่งพบเห็นได้ทั่วไปตั้งแต่เดือนมีนาคม 2019 ใช้สำหรับดาวน์โหลดแอปที่เป็นอันตรายอื่น ๆ และแสดงโฆษณา แอปพลิเคชันสามารถซ่อนตัวเองจากผู้ใช้และติดตั้งตัวเองใหม่หากมีการถอนการติดตั้ง
  2. Lotoor - Lotoor เป็นเครื่องมือแฮ็คที่ใช้ช่องโหว่บนระบบปฏิบัติการ Android เพื่อรับสิทธิ์รูทบนอุปกรณ์มือถือที่ถูกบุกรุก
  3. AndroidBauts - AndroidBauts เป็นแอดแวร์ที่กำหนดเป้าหมายผู้ใช้ Android มันเป็นการจำลอง IMEI, IMSI, ตำแหน่ง GPS และข้อมูลอุปกรณ์อื่น ๆ และอนุญาตให้ติดตั้งแอพและทางลัดของบุคคลที่สามบนอุปกรณ์มือถือ

ดัชนีผลกระทบภัยคุกคามทั่วโลกของ Check Point และ ThreatCloud Map ขับเคลื่อนโดยหน่วยสืบราชการลับ ThreatCloud ของ Check Point ซึ่งเป็นเครือข่ายความร่วมมือที่ใหญ่ที่สุดในการต่อสู้กับอาชญากรรมทางไซเบอร์ซึ่งให้ข้อมูลภัยคุกคามและแนวโน้มการโจมตีจากเครือข่ายเซ็นเซอร์ภัยคุกคามทั่วโลก ฐานข้อมูล ThreatCloud ตรวจสอบเว็บไซต์กว่า 2.5 พันล้านไฟล์และ 500 ล้านไฟล์ต่อวันและระบุกิจกรรมมัลแวร์มากกว่า 250 ล้านรายการทุกวัน

รายชื่อตระกูลมัลแวร์ 10 อันดับแรกทั้งหมดในเดือนเมษายนมีอยู่ในไฟล์ ตรวจสอบจุดบล็อก.

เกี่ยวกับ Check Point Research 
Check Point Research นำเสนอข่าวกรองภัยคุกคามทางไซเบอร์ชั้นนำ Check Point Software ลูกค้าและชุมชนข่าวกรองที่ยิ่งใหญ่กว่า ทีมวิจัยรวบรวมและวิเคราะห์ข้อมูลการโจมตีทางไซเบอร์ทั่วโลกที่จัดเก็บบน ThreatCloud เพื่อป้องกันไม่ให้แฮกเกอร์สามารถเข้าถึงได้ในขณะเดียวกันก็ตรวจสอบให้แน่ใจว่าผลิตภัณฑ์ Check Point ทั้งหมดได้รับการอัปเดตด้วยการป้องกันล่าสุด ทีมวิจัยประกอบด้วยนักวิเคราะห์และนักวิจัยกว่า 100 คนที่ร่วมมือกับผู้ขายความปลอดภัยอื่น ๆ การบังคับใช้กฎหมายและ CERT ต่างๆ

ติดตาม Check Point Research ได้ทาง:

เกี่ยวกับเรา Check Point Software เทคโนโลยี จำกัด
Check Point Software เทคโนโลยีส์ จำกัด (www.checkpoint.com) เป็นผู้ให้บริการโซลูชั่นการรักษาความปลอดภัยไซเบอร์ชั้นนำให้กับรัฐบาลและองค์กรต่างๆทั่วโลก โซลูชันของ Check Point ช่วยปกป้องลูกค้าจากการโจมตีทางไซเบอร์รุ่นที่ 5 ด้วยอัตราการดักจับมัลแวร์แรนซัมแวร์และภัยคุกคามขั้นสูงที่เป็นเป้าหมายในอุตสาหกรรม Check Point นำเสนอสถาปัตยกรรมการรักษาความปลอดภัยหลายระดับ“ Infinity Total Protection พร้อมการป้องกันภัยคุกคามขั้นสูง Gen V” สถาปัตยกรรมผลิตภัณฑ์แบบผสมผสานนี้ปกป้องระบบคลาวด์เครือข่ายและอุปกรณ์พกพาขององค์กร Check Point นำเสนอระบบการจัดการความปลอดภัยในการควบคุมจุดเดียวที่ครอบคลุมและใช้งานง่ายที่สุด Check Point ปกป้องมากกว่า 100,000 องค์กรทุกขนาด

# # #