2022 年 4 月, 全球領先網絡安全解決方案提供商Check Point? 軟件技術有限公司(納斯達克股票代碼：CHKP)的威脅情報部門 Check Point Research (CPR)發布了其 2022 年 3 月最新版《全球威脅指數》報告。研究人員報告稱，Emotet 仍是第一大惡意軟件，影響了全球 10% 的機構(比 2 月份翻一番)。

Emotet 是一種能夠自我傳播的高級模塊化木馬，使用多種方法和規避技術來確保持久性和逃避檢測。自去年 11 月卷土重來，Emotet 持續占據了最猖獗惡意軟件的榜首地位。本月這種情況更為顯著，因為許多電子郵件攻擊活動一直在傳播僵尸網絡，包括利用節日氣氛的各種復活節主題網絡釣魚詐騙。這些電子郵件被發送給全球各地的受害者，以使用主題“buona pasqua，復活節快樂”的電子郵件為例，它隨附了一份惡意 XLS 文件來散布 Emotet。

本月，用作鍵盤記錄器和信息竊取程序的高級 RAT - Agent Tesla 是第二大最猖獗的惡意軟件，在上個月的指數榜單中位列第四。Agent Tesla 的攀升是因為多起全新惡意垃圾郵件攻擊活動在全球范圍內通過惡意 xlsx/pdf 文件散布 RAT 。

Check Point 軟件技術公司研發副總裁 Maya Horowitz 表示：“近年來，隨著防御技術的進步，網絡犯罪分子愈發依靠使用者的信任才能侵入公司網絡。通過為網絡釣魚電子郵件設置復活節等季節性假日主題，他們能夠利用節日氣氛誘騙受害者下載含有 Emotet 等惡意軟件的惡意附件。在復活節周末前夕，預計將出現更多此類詐騙，因此我們建議用戶密切關注，即使電子郵件看似來自可靠來源。同時需要注意的是，所有公共假日都可能成為網絡犯罪分子利用的‘信任漏洞’。本月，我們還觀察到 Apache Log4j 再次成為最常被利用的漏洞之一。即使這一漏洞在去年年底引發廣泛關注，但它的威脅仍將持續。各機構需要立即采取行動，防止攻擊發生。”

頭號惡意軟件家族

* 箭頭表示與上月相比的排名變化。

本月，Emotet 仍是第一大惡意軟件，全球 10% 的企業與機構受到波及，其次是 Agent Tesla 和 XMRig，兩者均影響了 2% 的機構。

• ? Emotet - Emotet 是一種能夠自我傳播的高級模塊化木馬。Emotet 曾經被用作銀行木馬，最近又被用作其他惡意軟件或惡意攻擊的傳播程序。它使用多種方法和規避技術來確保持久性和逃避檢測。此外，它還可以通過包含惡意附件或鏈接的網絡釣魚垃圾郵件進行傳播。
• ↑ Agent Tesla – Agent Tesla 是一種用作鍵盤記錄器和信息竊取程序的高級 RAT，能夠監控和收集受害者的鍵盤輸入與系統剪貼板、截圖并盜取受害者電腦上安裝的各種軟件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端)的證書。
• ↑ XMRig - XMRig 是一種開源 CPU 挖礦軟件，用于門羅幣加密貨幣的挖掘，2017 年 5 月首次現身。

最常被利用的漏洞

本月，“Apache Log4j 遠程代碼執行”是最常被利用的漏洞，全球 33% 的機構因此遭殃，其次是“Web Server Exposed Git 存儲庫信息泄露”(從第一位跌至第二位)，影響了全球 26% 的機構。“HTTP 標頭遠程代碼執行”在最常被利用的漏洞排行榜中仍位列第三，全球影響范圍為 26%。

• ↑ Apache Log4j 遠程代碼執行 (CVE-2021-44228) - 一種存在于 Apache Log4j 中的遠程代碼執行漏洞。遠程攻擊者可利用這一漏洞在受影響系統上執行任意代碼。
• ↓ Web Server Exposed Git 存儲庫信息泄露 - Git 存儲庫報告的一個信息泄露漏洞。攻擊者一旦成功利用該漏洞，便會使用戶在無意間造成帳戶信息泄露。
• ? HTTP 標頭遠程代碼執行 (CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) - HTTP 標頭允許客戶端和服務器傳遞帶 HTTP 請求的其他信息。遠程攻擊者可能會使用存在漏洞的 HTTP 標頭在受感染機器上運行任意代碼。

主要移動惡意軟件

AlienBot 是本月最猖獗的移動惡意軟件，其次是 xHelper 和 FluBot。

• AlienBot - AlienBot 惡意軟件家族是一種針對 Android 設備的惡意軟件即服務 (MaaS)，它允許遠程攻擊者首先將惡意代碼注入合法的金融應用中。攻擊者能夠獲得對受害者帳戶的訪問權限，并最終完全控制其設備。
• xHelper - 自 2019 年 3 月以來開始肆虐的惡意應用，用于下載其他惡意應用并顯示惡意廣告。該應用能夠對用戶隱身，并在卸載后進行自我重新安裝。
• FluBot - FluBot 是一種通過網絡釣魚短消息(短信詐騙)傳播的 Android 惡意軟件，通常冒充物流配送品牌。在用戶點擊消息中的鏈接后，他們就會被重定向到包含 FluBot 的虛假應用的下載。安裝后，該惡意軟件的多種功能可收集憑證并支持實施短信詐騙操作，包括上傳聯系人列表以及向其他電話號碼發送短消息。

Check Point《全球威脅影響指數》及其《ThreatCloud 路線圖》基于 Check Point ThreatCloud 情報數據撰寫而成。ThreatCloud 提供的實時威脅情報來自于部署在全球網絡、端點和移動設備上的數億個傳感器。AI 引擎和 Check Point 軟件技術公司情報與研究部門 Check Point Research 的獨家研究數據進一步豐富了情報內容。

關于 Check Point Research

Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領先的網絡威脅情報。Check Point 研究團隊負責收集和分析 ThreatCloud 存儲的全球網絡攻擊數據，以便在防范黑客的同時，確保所有 Check Point 產品都享有最新保護措施。此外，該團隊由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執法機關及各個計算機安全應急響應組展開合作。