俄烏戰爭正在進行時，戰場硝煙彌漫、網絡上明爭暗斗，安理會一票否決，歐美各國大喊制裁，實質性不強，匿名者黑客組織向俄羅斯發起網絡挑戰。同時Conti勒索軟件組織、RedBanditsRU網絡犯罪組織和鮮為人知的CoomingProject勒索軟件計劃，承諾在發生針對俄羅斯的網絡攻擊和行為時，將幫助俄羅斯政府。

當全世界目光投向俄烏戰爭之際，美國在臺海耀武揚威，而朝鮮也恢復導彈試驗，這是朝鮮在 1 月份進行了創紀錄的導彈試驗之后，周日發射了一枚疑似遠程彈道火箭，全球注意力都集中在了烏克蘭身上，西方媒體認為其加劇了緊張局勢。

根據CheckPoint的最新的2022年1月全球威脅指數顯示，Emotet在長期位居榜首之后，再次把Trickbot 推下首位，攀升第一的位置，影響了全球監測抽樣6%的組織。事實證明，Log4j 仍然是一個大問題，影響了全球監測抽樣的 47.4% 的組織，受攻擊最多的行業仍然是教育、研究。

臭名昭著的僵尸網絡最常通過包含惡意附件或鏈接的網絡釣魚電子郵件傳播。Trickbot 的流行只是起到了催化劑的作用，進一步加速傳播了惡意軟件。與此同時，Dridex完全從前十名中被擠出去，取而代之的是 Lokibot，有一個信息竊取器用于獲取電子郵件憑據、加密貨幣錢包密碼和 FTP 服務器等數據。

本月，Dridex 從我們的前十名中消失，Lokibot 重新出現。Lokibot 在受害者最忙碌的時候利用他們，通過偽裝得很好的網絡釣魚電子郵件進行分發。這些威脅，連同與 Log4j 漏洞的持續斗爭，強調了跨網絡、云、移動和用戶端點獲得最佳安全性的重要性。

我們本月Apache Log4j 遠程執行代碼仍然是最常被利用的漏洞，影響了全球監測抽樣 47.4% 的組織，其次是Web 服務器暴露的 Git 存儲庫信息泄露，影響了全球監測抽樣 45% 的組織HTTP Headers Remote Code Execution在被利用最多的漏洞列表中排名第三，全球監測抽樣影響率為 42%。

2022年1月“十惡不赦”

*箭頭表示與上個月相比的排名變化。

本月，Emotet是最流行的惡意軟件，影響了全球 6% 的組織，緊隨其后的是Trickbot，影響率為 4%，Formbook緊隨其后，影響率為 3%。

1.↑ Emotet – Emotet 是一種先進的、自我傳播的模塊化木馬。Emotet 曾經被用作銀行木馬，最近被用作其他惡意軟件或惡意活動的分發者。它使用多種方法來維護持久性和規避技術以避免檢測。此外，它還可以通過包含惡意附件或鏈接的網絡釣魚垃圾郵件進行傳播。

2.↓ Trickbot – Trickbot 是一個模塊化的僵尸網絡和銀行木馬，不斷更新新的功能、特性和分發向量。這使 Trickbot 成為一種靈活且可定制的惡意軟件，可以作為多用途活動的一部分進行分發。

3.↓ Formbook – Formbook 是一個信息竊取器，它從各種 Web 瀏覽器中獲取憑據，收集屏幕截圖、監控和記錄擊鍵，并可以根據其 C&C 命令下載和執行文件。

4.?Agent Tesla – Agent Tesla 是一種高級 RAT，可用作鍵盤記錄器和信息竊取器。它能夠監控和收集受害者的鍵盤輸入、系統鍵盤、截取屏幕截圖并將憑據泄露給安裝在受害者機器上的各種軟件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端)。

5. ↑XMRig –XMRig 是一款開源 CPU 挖礦軟件，用于門羅幣加密貨幣的挖礦過程，于 2017 年 5 月首次出現在野外。

6.↓ Glupteba – Glupteba 是一個后門，逐漸成熟為僵尸網絡。到 2019 年，它包括一個通過公共比特幣列表的 C&C 地址更新機制、一個完整的瀏覽器竊取功能和一個路由器漏洞利用程序。

7.↓ Remcos – Remcos 是 2016 年首次出現在野外的 RAT。Remcos通過附加到垃圾郵件的惡意 Microsoft Office 文檔進行傳播，旨在繞過 Microsoft Windows UAC 安全并以高級權限執行惡意軟件。

