跟蹤，CheckPoint發布的10 月全球威脅指數報告，鍵盤記錄程序 AgentTesla 已成為最廣泛傳播的惡意軟件，影響全球抽樣 7% 的組織。來自信息竊取者 Lokibot 的攻擊數量顯著增加，五個月來首次達到第三位。此外，還披露了一個影響 Apache Commons Text 庫的新漏洞 Text4Shell。

Lokibot 是一種商品信息竊取器，旨在從各種應用程序中獲取憑據，包括：Web 瀏覽器、電子郵件客戶端和 IT 管理工具。作為特洛伊木馬，它的目標是通過偽裝成合法程序潛入系統，不被發現。可以通過網絡釣魚電子郵件、惡意網站、SMS 和其他消息傳遞平臺進行分發。這種受歡迎程度的上升可以通過以在線查詢、訂單和付款確認消息為主題的垃圾郵件活動的增加來解釋。

10 月還發現了一個新的嚴重漏洞 Text4Shell (CVE-2022-42889)。基于 Apache Commons Text 的功能，這允許通過網絡進行攻擊，而無需任何特定權限或用戶交互。Text4shell 讓人想起 Log4Shell 漏洞，該漏洞仍然存在一年，是主要威脅之一，在 10 月列表中排名第二。盡管 Text4Shell 沒有列入本月利用的主要漏洞列表，但它已經影響了全球超過 8% 的組織，Check Point 將繼續監控其影響。

本月的排名發生了很大變化，一組新的惡意軟件家族構成了三巨頭。有趣的是，Lokibot 如此迅速地爬回了第三位，這表明網絡釣魚攻擊的趨勢越來越明顯。隨著時間進入11月，這是一個繁忙的購買期，重要的是人們要保持警惕并留意可能攜帶惡意代碼的可疑電子郵件。注意諸如不熟悉的發件人、要求提供個人信息和鏈接等跡象。如有疑問，請直接訪問網站并從經過驗證的來源中找到適當的聯系信息，并確保安裝了惡意軟件防護。

根據CheckPoint的研究還顯示，“Web Server Exposed Git Repository Information Disclosure”是最常被利用的漏洞，影響了全球 43% 的組織，緊隨其后的是“Apache Log4j 遠程代碼執行”，影響率為 41%。10 月，教育/研究仍然是全球受攻擊最多的行業。

2022年10月“十惡不赦”

*箭頭表示與上個月相比排名的變化。

AgentTesla是本月影響最廣泛的惡意軟件，影響了全球 7% 的組織，其次是SnakeKeylogger ，影響了 5%，Lokibot影響了 4%。

↑ AgentTesla – AgentTesla 是一種高級 RAT，可用作鍵盤記錄器和信息竊取器。它能夠監控和收集受害者的鍵盤輸入、系統鍵盤、截取屏幕截圖并將憑據泄露給安裝在受害者機器上的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook）。

↑ SnakeKeylogger – SnakeKeylogger 是一個模塊化的 .NET 鍵盤記錄器和憑據竊取程序，于 2020 年 11 月首次被發現。其主要功能是記錄用戶的擊鍵并將收集的數據傳輸給威脅參與者。它對用戶的在線安全構成重大威脅，因為這種惡意軟件可以竊取各種敏感信息，并且特別具有規避性。

↑Lokibot – Lokibot 是一種信息竊取程序，主要通過網絡釣魚電子郵件分發，用于竊取各種數據，例如電子郵件憑據，以及 Crypto Coin 錢包和 FTP 服務器的密碼。

↑Icedid – IcedID 是一種銀行木馬，于 2017 年 9 月首次出現。它通過垃圾郵件活動傳播，并經常使用 Emotet 等其他惡意軟件來幫助其擴散。IcedID 使用諸如進程注入和隱寫術之類的規避技術。它通過重定向攻擊（通過安裝本地代理將用戶重定向到假克隆站點）和網絡注入攻擊來竊取用戶財務數據。

↓ XMRig – XMRig 是用于挖掘 Monero 加密貨幣的開源 CPU 挖掘軟件。威脅者經常濫用這種開源軟件，將其集成到他們的惡意軟件中，在受害者的設備上進行非法挖掘。

↓ Emotet- Emotet 是一種先進的、自我傳播的模塊化木馬。Emotet 曾經用作銀行木馬，現在也用作其他惡意軟件或惡意活動的分發者。它使用多種規避技術來避免檢測。此外，它還可以通過包含惡意附件或鏈接的網絡釣魚垃圾郵件進行傳播。

↓ Formbook – Formbook 是針對 Windows 操作系統的信息竊取程序，于 2016 年首次被發現。由于其強大的規避技術和相對較低的價格，它在地下黑客論壇中作為惡意軟件即服務 (MaaS) 進行銷售。Formbook 從各種 Web 瀏覽器收集憑據，收集屏幕截圖，監控和記錄擊鍵，并可以根據其 C&C 的命令下載和執行文件。

