以色列安全機構checkpoint在今年1月份，發布了 2022 年 12 月全球威脅指數，由于過年加上其他雜七雜八的事情，一直拖著沒有整理過來和大家分享。

Glupteba 惡意軟件是支持區塊鏈的木馬僵尸網絡，自 2022 年 7 月以來首次重返前十名，升至第八位。Qbot 是一種復雜的特洛伊木馬程序，可以竊取銀行憑證和擊鍵，在去年十二月卷土重來后取代 Emotet 成為最流行的惡意軟件，影響了全球抽樣 7% 的組織。與此同時，Android 惡意軟件 Hiddad 卷土重來，教育仍然是全球受影響最大的行業。

最新研究的壓倒性主題是惡意軟件如何經常偽裝成合法軟件，讓黑客在不引起懷疑的情況下通過后門訪問設備。這就是為什么在下載任何軟件和應用程序或單擊鏈接時進行盡職調查很重要，無論它們看起來多么真實。

研究還顯示，“Web Server Exposed Git Repository Information Disclosure”是最常被利用的漏洞，影響了全球 46% 的組織，其次是“Web Servers Malicious URL Directory Traversal”，全球 44% 的組織受到影響。“HTTP 命令注入”是第三大最常使用的漏洞，全球影響為 43%。

2022年12月“十惡不赦”

*箭頭表示與上個月相比排名的變化。

Qbot是上個月最流行的惡意軟件，影響全球抽樣7%的組織，其次是Emotet，全球抽樣影響為4%，XMRig全球抽樣影響為3%。

1. ↑ Qbot – Qbot AKA Qakbot 是一種銀行木馬，于 2008 年首次出現。它旨在竊取用戶的銀行憑證和擊鍵。Qbot 通常通過垃圾郵件分發，它采用多種反虛擬機、反調試和反沙盒技術來阻礙分析和逃避檢測。
2. ? Emotet – Emotet 是一種先進的、自我傳播的模塊化木馬。Emotet 曾被用作銀行木馬，最近被用作其他惡意軟件或惡意活動的分發者。它使用多種方法來保持持久性和規避技術以避免被發現。此外，它還可以通過包含惡意附件或鏈接的網絡釣魚垃圾郵件進行傳播。
3. ↑ XMRig – XMRig 是用于挖掘 Monero 加密貨幣的開源 CPU 挖掘軟件。威脅行為者經常通過將其集成到他們的惡意軟件中來濫用這種開源軟件，從而在受害者的設備上進行非法挖掘。
4. ↑ Formbook – Formbook 是一種針對 Windows 操作系統的信息竊取程序，于 2016 年首次被發現。由于其強大的規避技術和相對較低的價格，它在地下黑客論壇中作為惡意軟件即服務 (MaaS) 進行銷售。FormBook 從各種網絡瀏覽器收集憑證、收集屏幕截圖、監控和記錄擊鍵，并可以根據其 C&C 的命令下載和執行文件。
5. ↑ Nanocore ——NanoCore 是一種針對 Windows 操作系統用戶的遠程訪問木馬，于 2013 年首次在野外被發現。RAT 的所有版本都包含基本的插件和功能，例如屏幕捕獲、加密貨幣挖掘、遠程控制桌面和網絡攝像頭會話盜竊。
6. ↑ Ramnit – Ramnit 是一種模塊化銀行木馬程序，于 2010 年首次被發現。Ramnit 竊取網絡會話信息，使其運營商能夠竊取受害者使用的所有服務的帳戶憑據，包括銀行帳戶、公司和社交網絡帳戶。木馬使用硬編碼域以及 DGA（域生成算法）生成的域來聯系 C&C 服務器并下載其他模塊。
7. ↑Remcos – Remcos 是一種 RAT，于 2016 年首次在野外出現。Remcos 通過附加在垃圾郵件中的惡意 Microsoft Office 文檔進行自我分發，旨在繞過 Microsoft Windows 的 UAC 安全并以高級別權限執行惡意軟件。
8. ↑Glupteba – 自 2011 年以來，Glupteba 是一個逐漸成熟為僵尸網絡的后門程序。到 2019 年，它包括通過公共比特幣列表的 C&C 地址更新機制、集成的瀏覽器竊取器功能和路由器利用程序。
9. ↓AgentTesla – AgentTesla 是一種高級 RAT，充當鍵盤記錄器和信息竊取器，能夠監視和收集受害者的鍵盤輸入、系統鍵盤、截屏，并將憑證泄露到安裝在受害者機器上的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）。
10. ↓ Phorpiex – Phorpiex 是一個僵尸網絡（又名 Trik），自 2010 年以來一直活躍，在其高峰期控制了超過一百萬臺受感染的主機。它以通過垃圾郵件活動分發其他惡意軟件系列以及助長大規模垃圾郵件和性勒索活動而聞名。

