2020 年 11 月頭號惡意軟體:臭名昭著的 Phorpiex 殭屍網絡再度...

2020-12-26 DOIT

Check Point Research 報告指出,使用 Phorpiex 殭屍網絡在惡意垃圾郵件攻擊活動中傳播 Avaddon 勒索軟體的攻擊利用率激增

2020 年 12 月 全球領先網絡安全解決方案提供商 Check Point® 軟體技術有限公司(納斯達克股票代碼:CHKP)的威脅情報部門 Check Point Research 發布了 2020 年 11 月最新版《全球威脅指數》報告。該報告顯示,臭名昭著的 Phorpiex 殭屍網絡的感染率激增,成為本月最猖獗的惡意軟體,影響了全球 4% 的組織。Phorpiex 最近一次出現在威脅指數榜單前 10 名是在今年 6 月。 

Phorpiex 殭屍網絡於 2010 年首次發現,並在其巔峰時期控制了超過一百萬臺受感染主機。Phorpiex 因通過垃圾郵件分發其他惡意軟體家族並助長大規模「性勒索」垃圾郵件攻擊活動和加密貨幣挖礦而廣為人知,正如 Check Point 研究人員在今年早些時候的最初報告,該殭屍網絡正再度分發 Avaddon 勒索軟體。Avaddon 是一種相對較新的勒索軟體即服務 (RaaS) 變體,其攻擊者再次招募同夥來分發勒索軟體並從中抽取利潤。在惡意垃圾郵件攻擊活動中,Avaddon 通過 JS 和 Excel 文件進行分發,並能夠加密各種文件類型。

CheckPoint 產品威脅情報與研究總監 Maya Horowitz 表示:「Phorpiex 是最早、最頑固的殭屍網絡之一,多年來一直被創建者用於分發 GandCrab 和 Avaddon 勒索軟體等其他惡意軟體有效載荷,或實施性勒索欺詐。此次新一波病毒感染正在傳播另一場勒索軟體攻擊活動,這足以揭示 Phorpiex 工具的破壞性。組織應確保員工了解如何識別潛在的惡意垃圾郵件,並警惕打開電子郵件隨附的未知附件,即使其似乎來自可靠來源。此外,組織還應確保部署安全防禦措施,以主動防止上述威脅感染其網絡。」

研究團隊還警告稱,「HTTP 標頭遠程代碼執行 (CVE-2020-13756)」是最常被利用的漏洞,全球 54% 的組織因此遭殃,其次是「MVPower DVR 遠程代碼執行」和「Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561)」,兩者分別影響了全球 48% 和 44% 的組織。

頭號惡意軟體家族

* 箭頭表示與上月相比的排名變化。

Phorpiex 是本月最活躍的惡意軟體,影響了全球 4% 的組織,緊隨其後的是 DridexHiddad,兩者均影響了全球 3% 的組織。 

  1. Phorpiex – Phorpiex 是一種殭屍網絡,因通過垃圾郵件攻擊活動分發其他惡意軟體家族並助長大規模性勒索攻擊活動而廣為人知。
  2. Dridex – Dridex 是一種針對 Windows 平臺的木馬,據稱可通過垃圾郵件附件下載。Dridex 不僅能夠聯繫遠程伺服器並發送有關受感染系統的信息,而且還可以下載並執行從遠程伺服器接收的任意模塊。
  3. Hiddad – Hiddad 是一種 Android 惡意軟體感染工具,能夠對合法移動應用進行重新打包,然後將其發布到第三方商店。其主要功能是顯示廣告,但它也可以訪問作業系統內置的關鍵安全細節。

最常被利用的漏洞

本月,HTTP 標頭遠程代碼執行 (CVE-2020-13756)是最常被利用的漏洞,全球 54% 的組織因此遭殃,其次是MVPower DVR 遠程代碼執行」Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561),兩者分別影響了全球 48% 和 44% 的組織。

  1. HTTP標頭遠程代碼執行 (CVE-2020-13756) – HTTP 標頭允許客戶端和伺服器傳遞帶 HTTP 請求的其他信息。遠程攻擊者可能會使用存在漏洞的 HTTP 標頭在受感染機器上運行任意代碼。
  • MVPower DVR 遠程代碼執行 – 一種存在於MVPower DVR 設備中的遠程代碼執行漏洞。遠程攻擊者可利用此漏洞,通過精心設計的請求在受感染的路由器中執行任意代碼。
  • Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561) – 一種存在於 DasanGPON 路由器中的身份驗證繞過漏洞。遠程攻擊者可利用此漏洞獲取敏感信息,並在不經授權的情況下訪問受感染系統。

主要移動惡意軟體

Hiddad 仍然是本月最猖獗的移動惡意軟體,其次是 xHelperLotoor

  1. Hiddad — Hiddad 是一種 Android 惡意軟體感染工具,能夠對合法應用進行重新打包,然後將其發布到第三方商店。其主要功能是顯示廣告,但它也可以訪問作業系統內置的關鍵安全細節。

2.   xHelper —xHelper 是自 2019 年 3 月以來開始活躍的惡意應用,用於下載其他惡意應用和顯示惡意廣告。該應用能夠對用戶隱身,並在卸載後進行自我重新安裝。

