2023 年 4 月头号恶意软件：Qbot 发起大规模恶意垃圾邮件攻击活动

2023 年 5 月，网络安全解决方案提供商 Check Point® 软件技术有限公司（纳斯达克股票代码：CHKP）发布了其 2023 年 4 月《全球威胁指数》报告。在今年4月，研究人员发现了大规模的 Qbot 恶意垃圾邮件攻击活动，该攻击活动通过随附到多语种电子邮件的恶意 PDF 文件进行传播。与此同时，利用 TP-Link 路由器中的新漏洞发起攻击的物联网 (IoT) 恶意软件 Mirai 在今年首次登榜，医疗行业上升为第二大最常被攻击的行业。  

上月，Qbot 攻击活动采用了一种新的传播手段，即向攻击目标发送一封随附受保护 PDF 文件附件的电子邮件。一旦下载这些文件，Qbot 恶意软件就会安装到设备上。研究人员发现，该攻击活动使用多种不同的语言来发送恶意垃圾邮件，这意味着世界各地的企业与机构都可能会成为攻击目标。在中国，Emotet木马仍旧是影响力最大的恶意软件，我国有超过22%的企业与机构在4月仍然深受其害。 

此外，上个月最猖獗的 IT 恶意软件之一 Mirai 卷土重来。研究人员发现，它正利用新的零日漏洞 CVE-2023-1380 来攻击 TP-Link 路由器，并将这些路由器添加到其僵尸网络中，后者已被用于发起多起颇具破坏性的分布式 DDoS 攻击。在这波最新攻击活动之前，Check Point Research (CPR) 发布了一份有关物联网攻击肆虐的详实报告。

受影响行业的排名也发生了变化，医疗行业在 4 月份超过政府部门成为第二大最常被攻击的行业。对医疗机构的攻击均有案可稽，目前部分国家（地区）的医疗机构仍然面临着持续攻击。例如，网络犯罪组织 Medusa 最近对澳大利亚的癌症诊疗设施发起了攻击。医疗行业仍是黑客眼中的首选目标之一，因为他们有望从中窃取机密的患者数据和支付信息。

Check Point 软件技术公司研究副总裁 Maya Horowitz 表示：“网络犯罪分子一直在研究利用新方法来绕过安全限制，这些攻击活动进一步表明了恶意软件可快速适应新变化。Qbot 的死灰复燃又一次提醒我们必须实施全面的网络安全防护，并务必核实电子邮件的真实来源和意图。” 

CPR 还指出，“Web 服务器恶意 URL 目录遍历漏洞”是最常被利用的漏洞，全球 48% 的机构因此遭殃，其次是“Apache Log4j 远程代码执行”，影响了全球 44% 的机构，然后是“HTTP 标头远程代码执行”，全球影响范围为 43%。 

头号恶意软件家族

* 箭头表示与上月相比的排名变化。

AgentTesla 是上月最猖獗的恶意软件，影响了全球超过 10% 的机构，其次是 Qbot 和 Formbook，全球影响范围均为 4%。

• ↑AgentTesla – AgentTesla 是一种用作键盘记录器和信息窃取程序的高级 RAT，能够监控和收集受害者的键盘输入与系统剪贴板、截图并盗取受害者电脑上安装的各种软件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端）的证书。

• ↓ Qbot - Qbot（又名 Qakbot）是一种银行木马，于 2008 年首次出现，旨在窃取用户的银行凭证和击键记录。Qbot 通常通过垃圾邮件传播，采用多种反 VM、反调试和反沙盒手段来阻碍分析和逃避检测。

• ↔ Formbook – Formbook 是针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格，它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行出售。Formbook 可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数，并按照其 C&C 命令下载和执行文件。

主要移动恶意软件

上月，Ahmyth 成为最猖獗的移动恶意软件，其次是 Anubis 和 Hiddad。

• AhMyth – AhMyth 是一种远程访问木马 (RAT)，于 2017 年被发现，可通过应用商店和各种网站上的 Android 应用进行传播。当用户安装这些受感染的应用后，该恶意软件便可从设备收集敏感信息，并执行键盘记录、屏幕截图、发送短信和激活摄像头等操作。

• Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来，它已经具有一些额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器、录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。

• Hiddad - Hiddad 是一种 Android 恶意软件，能够对合法应用进行重新打包，然后将其发布到第三方商店。其主要功能是显示广告，但它也可以访问操作系统内置的关键安全细节。

Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成。ThreatCloud 提供的实时威胁情报来自于部署在全球网络、端点和移动设备上的数亿个传感器。AI 引擎和 Check Point 软件技术公司情报与研究部门 Check Point Research 的独家研究数据进一步丰富了这些情报内容。