全球受攻擊最多的行業

上個月，教育/研究仍然是全球受攻擊最嚴重的行業，其次是政府/軍隊，然后是醫療保健。

1. 教育/研究
2. 政府/軍隊
3. 衛生保健

最常被利用的漏洞

12 月，“ Web Server Exposed Git Repository Information Disclosure ”是最常被利用的漏洞，影響了全球46%的組織，其次是“ Web Servers Malicious URL Directory Traversal ”，全球44%的組織受到影響。“ HTTP 命令注入”是第三大最常使用的漏洞，全球影響為43%。

1. ↑ Web 服務器暴露的 Git 存儲庫信息泄露– Git 存儲庫中報告了一個信息泄露漏洞。成功利用此漏洞可能會導致無意中泄露帳戶信息。
2. ↓ Web 服務器惡意 URL 目錄遍歷 (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – 有在不同的網絡服務器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務器中的輸入驗證錯誤導致的，該錯誤未正確清理目錄遍歷模式的 URI。成功的利用允許未經身份驗證的遠程攻擊者泄露或訪問易受攻擊的服務器上的任意文件。
3. ↑ HTTP 上的命令注入（CVE-2021-43936、CVE-2022-24086） ——已報告 HTTP 上的命令注入漏洞。遠程攻擊者可以通過向受害者發送特制請求來利用此問題。成功的利用將允許攻擊者在目標機器上執行任意代碼。
4. ↓ HTTP 標頭遠程代碼執行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） ——HTTP 標頭讓客戶端和服務器通過 HTTP 請求傳遞附加信息。遠程攻擊者可能會使用易受攻擊的 HTTP 標頭在受害計算機上運行任意代碼。
5. ↑MVPower DVR 遠程代碼執行——MVPower DVR 設備中存在遠程代碼執行漏洞。遠程攻擊者可以利用此弱點通過精心設計的請求在受影響的路由器中執行任意代碼。
6. ↓ Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561) – Dasan GPON 路由器中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并獲得對受影響系統的未授權訪問。
7. ? PHP 復活節彩蛋信息泄露 – PHP 頁面中報告了一個信息泄露漏洞。該漏洞是由于不正確的 Web 服務器配置造成的。遠程攻擊者可以通過向受影響的 PHP 頁面發送特制 URL 來利用此漏洞。
8. ↑Microsoft Windows HTTP.sys 遠程代碼執行（MS15-034：CVE-2015-1635）——某些版本的 Microsoft Windows OP 中的 HTTP.sys 漏洞被追蹤為 CVE-2015-1635。成功的利用將允許威脅參與者執行任意 HTTP 請求，導致緩沖區溢出，并可能獲得 SYSTEM 權限。
9. ↓ WordPress portable-phpMyAdmin 插件身份驗證繞過 (CVE-2012-5469) – WordPress portable-phpMyAdmin 插件中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并獲得對受影響系統的未授權訪問。
10. ↓ PHPUnit 命令注入 (CVE-2017-9841) – PHPUnit 中存在一個命令注入漏洞。成功利用此漏洞將允許遠程攻擊者在受影響的系統中執行任意命令。

頂級移動惡意軟件

上個月， Anubis仍然是最流行的移動惡意軟件，其次是Hiddad和AlienBot。

1. Anubis – Anubis 是一種專為 Android 手機設計的銀行木馬惡意軟件。自從最初被發現以來，它已經獲得了額外的功能，包括遠程訪問木馬 (RAT) 功能、鍵盤記錄器和錄音功能以及各種勒索軟件功能。已在 Google 商店中提供的數百種不同應用程序中檢測到它。
2. Hiddad – Hiddad 是一種 Android 惡意軟件，它會重新打包合法應用程序，然后將它們發布到第三方商店。它的主要功能是顯示廣告，但它也可以訪問操作系統內置的關鍵安全細節。
3. AlienBot – AlienBot 是一種適用于 Android 的銀行木馬，作為惡意軟件即服務 (MaaS) 在地下出售。它支持鍵盤記錄、用于憑據盜竊的動態覆蓋以及用于繞過 2FA 的 SMS 收集。使用 TeamViewer 模塊提供額外的遠程控制功能。