盡管研究人員發現，在 2022 年 10 月至 2023 年 2 月期間，每個組織每周遭受的平均攻擊次數減少了 44%，但在俄羅斯入侵之后，烏克蘭仍然是網絡犯罪分子的熱門目標。在最近的一次活動中，攻擊者在大量電子郵件分發中冒充 Ukrtelecom JSC，使用惡意 RAR 附件傳播 Remcos 木馬，該木馬自 2022 年 10 月以來首次重返惡意軟件排行榜。安裝后，該工具會打開一個受感染系統上的后門，允許遠程用戶完全訪問數據泄露和命令執行等活動。由于事件的行為模式和攻擊能力，目前的攻擊被認為與網絡間諜活動有關。

盡管針對烏克蘭的出于政治動機的攻擊數量有所減少，但它們仍然是網絡犯罪分子的戰場。自俄烏戰爭開始以來，黑客行動主義通常在威脅行為者的議程上占據重要位置，并且大多數人都傾向于使用 DDoS 等破壞性攻擊方法來獲得最多的關注。然而，最新的活動使用了更傳統的攻擊途徑，即使用網絡釣魚詐騙來獲取用戶信息和提取數據。所有組織和政府機構在接收和打開電子郵件時都必須遵循安全的安全措施，這一點很重要。請勿在未先掃描屬性的情況下下載附件。避免點擊電子郵件正文中的鏈接，并檢查發件人地址是否有任何異常，例如額外的字符或拼寫錯誤。

“ Web 服務器惡意 URL 目錄遍歷”是最常被利用的漏洞，影響了全球47%的組織。緊隨其后的是“ Web Server Exposed Git Repository Information Disclosure ”，它影響了全球46%的組織，而“ Apache Log4j Remote Code Execution ”是第三大使用漏洞，全球影響為45%。

2023年2月“十惡不赦”

Qbot是上個月最流行的惡意軟件，影響了全球超過7%的組織。其次是全球影響力為5%的FormBook和全球影響力為4%的Emotet 。

1. ? Qbot – Qbot AKA Qakbot 是一種銀行木馬，于 2008 年首次出現。它旨在竊取用戶的銀行憑證和擊鍵。Qbot 通常通過垃圾郵件分發，它采用多種反虛擬機、反調試和反沙盒技術來阻礙分析和逃避檢測。
2. ↑ Formbook – Formbook 是一種針對 Windows 操作系統的信息竊取程序，于 2016 年首次被發現。由于其強大的規避技術和相對較低的價格，它在地下黑客論壇中作為惡意軟件即服務 (MaaS) 進行銷售。FormBook 從各種網絡瀏覽器收集憑證、收集屏幕截圖、監控和記錄擊鍵，并可以根據其 C&C 的命令下載和執行文件。
3. ↑ Emotet – Emotet 是一種先進的、自我傳播的模塊化木馬。Emotet 曾經被用作銀行木馬，最近被用作其他惡意軟件或惡意活動的分發者。它使用多種方法來保持持久性和規避技術來避免檢測。此外，它還可以通過包含惡意附件或鏈接的網絡釣魚垃圾郵件進行傳播。
4. ↑ XMRig – XMRig 是用于挖掘 Monero 加密貨幣的開源 CPU 挖掘軟件。威脅行為者經常通過將其集成到他們的惡意軟件中來濫用這種開源軟件，從而在受害者的設備上進行非法挖掘。
5. ↓ AgentTesla – AgentTesla 是一種高級 RAT，充當鍵盤記錄器和信息竊取器，能夠監視和收集受害者的鍵盤輸入、系統鍵盤、截取屏幕截圖，并將憑證泄露到安裝在受害者機器上的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）。
6. ↑ GuLoader – Guloader 是一款自 2019 年 12 月以來廣泛使用的下載器。GuLoader 首次出現時用于下載 Parallax RAT，但已應用于其他遠程訪問木馬和信息竊取程序，例如 Netwire、FormBook 和 Agent Tesla .
7. ↑ Nanocore ——NanoCore 是一種針對 Windows 操作系統用戶的遠程訪問木馬，于 2013 年首次在野外被發現。RAT 的所有版本都包含基本的插件和功能，例如屏幕捕獲、加密貨幣挖掘、遠程控制桌面和網絡攝像頭會話盜竊。
8. ↑ Remcos – Remcos 是一種 RAT，于 2016 年首次出現。Remcos 通過惡意 Microsoft Office 文檔進行自我分發，這些文檔附加在垃圾郵件中，旨在繞過 Microsoft Windows 的 UAC 安全并以高級權限執行惡意軟件。
9. ↑ Tofsee – Tofsee 是一個針對 Windows 平臺的 Trickler。該惡意軟件試圖在目標系統上下載并執行其他惡意文件。它可能會下載并向用戶顯示圖像文件以隱藏其真實目的。
10. ↑ Phorpiex – Phorpiex 是一個僵尸網絡（又名 Trik），自 2010 年以來一直活躍，在其高峰期控制了超過一百萬臺受感染的主機。它以通過垃圾郵件活動分發其他惡意軟件系列以及助長大規模垃圾郵件和性勒索活動而聞名。

