2021 年 2 月头号恶意软件：Trickbot 取代 Emotet 的位置

2021 年 3 月, 网络安全解决方案提供商 Check Point 软件技术有限公司（纳斯达克股票代码：CHKP）的威胁情报部门 Check Point Research 发布了 2021 年 2 月最新版《全球威胁指数》报告。研究人员报告称，Trickbot 木马从 1 月份的指数排行榜第三位首次跃升至榜首。

Check Point 研究人员报告称，在 1 月份 Emotet 僵尸网络遭到打击后，网络犯罪团伙目前正利用 Trickbot 等恶意软件变换新手法，继续实施其恶意活动。2 月，Trickbot 通过恶意垃圾邮件攻击活动进行传播，旨在诱骗法律和保险领域用户将带有恶意 JavaScript 文件的 .zip 存档文件下载至其 PC 上。打开该文件后，它将尝试从远程服务器下载其他恶意有效负载。

Trickbot 是 2020 年全球第四大常见的恶意软件，影响了 8% 的组织。它在 2020 年造成严重损失的最重大网络攻击之一中发挥了关键作用。在此次事件中，美国领先的医疗保健服务提供商 — 环球健康服务公司 (UHS) 遭到了 Ryuk 勒索软件的攻击，并表示这场攻击造成的收成和成本损失为 6700 万美元。攻击者使用 Trickbot 从 UHS 的系统中检测并收集数据，然后发送勒索软件有效负载。 

Check Point 产品威胁情报与研究总监 Maya Horowitz 表示：“犯罪分子将继续使用现有威胁手段和工具，Trickbot 因其多功能性及以往的攻击战果而获得青睐。正如我们所猜想的那样，即便某一重大威胁被消除，还会有许多其他威胁继续对全球网络构成高风险，因此组织必须确保采用强大的安全系统来防止其网络遭到入侵，并将风险降至最低。对所有员工进行全面培训至关重要，这样他们才能够掌握所需技能，从而准确识别传播 Trickbot 及其他恶意软件的恶意电子邮件类型。”

Check Point Research 还警告称，“Web Server Exposed Git 存储库信息泄露”是最常被利用的漏洞，全球 48% 的组织因此遭殃，其次是“HTTP 标头远程代码执行 (CVE-2020-13756)”，影响了全球 46% 的组织。“MVPower DVR 远程代码执行”在最常被利用的漏洞排行榜中位列第三，全球影响范围为 45%。

头号恶意软件家族

* 箭头表示与上月相比的排名变化

Trickbot 是本月最活跃的恶意软件，影响了全球 3% 的组织，紧随其后的是 XMRig 和 Qbot，分别影响了全球 3% 的组织。

• ↑ Trickbot - Trickbot 是一种使用广泛的僵尸网络和银行木马，不断添加新的功能、特性和传播向量。这让它成为一种灵活的可自定义的恶意软件，广泛用于多目的攻击活动。
• ↑ XMRig - XMRig 是一种开源 CPU 挖矿软件，用于门罗币加密货币的挖掘，2017 年 5 月首次现身。
• ↑ Qbot - Qbot 是于 2008 年首次出现的银行木马，旨在窃取用户银行凭据和击键纪录。Qbot 通常通过垃圾邮件传播，采用多种反 VM、反调试和反沙盒手段来阻碍分析和逃避检测。

最常被利用的漏洞

本月，“Web Server Exposed Git 存储库信息泄露”是最常被利用的漏洞，全球 48% 的组织因此遭殃，其次是“HTTP 标头远程代码执行 (CVE-2020-13756)”，影响了全球 46% 的组织。“MVPower DVR 远程代码执行”在最常被利用的漏洞排行榜中位列第三，全球影响范围为 45%。

• ↑ Web Server Exposed Git 存储库信息泄露 - Git 存储库报告的一个信息泄露漏洞。攻击者一旦成功利用该漏洞，便会使用户在无意间造成帐户信息泄露。
• ↔ HTTP 标头远程代码执行 (CVE-2020-13756) - HTTP 标头允许客户端和服务器传递带 HTTP 请求的其他信息。远程攻击者可能会使用存在漏洞的 HTTP 标头在受感染机器上运行任意代码。
• ↓ MVPower DVR 远程代码执行 - 一种存在于 MVPower DVR 设备中的远程代码执行漏洞。远程攻击者可利用此漏洞，通过精心设计的请求在受感染的路由器中执行任意代码。

主要移动恶意软件

本月，Hiddad 位列最猖獗的移动恶意软件榜首，其次是 xHelper 和 FurBall。

• Hiddad - Hiddad 是一种 Android 恶意软件，能够对合法应用进行重新打包，然后将其发布到第三方商店。其主要功能是显示广告，但它也可以访问操作系统内置的关键安全细节。
• xHelper - 自 2019 年 3 月以来开始肆虐的恶意应用，用于下载其他恶意应用并显示恶意广告。该应用能够对用户隐身，并在卸载后进行自我重新安装。
• FurBall - FurBall 是一种 Android MRAT（移动远程访问木马），由与伊朗政府存在关联的伊朗 APT 组织 APT-C-50 部署。该恶意软件早在 2017 年的多起攻击活动中便已使用，至今仍然活跃。FurBall 的功能包括窃取短信、通话日志、环绕声录音、通话记录、媒体文件收集、位置跟踪等。

Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成，ThreatCloud 是打击网络犯罪的最大协作网络，可通过全球威胁传感器网络提供威胁数据和攻击趋势。ThreatCloud 数据库每天检查超过 30 亿个网站和 6 亿份文件，每天识别超过 2.5 亿起恶意软件攻击活动。