↓ Ramnit – Ramnit 是 2010 年首次發現的模塊化銀行木馬。Ramnit 竊取 Web 會話信息，使其運營商能夠竊取受害者使用的所有服務的帳戶憑據，包括銀行應用程序以及公司和社交網絡帳戶。該木馬使用硬編碼域以及由 DGA（域生成算法）生成的域來聯系 C&C 服務器并下載其他模塊。

↓ Vidar- Vidar 是一個針對 Windows 操作系統的信息竊取程序。它于 2018 年底首次被發現，旨在從各種網絡瀏覽器和數字錢包中竊取密碼、信用卡數據和其他敏感信息。Vidar 在各種在線論壇上出售，并用作惡意軟件投放器來下載 GandCrab 勒索軟件作為其輔助有效負載。

? Remcos – Remcos 是一種 RAT，于 2016 年首次出現。Remcos 通過附加到垃圾郵件的惡意 Microsoft Office 文檔進行傳播，旨在繞過 Microsoft Windows UAC 安全性并以高級權限執行惡意軟件。

全球受攻擊最多的行業

本月，教育/研究部門仍然是全球受攻擊最多的行業，其次是政府/軍事和醫療保健。

• 教育/研究
• 政府/軍隊
• 衛生保健

最常被利用的漏洞

“Web 服務器暴露 Git 存儲庫信息泄露”仍然是 10 月份最常被利用的漏洞，影響了全球 43% 的組織。緊隨其后的是“Apache Log4j 遠程代碼執行”以 41% 的影響位居第二，“HTTP 標頭遠程代碼執行”以 39% 的全球影響位居第三。

? Web 服務器暴露的 Git 存儲庫信息泄露 – Git 存儲庫中報告了一個信息泄露漏洞。成功利用此漏洞可能會導致無意泄露帳戶信息。

? Apache Log4j 遠程代碼執行 (CVE-2021-44228) – Apache Log4j 中存在遠程代碼執行漏洞。成功利用此漏洞可能允許遠程攻擊者在受影響的系統上執行任意代碼。

↑ HTTP 標頭遠程代碼執行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） ——HTTP 標頭允許客戶端和服務器通過 HTTP 請求傳遞附加信息。遠程攻擊者可能使用易受攻擊的 HTTP 標頭在受害者機器上運行任意代碼。

↑ Web 服務器惡意 URL 目錄遍歷 (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) –那里在不同的 Web 服務器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務器中的輸入驗證錯誤未正確清理目錄遍歷模式的 URL。成功利用允許未經身份驗證的遠程攻擊者泄露或訪問任意文件。

↓ 通過 HTTP 進行命令注入 (CVE-2021-43936,CVE-2022-24086) –報告了通過 HTTP 的命令注入漏洞。遠程攻擊者可以通過向受害者發送特制請求來利用此問題。成功的利用將允許攻擊者在目標機器上執行任意代碼。

? MVPower DVR 遠程代碼執行– MVPower DVR 設備中存在遠程代碼執行漏洞。遠程攻擊者可以利用此弱點通過精心設計的請求在受影響的路由器中執行任意代碼

? PHP Easter Egg Information Disclosure – PHP 頁面中報告了一個信息泄露漏洞。該漏洞是由于 Web 服務器配置不正確造成的。遠程攻擊者可以通過向受影響的 PHP 頁面發送特制 URL 來利用此漏洞。

↑ WordPress 便攜式 phpMyAdmin 插件身份驗證繞過 (CVE-2012-5469) - WordPress 便攜式 phpMyAdmin 插件中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并未經授權訪問受影響的系統。

? Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561)- Dasan GPON 路由器中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并未經授權訪問受影響的系統。

↓ PHPUnit 命令注入 (CVE-2017-9841) – PHPUnit 中存在命令注入漏洞。成功利用此漏洞將允許遠程攻擊者在受影響的系統中執行任意命令。

頂級移動惡意軟件

本月，Anubis繼續成為最流行的移動惡意軟件，緊隨其后的是Hydra和Joker。

Anubis – Anubis 是一種專為 Android 手機設計的銀行木馬惡意軟件。自從它最初被發現以來，它已經獲得了額外的功能，包括遠程訪問木馬 (RAT) 功能、鍵盤記錄器和錄音功能以及各種勒索軟件功能。它已在 Google 商店中的數百個不同應用程序中檢測到。

Hydra – Hydra 是一種銀行木馬，旨在通過請求受害者啟用危險權限來竊取金融憑證。

Joker – Joker 是 Google Play 中的一款 Android 間諜軟件，旨在竊取 SMS 消息、聯系人列表和設備信息。該惡意軟件還可以在受害者未經同意或不知情的情況下為其注冊付費高級服務。