全球受攻擊最多的行業

上個月，教育/研究仍然是全球受攻擊最嚴重的行業，其次是政府/軍隊，然后是醫療保健。

1. 教育/研究
2. 政府/軍隊
3. 衛生保健

最常被利用的漏洞

上個月，“ Web 服務器惡意 URL 目錄遍歷”是最常被利用的漏洞，影響了全球47%的組織。緊隨其后的是“ Web Server Exposed Git Repository Information Disclosure ”，它影響了全球46%的組織，而“Apache Log4j Remote Code Execution ”是第三大使用漏洞，全球影響為45%。

1. ↑ Web 服務器惡意 URL 目錄遍歷– 在不同的 Web 服務器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務器中的輸入驗證錯誤導致的，該錯誤未正確清理目錄遍歷模式的 URI。成功的利用允許未經身份驗證的遠程攻擊者泄露或訪問易受攻擊的服務器上的任意文件。
2. ↓ Web 服務器暴露的 Git 存儲庫信息泄露– Git 存儲庫中報告了一個信息泄露漏洞。成功利用此漏洞可能會導致無意中泄露帳戶信息。
3. ↑ Apache Log4j 遠程代碼執行 (CVE-2021-44228) – Apache Log4j 中存在遠程代碼執行漏洞。成功利用此漏洞可能允許遠程攻擊者在受影響的系統上執行任意代碼。
4. ↓ HTTP 標頭遠程代碼執行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） ——HTTP 標頭允許服務器通過 HTTP 請求傳遞附加信息。遠程攻擊者可能會使用易受攻擊的 HTTP 標頭在受害者的機器上運行任意代碼。
5. ↓ HTTP 上的命令注入（CVE-2021-43936、CVE-2022-24086） ——已報告 HTTP 上的命令注入漏洞。遠程攻擊者可以通過向受害者發送特制請求來利用此問題。成功的利用將允許攻擊者在目標機器上執行任意代碼。
6. ↓ MVPower DVR 遠程代碼執行 – MVPower DVR 設備中存在遠程代碼執行漏洞。遠程攻擊者可以利用此弱點通過精心設計的請求在受影響的路由器中執行任意代碼。
7. ? PHP 復活節彩蛋信息泄露 – PHP 頁面中報告了一個信息泄露漏洞。該漏洞是由于不正確的 Web 服務器配置造成的。遠程攻擊者可以通過向受影響的 PHP 頁面發送特制 URL 來利用此漏洞。
8. ↓ Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561) – Dasan GPON 路由器中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并獲得對受影響系統的未授權訪問。
9. ↓ WordPress portable-phpMyAdmin 插件身份驗證繞過 (CVE-2012-5469) – WordPress portable-phpMyAdmin 插件中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并獲得對受影響系統的未授權訪問。
10. ↓ OpenSSL TLS DTLS 心跳信息泄露 (CVE-2014-0160,CVE-2014-0346) – OpenSSL 中存在信息泄露漏洞。該漏洞又名 Heartbleed，是由于處理 TLS/DTLS 心跳數據包時出現錯誤造成的。攻擊者可以利用此漏洞泄露連接的客戶端或服務器的內存內容。

頂級移動惡意軟件

上個月，Anubis仍然是最流行的移動惡意軟件，其次是Hiddad和AhMyth。

1. Anubis – Anubis 是一種專為 Android 手機設計的銀行木馬惡意軟件。自從最初被發現以來，它已經獲得了額外的功能，包括遠程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能和各種勒索軟件功能。已在 Google 商店中提供的數百種不同應用程序中檢測到它。
2. Hiddad – Hiddad 是一種 Android 惡意軟件，它會重新打包合法應用程序，然后將它們發布到第三方商店。它的主要功能是顯示廣告，但它也可以訪問操作系統內置的關鍵安全細節。
3. AhMyth – AhMyth 是一種遠程訪問木馬 (RAT)，于 2017 年被發現。它通過可在應用商店和各種網站上找到的 Android 應用進行分發。當用戶安裝這些受感染的應用程序之一時，惡意軟件可以從設備收集敏感信息并執行鍵盤記錄、截屏、發送短信和激活相機等操作。