在我們 2023 年 1 月的最新全球威脅指數中，信息竊取者 Vidar 在品牌劫持事件增加以及在中東和北非發起大型 njRAT 惡意軟件網絡釣魚活動后重返前十名，位列第七。

1 月，信息竊取者 Vidar 被發現通過聲稱與遠程桌面軟件公司 AnyDesk 有關聯的虛假域傳播。該惡意軟件對各種流行的應用程序使用 URL 劫持，將人們重定向到一個聲稱是官方 AnyDesk 網站的 IP 地址。下載后，該惡意軟件會偽裝成合法安裝程序以竊取敏感信息，例如登錄憑據、密碼、加密貨幣錢包數據和銀行詳細信息。

研究人員還發現了一個名為 Earth Bogle 的主要活動，將 njRAT 惡意軟件發送到中東和北非的目標。攻擊者使用包含地緣政治主題的釣魚郵件，誘使用戶打開惡意附件。下載并打開后，木馬程序可以感染設備，使攻擊者可以進行大量入侵活動以竊取敏感信息。njRAT 在頂級惡意軟件列表中排名第十，在 2022 年 9 月之后下降。

我們繼續看到惡意軟件組織使用受信任的品牌來傳播病毒，目的是竊取個人身份信息。我們怎么強調都不為過，人們注意他們點擊的鏈接以確保它們是合法的 URL 是多么重要。注意安全掛鎖，它表示最新的 SSL 證書，并注意任何可能表明該網站是惡意的隱藏拼寫錯誤。

我們的最新研究還顯示，“Web Server Exposed Git Repository Information Disclosure”仍然是上個月被利用最多的漏洞，影響了全球 46% 的組織，其次是“HTTP Headers Remote Code Execution”，影響了全球 42% 的組織?！癕VPower DVR 遠程代碼執行”以 39% 的全球影響力排名第三。

2023年1月“十惡不赦”

Qbot和Lokibot是上個月最流行的惡意軟件，對全球組織的影響分別超過 6%，其次是AgentTesla，全球影響為 5%。

1. ↑ Qbot – Qbot AKA Qakbot 是一種銀行木馬，于 2008 年首次出現。它旨在竊取用戶的銀行憑證和擊鍵。Qbot 通常通過垃圾郵件分發，它采用多種反虛擬機、反調試和反沙盒技術來阻礙分析和逃避檢測。
2. ↑ Lokibot – LokiBot 是一種商品信息竊取程序，具有適用于 Windows 和 Android 操作系統的版本，于 2016 年 2 月首次被發現。它從各種應用程序、網絡瀏覽器、電子郵件客戶端、IT 管理工具（如 PuTTY 等）中獲取憑證。LokiBot 在黑客論壇上出售，據信其源代碼已泄露，因此出現了許多變體。自 2017 年底以來，某些 Android 版本的 LokiBot 除了信息竊取功能外還包含勒索軟件功能。
3. ↑AgentTesla – AgentTesla 是一種高級 RAT，充當鍵盤記錄器和信息竊取器，能夠監視和收集受害者的鍵盤輸入、系統鍵盤、截取屏幕截圖，并將憑證泄露到安裝在受害者機器上的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook）。
4. ? Formbook – Formbook 是一種針對 Windows 操作系統的信息竊取程序，于 2016 年首次被發現。由于其強大的規避技術和相對較低的價格，它在地下黑客論壇中作為惡意軟件即服務 (MaaS) 進行銷售。FormBook 從各種網絡瀏覽器收集憑證、收集屏幕截圖、監控和記錄擊鍵，并可以根據其 C&C 的命令下載和執行文件。
5. ↓ XMRig – XMRig 是一種用于挖掘 Monero 加密貨幣的開源 CPU 挖掘軟件。威脅行為者經常通過將其集成到他們的惡意軟件中來濫用這種開源軟件，從而在受害者的設備上進行非法挖掘。
6. ↓ Emotet – Emotet 是一種先進的、自我傳播的模塊化木馬。Emotet 曾被用作銀行木馬，現在被用作其他惡意軟件或惡意活動的分發者。它使用多種方法來保持持久性和規避技術以避免被發現。此外，它還可以通過包含惡意附件或鏈接的網絡釣魚垃圾郵件進行傳播。
7. ↑Vidar – Vidar 是一個針對 Windows 操作系統的信息竊取程序。它于 2018 年底首次被發現，旨在從各種網絡瀏覽器和數字錢包中竊取密碼、信用卡數據和其他敏感信息。Vidar 在各種在線論壇上出售，并用作惡意軟件投放器以下載 GandCrab 勒索軟件作為其次要有效負載。
8. ↑ GuLoader – Guloader 是一款自 2019 年 12 月以來廣泛使用的下載器。GuLoader 首次出現時用于下載 Parallax RAT，但已應用于其他遠程訪問木馬和信息竊取程序，例如 Netwire、FormBook 和 Agent Tesla。
9. ↓ Nanocore – Nanocore 是一種針對 Windows 操作系統用戶的遠程訪問木馬，于 2013 年首次在野外被發現。RAT 的所有版本都包含基本的插件和功能，例如屏幕捕獲、加密貨幣挖礦、遠程控制桌面和網絡攝像頭會話盜竊。
10. ↑ njRAT – njRAT 是一種遠程訪問木馬，主要針對中東的政府機構和組織。該木馬于 2012 年首次出現，具有多種功能：捕獲擊鍵、訪問受害者的攝像頭、竊取存儲在瀏覽器中的憑據、上傳和下載文件、執行進程和文件操作以及查看受害者的桌面。NJRat 通過網絡釣魚攻擊和路過式下載感染受害者，并在命令和控制服務器軟件的支持下通過受感染的 USB 密鑰或網絡驅動器進行傳播。

