Check Point 研究人员发现,危险的新型 Qbot 变种正通过恶意垃圾邮件攻击活动传播,实施凭证盗窃、勒索软件安装和未授权银行交易。
近日,全球领先的网络安全解决方案提供商Check Point软件技术有限公司(纳斯达克股票代码:CHKP)的威胁情报部门 Check Point Research 发布了其 2020 年 8 月最新版《全球威胁指数》报告。研究人员发现,Qbot 木马(又称 Qakbot 和 Pinkslipbot)首次跻身十大恶意软件指数排行榜,成为 8 月份第十大常见的恶意软件,而 Emotet 木马则连续两个月位居榜首,影响了全球 14% 的组织。
研究人员称,Qbot 于 2008 年首次出现,并一直在不断演化,目前利用复杂的凭证盗窃和勒索软件安装技术,是有着瑞士军刀般多功能性的恶意软件。现在,Qbot 还有一个危险的新特性:专用电子邮件收集器模块。该模块可从受害者的 Outlook 客户端提取电子邮件线程,并将其上传到外部远程服务器。借此,Qbot 能够劫持受感染用户的合法电子邮件对话,然后利用这些被劫持的电子邮件发送垃圾信息,从而提高诱骗其他用户感染的几率。此外,Qbot 还支持其控制器连接到受害者的电脑,以实施未经授权的银行交易。
Check Points 研究人员发现,2020 年 3 月至 8 月出现了几次使用 Qbot 新变种发起的攻击活动,其中包括通过 Emotet 木马散播 Qbot。2020 年 7 月,此类攻击活动影响了全球 5% 的组织。
Check Point 产品威胁情报与研究总监 Maya Horowitz 表示:“攻击者一直在设法更新现有的各种成熟恶意软件。显然,他们一直在不断投入于 Qbot 的开发,企图大规模地窃取组织和个人的数据。攻击者已在通过积极的恶意垃圾邮件活动直接分发 Qbot,并使用第三方感染基础设施(如 Emotet)进一步传播威胁。企业应考虑部署反恶意软件解决方案,以防止此类内容危及最终用户,并提醒员工即使电子邮件似乎来自可靠来源,也需保持警惕。”
研究团队还警告称“Web Server Exposed Git 存储库信息泄露”是最常被利用的漏洞,全球 47% 的组织因此遭殃,其次是“MVPower DVR 远程执行代码”,影响了全球 43% 的组织。“Dasan GPON 路由器身份验证绕过 (CVE-2018-10561)”位列第三,全球影响范围为 37%。
头号恶意软件家族
* 箭头表示与上月相比的排名变化。
本月,Emotet仍是第一大恶意软件,全球 14% 的组织受到波及,紧随其后的是Agent Tesla 和Formbook,分别影响了 3% 的组织。
Emotet- Emotet 是一种能够自我传播的高级模块化木马。Emotet 最初是一种银行木马,但最近被用作其他恶意软件或恶意攻击的传播程序。它使用多种方法和规避技术来确保持久性和逃避检测。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。
↑Agent Tesla– Agent Tesla 是一种用作键盘记录器和信息窃取程序的高级 RAT,能够监控和收集受害者的键盘输入与系统剪贴板、截图并盗取受害者电脑上安装的各种软件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)的凭证。
↑Formbook -Formbook 是一种信息窃取程序,可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数,并按照其 C&C 命令下载和执行文件。
最常被利用的漏洞
本月,“Web Server Exposed Git 存储库信息泄露”是最常被利用的漏洞,全球 47% 的组织因此遭殃,其次是“MVPowerDVR 远程执行代码”,影响了全球 43% 的组织。“DasanGPON 路由器身份验证绕过(CVE-2018-10561)”位列第三,全球影响范围为 37%。
↑Web Server Exposed Git 存储库信息泄露- Git 存储库报告的一个信息泄露漏洞。攻击者一旦成功利用该漏洞,便会使用户在无意间造成帐户信息泄露。
↓MVPowerDVR 远程执行代码- 一种存在于 MVPower DVR 设备中的远程代码执行漏洞。远程攻击者可利用此漏洞,通过精心设计的请求在受感染的路由器中执行任意代码。
↑DasanGPON 路由器身份验证绕过(CVE-2018-10561)– 一种存在于 Dasan GPON 路由器中的身份验证绕过漏洞。远程攻击者可成功利用此漏洞获取敏感信息并获得对被感染系统的未授权访问。
头号移动恶意软件家族
xHelper是本月第一大移动恶意软件,其次是 Necro和 Hiddad。
xHelper- 自 2019 年 3 月以来开始肆虐的恶意应用,用于下载其他恶意应用并显示恶意广告。该应用能够对用户隐身,并在卸载后进行自我重新安装。
Necro - Necro 是一种木马植入程序,可下载其他恶意软件、显示侵入性广告,并通过收取付费订阅费用骗取钱财。
Hiddad- Hiddad 是一种 Android 恶意软件,能够对合法应用进行重新打包,然后将其发布到第三方商店。其主要功能是展示广告,但它也可以访问操作系统内置的关键安全细节。
Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成,ThreatCloud 是打击网络犯罪的最大协作网络,可通过全球威胁传感器网络提供威胁数据和攻击趋势。ThreatCloud 数据库每天检查超过 25 亿个网站和 5 亿份文件,每天识别超过 2.5 亿起恶意软件攻击活动。
如欲查看 8 月份十大恶意软件家族的完整列表,请访问 Check Point 博客。
关于Check Point Research
Check Point Research 能够为 Check Point Software 客户以及整个情报界提供领先的网络威胁情报。Check Point 研究团队负责收集和分析 ThreatCloud 存储的全球网络攻击数据,以便在防范黑客的同时,确保所有 Check Point 产品都享有最新保护措施。此外,该团队由 100 多名分析师和研究人员组成,能够与其他安全厂商、执法机关及各个计算机安全应急响应组展开合作。
关于CheckPoint 软件技术有限公司
Check Point 软件技术有限公司(www.checkpoint.com) 是一家面向全球企业用户业内领先的信息安全解决方案提供商。Check Point 解决方案对恶意软件、勒索软件和高级目标威胁的防范率处于业界领先水准,可有效保护客户免受第五代网络攻击。Check Point 为业界提供前瞻性多级安全架构 Infinity Total Protection,这一组合产品架构具备第五代高级威胁防御能力,可全面保护企业的云、网络,移动,工业互联网和IOT系统。