Check Point Research 報告指出,使用 Phorpiex 僵尸網絡在惡意垃圾郵件攻擊活動中傳播 Avaddon 勒索軟件的攻擊利用率激增

2020 年 12 月 全球領先網絡安全解決方案提供商 Check Point® 軟件技術有限公司(納斯達克股票代碼:CHKP)的威脅情報部門 Check Point Research 發布了 2020 年 11 月最新版《全球威脅指數》報告。該報告顯示,臭名昭著的 Phorpiex 僵尸網絡的感染率激增,成為本月最猖獗的惡意軟件,影響了全球 4% 的組織。Phorpiex 最近一次出現在威脅指數榜單前 10 名是在今年 6 月。

Phorpiex 僵尸網絡于 2010 年首次發現,并在其巔峰時期控制了超過一百萬臺受感染主機。Phorpiex 因通過垃圾郵件分發其他惡意軟件家族并助長大規模“性勒索”垃圾郵件攻擊活動和加密貨幣挖礦而廣為人知,正如 Check Point 研究人員在今年早些時候的最初報告,該僵尸網絡正再度分發 Avaddon 勒索軟件。Avaddon 是一種相對較新的勒索軟件即服務 (RaaS) 變體,其攻擊者再次招募同伙來分發勒索軟件并從中抽取利潤。在惡意垃圾郵件攻擊活動中,Avaddon 通過 JS 和 Excel 文件進行分發,并能夠加密各種文件類型。

Check Point 產品威脅情報與研究總監 Maya Horowitz 表示:“Phorpiex 是最早、最頑固的僵尸網絡之一,多年來一直被創建者用于分發 GandCrab 和 Avaddon 勒索軟件等其他惡意軟件有效載荷,或實施性勒索欺詐。此次新一波病毒感染正在傳播另一場勒索軟件攻擊活動,這足以揭示 Phorpiex 工具的破壞性。組織應確保員工了解如何識別潛在的惡意垃圾郵件,并警惕打開電子郵件隨附的未知附件,即使其似乎來自可靠來源。此外,組織還應確保部署安全防御措施,以主動防止上述威脅感染其網絡。”

研究團隊還警告稱,“HTTP 標頭遠程代碼執行 (CVE-2020-13756)”是最常被利用的漏洞,全球 54% 的組織因此遭殃,其次是“MVPower DVR 遠程代碼執行”和“Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561)”,兩者分別影響了全球 48% 和 44% 的組織。

頭號惡意軟件家族

* 箭頭表示與上月相比的排名變化。

Phorpiex 是本月最活躍的惡意軟件,影響了全球 4% 的組織,緊隨其后的是 Dridex 和 Hiddad,兩者均影響了全球 3% 的組織。

↑ Phorpiex - Phorpiex 是一種僵尸網絡,因通過垃圾郵件攻擊活動分發其他惡意軟件家族并助長大規模性勒索攻擊活動而廣為人知。

↑ Dridex - Dridex 是一種針對 Windows 平臺的木馬,據稱可通過垃圾郵件附件下載。Dridex 不僅能夠聯系遠程服務器并發送有關受感染系統的信息,而且還可以下載并執行從遠程服務器接收的任意模塊。

↔ Hiddad - Hiddad 是一種 Android 惡意軟件感染工具,能夠對合法移動應用進行重新打包,然后將其發布到第三方商店。其主要功能是顯示廣告,但它也可以訪問操作系統內置的關鍵安全細節。

最常被利用的漏洞

本月,“HTTP 標頭遠程代碼執行 (CVE-2020-13756)”是最常被利用的漏洞,全球 54% 的組織因此遭殃,其次是“MVPower DVR 遠程代碼執行”和“Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561)”,兩者分別影響了全球 48% 和 44% 的組織。

↑HTTP 標頭遠程代碼執行 (CVE-2020-13756) - HTTP 標頭允許客戶端和服務器傳遞帶 HTTP 請求的其他信息。遠程攻擊者可能會使用存在漏洞的 HTTP 標頭在受感染機器上運行任意代碼。

↓ MVPower DVR 遠程代碼執行 - 一種存在于 MVPower DVR 設備中的遠程代碼執行漏洞。遠程攻擊者可利用此漏洞,通過精心設計的請求在受感染的路由器中執行任意代碼。

↓ Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561) – 一種存在于 Dasan GPON 路由器中的身份驗證繞過漏洞。遠程攻擊者可利用此漏洞獲取敏感信息,并在不經授權的情況下訪問受感染系統。

主要移動惡意軟件

Hiddad 仍然是本月最猖獗的移動惡意軟件,其次是 xHelper 和 Lotoor。

Hiddad — Hiddad 是一種 Android 惡意軟件感染工具,能夠對合法應用進行重新打包,然后將其發布到第三方商店。其主要功能是顯示廣告,但它也可以訪問操作系統內置的關鍵安全細節。

2.xHelper — xHelper 是自 2019 年 3 月以來開始活躍的惡意應用,用于下載其他惡意應用和顯示惡意廣告。該應用能夠對用戶隱身,并在卸載后進行自我重新安裝。

3.Lotoor — Lotoor 是一種黑客工具,能夠利用 Android 操作系統漏洞在入侵的移動設備上獲得根權限。

Check Point《全球威脅影響指數》及其《ThreatCloud 路線圖》基于 Check Point ThreatCloud 情報數據撰寫而成,ThreatCloud 是打擊網絡犯罪的最大協作網絡,可通過全球威脅傳感器網絡提供威脅數據和攻擊趨勢。ThreatCloud 數據庫每天檢查超過 25 億個網站和 5 億份文件,每天識別超過 2.5 億起惡意軟件攻擊活動。

如欲查看 11 月份十大惡意軟件家族的完整列表,請訪問 Check Point 博客。

關于 Check Point Research

Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領先的網絡威脅情報。Check Point 研究團隊負責收集和分析 ThreatCloud 存儲的全球網絡攻擊數據,以便在防范黑客的同時,確保所有 Check Point 產品都享有最新保護措施。此外,該團隊由 100 多名分析師和研究人員組成,能夠與其他安全廠商、執法機關及各個計算機安全應急響應組展開合作。

關于 Check Point 軟件技術有限公司

Check Point 軟件技術有限公司 (www.checkpoint.com) 是一家面向全球政府和企業的領先網絡安全解決方案提供商。 Check Point 解決方案對惡意軟件、勒索軟件和高級目標威脅的捕獲率處于業界領先水準,可有效保護客戶免受第五代網絡攻擊。Check Point 推出了多級安全架構 Infinity Total Protection,這一組合產品架構具備第五代高級威脅防御能力,可全面保護企業的云、網絡和移動設備。Check Point 還可提供最全面、最直觀的單點控制安全管理系統。Check Point 為十萬多家各種規模的企業提供保護。