全球受攻擊最多的行業

上個月，教育/研究仍然是全球受攻擊最嚴重的行業，其次是政府/軍隊，然后是醫療保健。

1. 教育/研究
2. 政府/軍隊
3. 衛生保健

最常被利用的漏洞

12 月，“ Web Server Exposed Git Repository Information Disclosure ”是最常被利用的漏洞，影響了全球46%的組織，其次是“HTTP Headers Remote Code Execution” ，影響了全球42%的組織?！癕VPower DVR 遠程代碼執行”以39%的全球影響力排名第三。

1. ? Web 服務器暴露的 Git 存儲庫信息泄露– Git 存儲庫中報告了一個信息泄露漏洞。成功利用此漏洞可能會導致無意中泄露帳戶信息。
2. ↑ HTTP 標頭遠程代碼執行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） ——HTTP 標頭讓客戶端和服務器通過 HTTP 請求傳遞附加信息。遠程攻擊者可能會使用易受攻擊的 HTTP 標頭在受害者的機器上運行任意代碼。
3. ↑MVPower DVR 遠程代碼執行——MVPower DVR 設備中存在遠程代碼執行漏洞。遠程攻擊者可以利用此弱點通過精心設計的請求在受影響的路由器中執行任意代碼。
4. ↓ HTTP 上的命令注入（CVE-2021-43936、CVE-2022-24086） ——已報告 HTTP 上的命令注入漏洞。遠程攻擊者可以通過向受害者發送特制請求來利用此問題。成功的利用將允許攻擊者在目標機器上執行任意代碼。
5. ↑ WordPress portable-phpMyAdmin 插件身份驗證繞過 (CVE-2012-5469) – WordPress portable-phpMyAdmin 插件中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并獲得對受影響系統的未授權訪問。
6. ? Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561) – Dasan GPON 路由器中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并獲得對受影響系統的未授權訪問。
7. ? PHP 復活節彩蛋信息泄露 – PHP 頁面中報告了一個信息泄露漏洞。該漏洞是由于不正確的 Web 服務器配置造成的。遠程攻擊者可以通過向受影響的 PHP 頁面發送特制 URL 來利用此漏洞。
8. ↑ Apache Log4j 遠程代碼執行 (CVE-2021-44228) – Apache Log4j 中存在遠程代碼執行漏洞。成功利用此漏洞可能允許遠程攻擊者在受影響的系統上執行任意代碼。
9. ↑ OpenSSL TLS DTLS 心跳信息泄露 (CVE-2014-0160,CVE-2014-0346) – OpenSSL 中存在信息泄露漏洞。該漏洞又名 Heartbleed，是由于處理 TLS/DTLS 心跳數據包時出現錯誤造成的。攻擊者可以利用此漏洞泄露連接的客戶端或服務器的內存內容。
10. ↑ NoneCMS ThinkPHP 遠程代碼執行 (CVE-2018-20062) – NoneCMS ThinkPHP 框架中存在遠程代碼執行漏洞。成功利用此漏洞可能允許遠程攻擊者在受影響的系統上執行任意代碼。

頂級移動惡意軟件

上個月，Anubis仍然是最流行的移動惡意軟件，其次是Hiddad和AhMyth。

1. Anubis – Anubis 是一種專為 Android 手機設計的銀行木馬惡意軟件。自從最初被發現以來，它已經獲得了額外的功能，包括遠程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能和各種勒索軟件功能。已在 Google 商店中提供的數百種不同應用程序中檢測到它。
2. Hiddad – Hiddad 是一種 Android 惡意軟件，它會重新打包合法應用程序，然后將它們發布到第三方商店。它的主要功能是顯示廣告，但它也可以訪問操作系統內置的關鍵安全細節。
3. AhMyth – AhMyth 是一種遠程訪問木馬 (RAT)，于 2017 年被發現。它通過可在應用商店和各種網站上找到的 Android 應用進行分發。當用戶安裝這些受感染的應用程序之一時，惡意軟件可以從設備收集敏感信息并執行鍵盤記錄、截屏、發送短信和激活相機等操作，這些操作通常用于竊取敏感信息。