IcedID 于 2017 年首次出现,并通过多次垃圾邮件攻击活动在 3 月迅速传播,影响了全球 11% 的组织。它发起的一场广泛攻击活动利用新冠肺炎疫情主题诱使新受害者打开恶意电子邮件附件;这些附件大多是 Microsoft Word 文档,带有用于插入 IcedID 安装程序的恶意宏。安装后,该木马将试图从用户 PC 中窃取帐户详细信息、支付凭证及其他敏感信息。此外,IcedID 还使用其他恶意软件进行扩散,并已用作勒索软件攻击感染的第一步。
Check Point 产品威胁情报与研究总监 Maya Horowitz 表示:“IcedID 已存在多年,但最近被广泛使用,这表明网络犯罪分子正不断变换花样,以疫情为幌子实施组织攻击。IcedID 是一种特别隐蔽的木马,利用一系列伎俩窃取财务数据,因此组织必须确保采用强大的安全系统来防止其网络遭到入侵,并将风险降至最低。对所有员工进行全面培训至关重要,这样他们才能够掌握所需技能,从而准确识别传播 IcedID 及其他恶意软件的恶意电子邮件类型。”
CPR 还警告称,“HTTP 标头远程代码执行 (CVE-2020-13756)”是最常被利用的漏洞,全球 45% 的组织因此遭殃,其次是“MVPower DVR 远程代码执行”,影响了全球 44% 的组织。“Dasan GPON 路由器身份验证绕过 (CVE-2018-10561)”在最常被利用的漏洞排行榜中位列第三,全球影响范围为 44%。
头号恶意软件家族
* 箭头表示与上月相比的排名变化。
Dridex 是本月最活跃的恶意软件,全球 16% 的组织受到波及,其次是 IcedID 和 Lokibot,分别影响了全球 11% 和 9% 的组织。
↑ Dridex - Dridex 是一种针对 Windows 平台的木马,据称可通过垃圾邮件附件下载。Dridex 不仅能够联系远程服务器并发送有关受感染系统的信息,而且还可以下载并执行从远程服务器接收的任意模块。
↑ IcedID - IcedID 是一种通过垃圾电子邮件攻击活动传播的银行木马,使用进程注入和隐写等狡诈伎俩窃取用户财务数据。
↑ Lokibot - Lokibot 是一种主要通过网络钓鱼电子邮件散播的信息窃取程序,用于窃取各种数据,例如电子邮件凭证以及 CryptoCoin 钱包和 FTP 服务器密码。
最常被利用的漏洞
本月,“HTTP 标头远程代码执行 (CVE-2020-13756)”是最常被利用的漏洞,全球 45% 的组织因此遭殃,其次是“MVPower DVR 远程代码执行”,影响了全球 44% 的组织。“Dasan GPON 路由器身份验证绕过 (CVE-2018-10561)”位列第三,全球影响范围为 44%。
↑ HTTP 标头远程代码执行 (CVE-2020-13756) - HTTP 标头允许客户端和服务器传递带 HTTP 请求的其他信息。远程攻击者可能会使用存在漏洞的 HTTP 标头在受感染机器上运行任意代码。
↑ MVPower DVR 远程代码执行 - 一种存在于 MVPower DVR 设备中的远程代码执行漏洞。远程攻击者可利用此漏洞,通过精心设计的请求在受感染的路由器中执行任意代码。
↑ Dasan GPON 路由器身份验证绕过 (CVE-2018-10561) – 存在于 Dasan GPON 路由器中的身份验证绕过漏洞。远程攻击者可利用此漏洞获取敏感信息,并在不经授权的情况下访问受感染系统。
主要移动恶意软件
Hiddad 位列最猖獗的移动恶意软件指数榜首,其次是 xHelper 和 FurBall。
Hiddad — Hiddad 是一种 Android 恶意软件,能够对合法应用进行重新打包,然后将其发布到第三方商店。其主要功能是显示广告,但它也可以访问操作系统内置的关键安全细节。
xHelper - 自 2019 年3 月以来开始肆虐的恶意应用,用于下载其他恶意应用并显示恶意广告。该应用能够对用户隐身,甚至可以在卸载后进行自我重新安装。
FurBall - FurBall 是一种 Android MRAT(移动远程访问木马),由与伊朗政府存在关联的伊朗 APT 组织 APT-C-50 部署。该恶意软件早在 2017 年的多起攻击活动中便已使用,至今仍然活跃。FurBall 的功能包括:窃取短信和手机通话记录、记录通话和周围环境、收集媒体文件、跟踪位置等。
Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成,ThreatCloud 是打击网络犯罪的最大协作网络,可通过全球威胁传感器网络提供威胁数据和攻击趋势。ThreatCloud 数据库每天检查超过 30 亿个网站和 6 亿份文件,每天识别超过 2.5 亿起恶意软件攻击活动。