發佈於

Editor's brief: Just when we thought the Emotet botnet a foregone era, it seems to bounce right back.編者簡介:當我們認為Emotet殭屍網絡已成為時代時,它似乎又開始反彈了。 This is fair warning to cybersecurity practitioners that the baddies are always out to try again and again, relentlessly, to wreck havoc to our networks and systems.這是對網絡安全從業人員的公平警告,那就是,壞蛋總是不斷地反复嘗試,不懈地破壞我們的網絡和系統。 The vendor's news release is below.供應商的新聞發佈如下。

2020年XNUMX月最想要的惡意軟件:Emotet在缺席五個月後再次罷工

Check Point Research發現在閒置一段時間後,Emotet殭屍網絡傳播垃圾郵件活動的數量急劇增加,目的是竊取銀行憑證並在目標網絡內部傳播

新加坡,@mcgallen#microwire資訊,11年2020月XNUMX日 – Check Point Research,美國威脅情報部門 CheckPoint®軟件技術有限公司 (NASDAQ:CHKP),全球領先的網絡安全解決方案提供商,已發布了2020年1月的最新全球威脅指數。研究人員發現,在缺席五個月的時間後,Emotet已升至該指數的第一位,影響了5%全球組織。

自2020年2019月以來,Emotet的活動(主要是發送大量的垃圾郵件運動)開始放緩,並最終停止,直到XNUMX月重新出現。 這種模式是在XNUMX年觀察到的,當時Emotet殭屍網絡在夏季停止活動,但在XNUMX月恢復活動。

XNUMX月,Emotet傳播了垃圾郵件活動,用TrickBot和Qbot感染了受害者,這些活動被用來竊取銀行憑證並在網絡內部傳播。 一些反垃圾郵件活動包含名稱為“ form.doc”或“ invoice.doc”之類的惡意doc文件。 據研究人員稱,惡意文檔啟動了PowerShell,以從遠程網站提取Emotet二進製文件並感染計算機,並將其添加到殭屍網絡中。 Emotet的活動恢復凸顯了殭屍網絡在全球的規模和力量。

“有趣的是,Emotet在今年早些時候處於休眠狀態,重複了我們在2019年首次觀察到的模式。我們可以假設殭屍網絡背後的開發人員正在更新其功能。 但是,由於再次活躍起來,組織應該教育員工如何識別攜帶這些威脅的垃圾郵件類型,並警告打開電子郵件附件或單擊來自外部來源的鏈接的風險。 企業還應該考慮部署反惡意軟件解決方案,以防止此類內容到達最終用戶。” Check Point產品威脅情報與研究總監Maya Horowitz說。

該研究小組還警告說,“ MVPower DVR遠程執行代碼”是最普遍利用的漏洞,影響了全球44%的組織,其次是“ OpenSSL TLS DTLS心跳信息洩露”,其影響了全球42%的組織。 “ HTTP有效負載上的命令注入”排名第三,對全球的影響為38%。

頂級惡意軟件家族

*箭頭表示與上個月相比的排名變化。

本月,Emotet是最受歡迎的惡意軟件,對全球組織的影響為5%,緊隨其後的是Dridex和Agent Tesla,分別對組織的4%產生了影響。

  1. ↑表情包 – Emotet是一種高級的,自我傳播的模塊化木馬。 Emotet最初是銀行木馬,但最近被用作其他惡意軟件或惡意活動的分發者。 它使用多種方法來保持持久性和逃避技術,從而避免檢測。 此外,它還可以通過包含惡意附件或鏈接的網絡釣魚垃圾郵件來傳播。
  2. ↑Dridex – Dridex是針對Windows平台的木馬,據報導是通過垃圾郵件附件下載的。 Dridex聯繫遠程服務器並發送有關受感染系統的信息。 它還可以下載並執行從遠程服務器接收的任意模塊。
  3. ↓特斯拉特工 – Agent Tesla是一種高級RAT,用作鍵盤記錄程序和信息竊取程序,能夠監視和收集受害者的鍵盤輸入,系統剪貼板,截屏並竊取受害者計算機上安裝的各種軟件(包括Google Chrome, Mozilla Firefox和Microsoft Outlook電子郵件客戶端)。

