โพสต์

บทสรุปของบรรณาธิการ: COVID-19 เทพนิยายยังคงดำเนินต่อไปและไม่เพียง แต่ในประเด็นที่เกี่ยวข้องกับการดูแลสุขภาพทั่วโลกเท่านั้น ในวิกฤตการณ์ระดับโลกโดยเฉพาะอย่างยิ่งในกรณีที่เศรษฐกิจทั่วโลกต้องสูญเสียงานหลายล้านตำแหน่งหนี้สินและการจ้างงานที่ไม่เพียงพอจะมีคนที่อาจหันไปหาอาชญากรรม อาชญากรรมไซเบอร์จึงเป็นแนวโน้มที่เกิดขึ้นทั่วโลก Qbot โทรจันธนาคารที่เกิดขึ้นครั้งแรกในปี 2008 ซึ่งทำงานเป็น "แบ็คดอร์" ในคอมพิวเตอร์ของผู้ใช้สามารถขโมยข้อมูลที่ละเอียดอ่อนและข้อมูลส่วนบุคคลและกิจกรรมมัลแวร์ชั่วร้ายอื่น ๆ Check Point Softwareรายงานประจำเดือนของเราชี้ให้เห็นถึงภัยคุกคามความปลอดภัยทางไซเบอร์ ข่าวประชาสัมพันธ์ของผู้จำหน่ายอยู่ด้านล่าง


มัลแวร์ที่ต้องการตัวมากที่สุดในเดือนสิงหาคมปี 2020: Evolved Qbot Trojan อยู่ในรายชื่อมัลแวร์สูงสุดเป็นครั้งแรก

นักวิจัย Check Point พบว่าตัวแปร Qbot ใหม่ที่เป็นอันตรายกำลังแพร่กระจายผ่านแคมเปญ malspam เพื่อดำเนินการขโมยข้อมูลประจำตัวการติดตั้ง ransomware และธุรกรรมธนาคารที่ไม่ได้รับอนุญาต

สิงคโปร์, @mcgallen #microwireข้อมูล 10 กันยายน 2020 - การวิจัยจุดตรวจสอบหน่วยข่าวกรองภัยคุกคามของ Check Point® Software Technologies Ltd. (NASDAQ: CHKP) ซึ่งเป็นผู้ให้บริการโซลูชั่นรักษาความปลอดภัยไซเบอร์ชั้นนำทั่วโลกได้เผยแพร่ดัชนีภัยคุกคามทั่วโลกล่าสุดสำหรับเดือนสิงหาคม 2020 นักวิจัยพบว่าโทรจัน Qbot หรือที่เรียกว่า Qakbot และ Pinkslipbot ได้เข้าสู่ดัชนีมัลแวร์ 10 อันดับแรกเป็นครั้งแรก เวลาซึ่งติดอันดับมัลแวร์ที่แพร่หลายมากที่สุดอันดับ 1 ในเดือนสิงหาคมในขณะที่ Emotet โทรจันยังคงอยู่ในอันดับที่ 14 เป็นเดือนที่สองซึ่งส่งผลกระทบต่อ XNUMX% ขององค์กรทั่วโลก

พบครั้งแรกในปี 2008 Qbot ได้รับการพัฒนาอย่างต่อเนื่องและตอนนี้ใช้เทคนิคการขโมยข้อมูลประจำตัวที่ซับซ้อนและเทคนิคการติดตั้ง ransomware ทำให้มัลแวร์เทียบเท่ากับมีด Swiss Army ตามที่นักวิจัยกล่าว ขณะนี้ Qbot ยังมีคุณลักษณะใหม่ที่เป็นอันตราย: โมดูลตัวรวบรวมอีเมลเฉพาะซึ่งแยกเธรดอีเมลจากไคลเอนต์ Outlook ของเหยื่อและอัปโหลดไปยังเซิร์ฟเวอร์ระยะไกลภายนอก สิ่งนี้ช่วยให้ Qbot สามารถขโมยการสนทนาทางอีเมลที่ถูกต้องจากผู้ใช้ที่ติดไวรัสจากนั้นจึงส่งสแปมออกไปโดยใช้อีเมลที่ถูกไฮแจ็คเพื่อเพิ่มโอกาสในการหลอกลวงผู้ใช้รายอื่นให้ติดไวรัส Qbot ยังสามารถเปิดใช้งานธุรกรรมธนาคารที่ไม่ได้รับอนุญาตโดยอนุญาตให้ตัวควบคุมเชื่อมต่อกับคอมพิวเตอร์ของเหยื่อ