8.?Ramnit -Ramnit 是一種銀行木馬，可竊取銀行憑證、FTP 密碼、會話 cookie 和個人數據。

9.↑ Phorpiex – Phorpiex 是一個僵尸網絡(又名 Trik)，自 2010 年以來一直存在，并在其鼎盛時期控制了超過一百萬個受感染的主機。它以通過垃圾郵件活動分發其他惡意軟件系列以及助長大規模垃圾郵件和性勒索活動而聞名。

10.↑ Lokibot – Lokibot 是一種主要通過網絡釣魚電子郵件分發的信息竊取器，用于竊取各種數據，例如電子郵件憑據，以及 CryptoCoin 錢包和 FTP 服務器的密碼。

1月份漏洞Top10

本月Apache Log4j 遠程代碼執行仍然是最常被利用的漏洞，影響了全球監測抽樣47.4%的組織，其次是 Web 服務器暴露的 Git 存儲庫信息泄露，影響了全球監測抽樣45%的組織。HTTP Headers Remote Code Execution 在被利用最多的漏洞列表中排名第三，全球監測抽樣影響率為42%。

1.?Apache Log4j 遠程代碼執行 (CVE-2021-44228) – Apache Log4j 中存在遠程代碼執行漏洞。成功利用此漏洞可能允許遠程攻擊者在受影響的系統上執行任意代碼。

2.? Web服務器暴露的 Git 存儲庫信息泄露– Git 存儲庫中報告了一個信息泄露漏洞。成功利用此漏洞可能會無意中泄露賬戶信息。

3.? HTTP 標頭遠程代碼執行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) ——HTTP 標頭允許客戶端和服務器通過 HTTP 請求傳遞附加信息。遠程攻擊者可能使用易受攻擊的 HTTP 標頭在受害機器上運行任意代碼。

4.? Web服務器惡意 URL 目錄遍歷(CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – 那里在不同的 Web 服務器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務器中的輸入驗證錯誤未正確清理目錄遍歷模式的 URI。成功利用允許未經身份驗證的遠程攻擊者泄露或訪問易受攻擊的服務器上的任意文件。

5.↑ 通過 HTTP 進行命令注入(CVE-2013-6719,CVE-2013-6720) – 報告了通過 HTTP 進行命令注入漏洞。遠程攻擊者可以通過向受害者發送特制請求來利用此問題。成功的利用將允許攻擊者在目標機器上執行任意代碼。

6.↑ D-LINK 多產品遠程代碼執行 (CVE-2015-2051) - 多個D-Link 產品中報告了遠程代碼執行漏洞。成功利用可能導致在易受攻擊的設備上執行任意代碼。

7.↓ MVPower DVR 遠程代碼執行– MVPower DVR 設備中存在遠程代碼執行漏洞。遠程攻擊者可以利用此弱點通過精心制作的請求在受影響的路由器中執行任意代碼。

8.↓ Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561) – Dasan GPON 路由器中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并未經授權訪問受影響的系統。

9.↑ PHP 復活節彩蛋信息披露 - PHP 頁面中報告了一個信息披露漏洞。該漏洞是由于 Web 服務器配置不正確造成的。遠程攻擊者可以通過向受影響的 PHP 頁面發送特制 URL 來利用此漏洞。

10.↓ Apache HTTP Server 目錄遍歷 (CVE-2021-41773,CVE-2021-42013) – Apache HTTP Server中存在目錄遍歷漏洞。成功利用此漏洞可能允許攻擊者訪問受影響系統上的任意文件。

頂級移動惡意軟件

本月xHelper作為最流行的移動惡意軟件排名第一，其次是AlienBot和FluBot。

1.xHelper – 自 2019 年 3 月以來未在野外出現的惡意應用程序，用于下載其他惡意應用程序和顯示廣告。該應用程序能夠對用戶隱藏自身并在被卸載時重新安裝自身。

2.AlienBot – AlienBot 惡意軟件系列是適用于 Android 設備的惡意軟件即服務 (MaaS)，它允許遠程攻擊者首先將惡意代碼注入合法的金融應用程序。攻擊者獲得對受害者賬戶的訪問權限，并最終完全控制他們的設備。

3.FluBot – FluBot 是一種 Android 僵尸網絡惡意軟件，通過網絡釣魚 SMS 消息分發，通常冒充物流配送品牌。一旦用戶單擊消息中的鏈接，FluBot 就會安裝并訪問手機上的所有敏感信息。