Check Point:11月香港最肆虐惡意軟件XMRig與Lamer
網絡安全解決方案供應商Check Point發佈11月最新版《全球威脅指數》報告。 報告顯示,木馬惡意軟體Emotet繼夏季以來再度來襲。Qbot自2021年7月以來首次位列排行榜第三位,全球影響範圍為4%。複雜蠕蟲Raspberry Robin攻擊顯著增加,通常使用惡意的USB隨身碟感染裝置。
在香港,XMRig及Lamer是11月香港最肆虐的惡意軟件,分別影響3.22%和2.53%香港企業。
今年7月的Check Point Research (CPR) 報告提及,Emotet的全球影響範圍和攻擊活動大幅減少,但可能只是短暫的趨勢。不出所料,這種自行傳播的木馬惡意軟件已重返指數榜單,於 11 月成為全球第二大傳播廣泛的惡意軟件,影響全球4%的企業。 儘管 Emotet 最初只是一種銀行木馬軟體,但模組化設計使它能夠成為其他類型惡意軟件的散發程式,且經常透過網路釣魚攻擊傳播。 Emotet肆虐程度的加劇可能是11月發起的一系列惡意垃圾郵件攻擊所致,這些攻擊旨在分散IcedID銀行木馬的負載。
Check Point香港及澳門區總經理周秀雲表示:「儘管這些複雜的惡意軟件曾短暫潛伏起來,但過去數周的情況警醒我們,它們不會長期銷聲匿跡。 公眾切不可鬆懈,必須在打開電子郵件、點擊連結、訪問網站或共享個人資訊時保持警惕。 」
此外,CPR亦發佈Azov勒索軟件的首次技術分析結果,驗證它是一種高級破壞軟件,而非勒索軟件。該惡意軟體經過精心設計,可將文件覆蓋至無法識別的程度,並完全破壞受感染的系統。在10月,一名攻擊者開始偽裝為加密受害者檔案的破解和盜版軟件,散發「Azov 勒索軟件」。
Check Point 香港及台灣技術總監侯嘉俊指出:「『Azov勒索軟件』並非勒索軟件,而是一種非常高級的破壞軟件,經過精心設計,可完全破壞感染的系統。我們首次對該惡意軟件進行深入分析,證實它是一種破壞軟件。 Azov與常見破壞軟件的不同之處在於,它能夠修改某些64位可執行檔,以運行自身代碼。 可執行檔的修改使用多態代碼完成,以免遭到靜態簽名的阻止。 該惡意軟件使用SmokeLoader殭屍網路和木馬程式傳播。 這是一種更嚴重的惡意軟件,能夠對系統和檔造成無法恢復的破壞,需要企業認真對待。」
最常被利用的漏洞
在11月,「Web 伺服器惡意 URL 目錄移動漏洞」是最常被利用的漏洞,影響全球46%企業。其次是「Web Server Exposed Git 存儲庫資訊洩露」,影響全球 45%企業。「HTTP 標頭遠端代碼執行」仍是第三大最常被利用的漏洞,影響全球42%企業。
最肆虐手機惡意軟件
Anubis繼續位列11月最猖獗手機惡意軟件榜首,其次是Hydra和AlienBot。
- Anubis – Anubis是一種專為Android手機設計的銀行木馬惡意軟件。自發現以來已經增添額外的功能,包括遠端訪問木馬(RAT)功能、鍵盤記錄器和錄音功能,以及各種勒索軟件特性。 在Google Store上架的數百款應用程式已檢測到該銀行木馬。
- Hydra – Hydra是一種銀行木馬,可通過要求受害者啟用高危許可權,竊取財務憑證。
- AlienBot – AlienBot是一種專為Android而設的銀行木馬,作為惡意軟件即服務 (MaaS) 在地下市場出售。它支援鍵盤記錄、用作竊取憑證的動態覆蓋,以及繞開過2FA 截取SMS,更可以利用TeamViewer模組提供其他遠端控制功能。
| 香港最肆虐的惡意軟件 (2022年11月) | ||
| 惡意軟件家族名稱 | 全球影響 | 地區影響 |
| XMRig | 3.13% | 3.22% |
| Lamer | 0.27% | 2.53% |
| Emotet | 4.44% | 2.30% |
| AgentTesla | 5.89% | 2.07% |
| Pony | 0.62% | 2.07% |
| Ramnit | 1.42% | 2.07% |
| NJRat | 0.69% | 1.84% |
| Formbook | 2.63% | 1.38% |
| Qbot | 4.34% | 1.38% |
| Esfury | 1.17% | 1.15% |
| DuckTail | 0.08% | 1.15% |