นักวิจัยของ Check Point พบ หลายแคมเปญ โดยใช้สายพันธุ์ใหม่ของ Qbot ระหว่างเดือนมีนาคมถึงสิงหาคม 2020 ซึ่งรวมถึง Qbot ที่แจกจ่ายโดย Emotet โทรจัน แคมเปญนี้ได้รับผลกระทบ 5% ขององค์กรทั่วโลก ในเดือนกรกฎาคม 2020

“ ผู้คุกคามมักมองหาวิธีอัปเดตรูปแบบของมัลแวร์ที่มีอยู่และได้รับการพิสูจน์แล้วและเห็นได้ชัดว่าพวกเขาลงทุนอย่างมากในการพัฒนาของ Qbot เพื่อให้สามารถขโมยข้อมูลจากองค์กรและบุคคลจำนวนมากได้ เราได้เห็นแคมเปญ malspam ที่ใช้งานอยู่ซึ่งแจกจ่าย Qbot โดยตรงรวมถึงการใช้โครงสร้างพื้นฐานการติดเชื้อของบุคคลที่สามเช่น Emotet เพื่อแพร่กระจายภัยคุกคามให้มากยิ่งขึ้น ธุรกิจควรมองไปที่การปรับใช้โซลูชันป้องกันมัลแวร์ที่สามารถป้องกันไม่ให้เนื้อหาดังกล่าวเข้าถึงผู้ใช้ปลายทางและแนะนำให้พนักงานระมัดระวังในการเปิดอีเมลแม้ว่าพวกเขาจะดูเหมือนมาจากแหล่งที่เชื่อถือได้ก็ตาม "Maya Horowitz ผู้อำนวยการหน่วยข่าวกรองและการวิจัยภัยคุกคามกล่าว , สินค้าที่จุดตรวจ.

ทีมวิจัยยังเตือนด้วยว่า“ การเปิดเผยข้อมูล Git Repository ของ Web Server Exposed” เป็นช่องโหว่ที่ถูกใช้บ่อยที่สุดโดยส่งผลกระทบ 47% ขององค์กรทั่วโลกตามด้วย“ MVPower DVR Remote Code Execution” ซึ่งส่งผลกระทบ 43% ขององค์กรทั่วโลก “ Dasan GPON Router Authentication Bypass (CVE-2018-10561)” อยู่ในอันดับที่ 37 โดยมีผลกระทบทั่วโลก XNUMX%

ตระกูลมัลแวร์อันดับต้น ๆ

* ลูกศรเกี่ยวข้องกับการเปลี่ยนแปลงอันดับเมื่อเทียบกับเดือนก่อนหน้า

เดือนนี้ Emotet ยังคงเป็นมัลแวร์ที่ได้รับความนิยมมากที่สุดโดยมีผลกระทบทั่วโลกถึง 14% ขององค์กรตามด้วย ตัวแทนเทสลา และ formbook ส่งผลกระทบต่อ 3% ของแต่ละองค์กร

