2023 年 2 月头号恶意软件：Remcos 木马攻击爆发

 2023 年 3 月 ，网络安全解决方案提供商 Check Point® 软件技术有限公司（纳斯达克股票代码：CHKP）发布了其 2023 年 2 月《全球威胁指数》报告。上月，Remcos 木马自 2022 年 12 月以来首次重返前十排行榜，此前有报道称，攻击者正利用该木马通过网络钓鱼攻击将目标瞄准乌克兰政府机构。同时，Emotet 木马和 Formbook 信息窃取程序的排名上升，分别位居第二和第三位；教育/研究行业仍是首要攻击目标。

尽管研究人员发现，在 2022 年 10 月至 2023 年 2 月期间，每个机构平均每周所遭攻击次数下降了 44%，但在俄乌冲突爆发后，乌克兰则成为网络犯罪分子的重点目标。在最近的攻击活动中，攻击者冒充 Ukrtelecom JSC 群发电子邮件，使用恶意 RAR 附件传播 Remcos 木马，后者也自 2022 年 10 月以来首次重返头号恶意软件排行榜。安装后，该木马会在受感染的系统上打开一个后门，允许远程用户完全访问，从而实施数据渗露和命令执行等活动。

Check Point 软件技术公司研究副总裁 Maya Horowitz 表示：“尽管目前针对乌克兰的出于政治动机的攻击数量有所减少，但该地区仍是网络犯罪分子的主要战场。俄乌战争爆发后，黑客行为主义又重新活跃起来，大多数攻击者倾向于采用破坏性的攻击方法（如 DDoS），以图引起最大关注。然而，最新攻击活动采用了更传统的攻击方法，利用网络钓鱼诈骗来获取用户信息并提取数据。Check Point建议所有企业与机构在接收和打开电子邮件时务必遵循安全保护实践，在未核实属性之前，切勿下载附件。同时应避免点击陌生电子邮件正文中的链接，并检查发件人地址是否有任何异常，例如额外字符或拼写错误。” 

CPR 还指出，“Web 服务器恶意 URL 目录遍历漏洞”是最常被利用的漏洞，全球 47% 的机构因此遭殃。其次是“Web Server Exposed Git 存储库信息泄露”，影响了全球 46% 的机构，“Apache Log4j 远程代码执行”是第三大最常被利用的漏洞，全球影响范围为 45%。

头号恶意软件家族

* 箭头表示与上月相比的排名变化。

Qbot 是上月最猖獗的恶意软件，影响了全球超过 7% 的企业与机构，其次是 Formbook 和 Emotet，影响范围分别为 5% 和 4%。

• ↔ Qbot - Qbot（又名 Qakbot）是一种银行木马，于 2008 年首次出现，被用于窃取用户的银行凭证或击键记录，通常通过垃圾邮件传播。Qbot 采用多种反 VM、反调试和反沙盒手段来阻碍分析和逃避检测。

• ↑ FormBook – FormBook 是针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格，它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行出售。Formbook 可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数，并按照其 C&C 命令下载和执行文件。

• ↑ Emotet – Emotet 是一种能够自我传播的高级模块化木马。Emotet 曾被用作银行木马，但最近又被用作其他恶意软件或恶意攻击的传播程序。它使用多种方法和规避技术来确保持久性和逃避检测。此外，它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。

最常被利用的漏洞 

上月，“Web 服务器恶意 URL 目录遍历漏洞”是最常被利用的漏洞，全球 47% 的机构因此遭殃。其次是“Web Server Exposed Git 存储库信息泄露”，影响了全球 46% 的机构，“Apache Log4j 远程代码执行”是第三大最常被利用的漏洞，全球影响范围为 45%。

• ↑ Web 服务器恶意 URL 目录遍历漏洞 - 不同 Web 服务器上都存在目录遍历漏洞。这一漏洞是由于 Web 服务器中的输入验证错误所致，没有为目录遍历模式正确清理 URI。未经身份验证的远程攻击者可利用漏洞泄露或访问易受攻击的服务器上的任意文件。

• ↓ Web Server Exposed Git 存储库信息泄露 - Git 存储库报告的一个信息泄露漏洞。攻击者一旦成功利用该漏洞，便会造成帐户信息的无意泄露。

• ↑ Apache Log4j 远程代码执行 (CVE-2021-44228) - 一种存在于 Apache Log4j 中的远程代码执行漏洞。远程攻击者可利用这一漏洞在受影响系统上执行任意代码。

主要移动恶意软件

上月，Anubis 仍是最猖獗的移动恶意软件，其次是 Hiddad 和 AhMyth。

• Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来，它已经具有一些额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器、录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。

• Hiddad - Hiddad 是一种 Android 恶意软件，能够对合法应用进行重新打包，然后将其发布到第三方商店。其主要功能是显示广告，但它也可以访问操作系统内置的关键安全细节。

• AhMyth – AhMyth 是一种远程访问木马 (RAT)，于 2017 年被发现，可通过应用商店和各种网站上的 Android 应用进行传播。当用户安装这些受感染的应用后，该恶意软件便可从设备收集敏感信息，并执行键盘记录、屏幕截图、发送短信和激活摄像头等操作。

Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成。ThreatCloud 提供的实时威胁情报来自于部署在全球网络、端点和移动设备上的数亿个传感器。AI 引擎和 Check Point 软件技术公司情报与研究部门 Check Point Research 的独家研究数据进一步丰富了这些情报内容。