利用最嚴重的漏洞

本月,“ MVPower DVR遠程執行代碼”是最普遍利用的漏洞,影響了全球44%的組織,其次是“ OpenSSL TLS DTLS心跳信息洩露”,其影響了全球42%的組織。 “ HTTP有效負載上的命令注入”排名第三,對全球的影響為38%。

  1. ↑MVPower DVR遠程代碼執行 – MVPower DVR設備中存在一個遠程執行代碼漏洞。 遠程攻擊者可以利用此漏洞通過精心設計的請求在受影響的路由器中執行任意代碼。
  2. ↓OpenSSL TLS DTLS心跳信息披露(CVE-2014-0160; CVE-2014-0346) – OpenSSL中存在一個信息洩露漏洞。 該漏洞是由於處理TLS / DTLS心跳數據包時出錯。 攻擊者可以利用此漏洞來披露連接的客戶端或服務器的內存內容。
  3. ↑通過HTTP有效負載的命令注入 –報告了通過HTTP有效負載漏洞的命令注入。 遠程攻擊者可以通過向受害者發送特製請求來利用此問題。 成功的利用將允許攻擊者在目標計算機上執行任意代碼。

頂級移動惡意軟件家族

本月xHelper是最受歡迎的惡意軟件,其次是Necro和PreAMo。

  1. 幫手 –自2019年XNUMX月以來在野外普遍看到的惡意應用程序,用於下載其他惡意應用程序和顯示廣告。 該應用程序可以向用戶隱藏自己,並在卸載後重新安裝。
  2. 死靈 – Necro是一個Android Trojan Dropper。 它可以下載其他惡意軟件,顯示侵入性廣告,並通過向付費訂閱收費來竊取金錢。
  3. PreAMo – PreAmo是一種Android惡意軟件,它通過單擊從三個廣告代理商(Presage,Admob和Mopub)獲得的橫幅廣告來模仿用戶。

Check Point的全球威脅影響指數及其ThreatCloud Map由Check Point的ThreatCloud智能技術提供支持,該智能網絡是打擊網絡犯罪的最大協作網絡,可從全球威脅傳感器網絡提供威脅數據和攻擊趨勢。 ThreatCloud數據庫每天檢查超過2.5億個網站和500億個文件,每天識別超過250億個惡意軟件活動。

您可以在以下網址找到10月份十大惡意軟件家族的完整列表: Check Point博客.

Check Point的威脅防護資源可從以下網站獲得:  http://www.checkpoint.com/threat-prevention-resources/index.html

關於Check Point研究
Check Point Research為您提供領先的網絡威脅情報 Check Point Software 客戶和更大的情報界。 研究團隊收集並分析存儲在ThreatCloud上的全球網絡攻擊數據,以阻止黑客攻擊,同時確保所有Check Point產品都已得到最新保護。 該研究團隊由100多名分析師和研究人員組成,他們與其他安全廠商,執法部門和各種CERT合作。

通過以下方式關注Check Point Research:

關於我們 Check Point Software 科技有限公司
Check Point Software Technologies Ltd.(www.checkpoint.com)是為全球政府和企業提供網絡安全解決方案的領先提供商。 Check Point的解決方案以行業領先的惡意軟件,勒索軟件和高級針對性威脅捕獲率,保護客戶免受第五代網絡攻擊。 Check Point提供了多層安全架構,“具有Gen V高級威脅防禦功能的Infinity全面保護”,這種組合的產品架構可以保護企業的雲,網絡和移動設備。 Check Point提供最全面,最直觀的控制安全管理系統。 Check Point可保護超過5個各種規模的組織。

###