  1. ↔ อีโมเท็ต - Emotet เป็นโทรจันขั้นสูงที่แพร่กระจายตัวเองและโมดูลาร์ Emotet เดิมเป็นโทรจันของธนาคาร แต่เพิ่งถูกใช้เป็นตัวแทนจำหน่ายมัลแวร์หรือแคมเปญที่เป็นอันตรายอื่น ๆ ใช้หลายวิธีในการรักษาความคงอยู่และเทคนิคการหลบหลีกเพื่อหลีกเลี่ยงการตรวจจับ นอกจากนี้ยังสามารถแพร่กระจายผ่านอีเมลสแปมฟิชชิ่งที่มีไฟล์แนบหรือลิงก์ที่เป็นอันตราย
  2. ↑ตัวแทนเทสลา - Agent Tesla เป็น RAT ขั้นสูงที่ทำหน้าที่เป็น keylogger และผู้ขโมยข้อมูลซึ่งสามารถตรวจสอบและรวบรวมข้อมูลแป้นพิมพ์ของเหยื่อคลิปบอร์ดของระบบการถ่ายภาพหน้าจอและการกรองข้อมูลรับรองที่เป็นของซอฟต์แวร์ต่างๆที่ติดตั้งบนเครื่องของเหยื่อ (รวมถึง Google Chrome , โปรแกรมรับส่งเมล Mozilla Firefox และ Microsoft Outlook)
  3. ↑แบบฟอร์ม - Formbook คือ Info Stealer ที่รวบรวมข้อมูลประจำตัวจากเว็บเบราว์เซอร์ต่างๆรวบรวมภาพหน้าจอตรวจสอบและบันทึกการกดแป้นพิมพ์และสามารถดาวน์โหลดและเรียกใช้ไฟล์ตามคำสั่งของ C&C

ช่องโหว่ยอดนิยม

เดือนนี้ “ การเปิดเผยข้อมูล Git Repository ของเว็บเซิร์ฟเวอร์” เป็นช่องโหว่ที่พบบ่อยที่สุดซึ่งส่งผลกระทบต่อ 47% ขององค์กรทั่วโลกตามมาด้วย “ การดำเนินการรหัสระยะไกล MVPower DVR” ซึ่งส่งผลกระทบต่อ 43% ขององค์กรทั่วโลก “ Dasan GPON Router Authentication Bypass (CVE-2018-10561)” อยู่ในอันดับที่สามโดยมีผลกระทบทั่วโลก 37%

  1. การเปิดเผยข้อมูล Git Repository ของเว็บเซิร์ฟเวอร์ - ช่องโหว่ในการเปิดเผยข้อมูลที่ได้รับการรายงานใน Git Repository การใช้ช่องโหว่นี้อย่างประสบความสำเร็จอาจทำให้มีการเปิดเผยข้อมูลบัญชีโดยไม่ได้ตั้งใจ
  2. การดำเนินการรหัสระยะไกล MVPower DVR - ช่องโหว่การเรียกใช้รหัสระยะไกลที่มีอยู่ในอุปกรณ์ MVPower DVR ผู้โจมตีระยะไกลสามารถใช้ประโยชน์จากจุดอ่อนนี้เพื่อเรียกใช้รหัสตามอำเภอใจในเราเตอร์ที่ได้รับผลกระทบผ่านคำขอที่สร้างขึ้น
  3. บายพาสการตรวจสอบความถูกต้องของเราเตอร์ Dasan GPON (CVE-2018-10561) - ช่องโหว่การเลี่ยงผ่านการตรวจสอบสิทธิ์ที่มีอยู่ในเราเตอร์ Dasan GPON การใช้ช่องโหว่นี้อย่างประสบความสำเร็จจะทำให้ผู้โจมตีจากระยะไกลได้รับข้อมูลที่ละเอียดอ่อนและเข้าถึงระบบที่ได้รับผลกระทบโดยไม่ได้รับอนุญาต

ตระกูลมัลแวร์มือถืออันดับต้น ๆ 

เดือนนี้ xHelper เป็นมัลแวร์บนมือถือที่ได้รับความนิยมมากที่สุดตามด้วย Necro และ ฮิดดัด.

  1. xHelper - แอปพลิเคชันที่เป็นอันตรายซึ่งพบเห็นได้ทั่วไปตั้งแต่เดือนมีนาคม 2019 ใช้สำหรับดาวน์โหลดแอปที่เป็นอันตรายอื่น ๆ และแสดงโฆษณา แอปพลิเคชันสามารถซ่อนตัวเองจากผู้ใช้และติดตั้งตัวเองใหม่ในกรณีที่ถูกถอนการติดตั้ง
  2. Necro - Necro เป็น Android Trojan Dropper สามารถดาวน์โหลดมัลแวร์อื่น ๆ แสดงโฆษณาที่ล่วงล้ำและขโมยเงินโดยเรียกเก็บเงินจากการสมัครสมาชิกแบบชำระเงิน
  3. ฮิดดัด - Hiddad เป็นมัลแวร์ Android ที่บรรจุแอปที่ถูกต้องตามกฎหมายใหม่จากนั้นเผยแพร่ไปยังร้านค้าของบุคคลที่สาม หน้าที่หลักคือการแสดงโฆษณา แต่ยังสามารถเข้าถึงรายละเอียดการรักษาความปลอดภัยที่สำคัญในระบบปฏิบัติการได้อีกด้วย

ดัชนีผลกระทบภัยคุกคามทั่วโลกของ Check Point และ ThreatCloud Map ขับเคลื่อนโดยหน่วยสืบราชการลับ ThreatCloud ของ Check Point ซึ่งเป็นเครือข่ายความร่วมมือที่ใหญ่ที่สุดในการต่อสู้กับอาชญากรรมทางไซเบอร์ซึ่งให้ข้อมูลภัยคุกคามและแนวโน้มการโจมตีจากเครือข่ายเซ็นเซอร์ภัยคุกคามทั่วโลก ฐานข้อมูล ThreatCloud ตรวจสอบเว็บไซต์กว่า 2.5 พันล้านไฟล์และ 500 ล้านไฟล์ต่อวันและระบุกิจกรรมมัลแวร์มากกว่า 250 ล้านรายการทุกวัน

รายชื่อตระกูลมัลแวร์ 10 อันดับแรกทั้งหมดในเดือนสิงหาคมมีอยู่ใน ตรวจสอบจุดบล็อก. แหล่งข้อมูลการป้องกันภัยคุกคามของ Check Point มีอยู่ที่  http://www.checkpoint.com/threat-prevention-resources/index.html

เกี่ยวกับ Check Point Research 
Check Point Research นำเสนอข่าวกรองภัยคุกคามทางไซเบอร์ชั้นนำ Check Point Software ลูกค้าและชุมชนข่าวกรองที่ยิ่งใหญ่กว่า ทีมวิจัยรวบรวมและวิเคราะห์ข้อมูลการโจมตีทางไซเบอร์ทั่วโลกที่จัดเก็บบน ThreatCloud เพื่อป้องกันไม่ให้แฮกเกอร์สามารถเข้าถึงได้ในขณะเดียวกันก็ตรวจสอบให้แน่ใจว่าผลิตภัณฑ์ Check Point ทั้งหมดได้รับการอัปเดตด้วยการป้องกันล่าสุด ทีมวิจัยประกอบด้วยนักวิเคราะห์และนักวิจัยกว่า 100 คนที่ร่วมมือกับผู้ขายความปลอดภัยอื่น ๆ การบังคับใช้กฎหมายและ CERT ต่างๆ

ติดตาม Check Point Research ได้ทาง:

เกี่ยวกับเรา Check Point Software เทคโนโลยี จำกัด
Check Point Software เทคโนโลยีส์ จำกัด (www.checkpoint.com) เป็นผู้ให้บริการโซลูชั่นด้านความปลอดภัยทางไซเบอร์ชั้นนำให้กับรัฐบาลและองค์กรต่างๆทั่วโลก โซลูชันของ Check Point ช่วยปกป้องลูกค้าจากการโจมตีทางไซเบอร์รุ่นที่ 5 ด้วยอัตราการจับมัลแวร์แรนซัมแวร์และภัยคุกคามขั้นสูงที่เป็นเป้าหมายในอุตสาหกรรม Check Point นำเสนอสถาปัตยกรรมการรักษาความปลอดภัยหลายระดับ“ Infinity Total Protection พร้อมการป้องกันภัยคุกคามขั้นสูง Gen V” สถาปัตยกรรมผลิตภัณฑ์แบบผสมผสานนี้ปกป้องระบบคลาวด์เครือข่ายและอุปกรณ์พกพาขององค์กร Check Point นำเสนอระบบการจัดการความปลอดภัยในการควบคุมจุดเดียวที่ครอบคลุมและใช้งานง่ายที่สุด Check Point ปกป้องมากกว่า 100,000 องค์กรทุกขนาด

# # #