3.   Lotoor —Lotoor 是一種黑客工具,能夠利用 Android 作業系統漏洞在入侵的行動裝置上獲得根權限。

Check Point《全球威脅影響指數》及其《ThreatCloud 路線圖》基於 Check Point ThreatCloud 情報數據撰寫而成,ThreatCloud 是打擊網絡犯罪的最大協作網絡,可通過全球威脅傳感器網絡提供威脅數據和攻擊趨勢。ThreatCloud 資料庫每天檢查超過 25 億個網站和 5 億份文件,每天識別超過 2.5 億起惡意軟體攻擊活動。

如欲查看 11 月份十大惡意軟體家族的完整列表,請訪問 Check Point 博客。

關於Check Point Research

Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領先的網絡威脅情報。Check Point 研究團隊負責收集和分析 ThreatCloud 存儲的全球網絡攻擊數據,以便在防範黑客的同時,確保所有 Check Point 產品都享有最新保護措施。此外,該團隊由 100 多名分析師和研究人員組成,能夠與其他安全廠商、執法機關及各個計算機安全應急響應組展開合作。

關於 Check Point 軟體技術有限公司

Check Point 軟體技術有限公司 (www.checkpoint.com) 是一家面向全球政府和企業的領先網絡安全解決方案提供商。  Check Point 解決方案對惡意軟體、勒索軟體和高級目標威脅的捕獲率處於業界領先水準,可有效保護客戶免受第五代網絡攻擊。Check Point 推出了多級安全架構 Infinity Total Protection,這一組合產品架構具備第五代高級威脅防禦能力,可全面保護企業的雲、網絡和行動裝置。Check Point 還可提供最全面、最直觀的單點控制安全管理系統。Check Point 為十萬多家各種規模的企業提供保護。

未經允許不得轉載:DOIT » 2020 年 11 月頭號惡意軟體:臭名昭著的 Phorpiex 殭屍網絡再度成為影響範圍最大的感染病毒

相關焦點

  • ...年 11 月頭號惡意軟體:臭名昭著的 Phorpiex 殭屍網絡再度成為...
    Check Point Research 報告指出,使用 Phorpiex 殭屍網絡在惡意垃圾郵件攻擊活動中傳播 Avaddon 勒索軟體的攻擊利用率激增  2020 年 12 月 全球領先網絡安全解決方案提供商 Check Point® 軟體技術有限公司 (納斯達克股票代碼:CHKP)的威脅情報部門 Check Point
  • Emotet重出江湖:2020年十大惡意軟體、漏洞榜單
    藉助傳播組件,Emotet能夠將自身傳送到同一網絡上的其他計算機,該組件可以通過掛載共享或利用漏洞利用來傳播惡意軟體。換而言之,Emotet就像一個大的惡意軟體「電商平臺」,是很多其他惡意軟體的重要「投放渠道」。 自2020年2月以來,Emotet的活動(主要是發送大量的垃圾和釣魚郵件)開始放緩,並最終停止,直到7月重新開始活躍。
  • 2020年惡意軟體命令和控制伺服器統計分析
    2021年1月7日,威脅情報廠商Recorded Future發布了關於2020年度全網範圍內遠控木馬回連伺服器的總結分析報告。其基於2020年,收集的80多個惡意軟體家族的10,000多個獨特的命令和控制伺服器作為數據支撐。
  • 阻止席捲網絡的病毒卻因開發惡意軟體被捕,這是黑客馬庫斯的故事
    要贏得 HackForums 的尊重,最小的籌碼是擁有一個殭屍網絡,即成百上千臺會遵照該黑客的指令辦事的被惡意軟體感染的計算機。黑客可以使用殭屍網絡向目標灌入大量垃圾流量,迫使其網絡伺服器離線——這種攻擊方式被稱為分布式拒絕服務攻擊(DDoS 攻擊)。
  • 羅馬尼亞惡意軟體服務運營商被捕:提供惡意服務,可繞路網絡安全軟體
    羅馬尼亞惡意軟體服務運營商被捕:提供惡意服務,可繞路網絡安全軟體 羅馬尼亞惡意軟體服務運營商,因提供可繞路網絡安全工具的病毒軟體而被捕,黑客在合法軟體中嵌入惡意代碼,繞過反病毒工具。
  • 安全警告:Oracle WebLogic嚴重漏洞被多個殭屍網絡利用
    攻擊的目標是針對一個最近Oracle剛修復的WebLogic Server漏洞,該漏洞由Oracle作為其2020年10月重要補丁更新的一部分發布,隨後又於11月(CVE-2020-14750)以帶外安全性的形式發布補丁。
  • Mac上的惡意軟體威脅首次超過Windows
    人們普遍認為,與Windows PC相比,Mac更安全,惡意軟體更少。然而,事實可能並非如此。一份新報告稱,2019年,Mac專用威脅有史以來第一次以2:1的速度超過PC。該報告來自反病毒軟體製造商Malwarebytes。
  • Palo Alto Networks披露:全新物聯網/Linux 惡意軟體
    Palo Alto Networks 威脅情報小組Unit42近日發布報告,宣稱發現物聯網/Linux殭屍網絡Tsunami的最新變種並命名為Amnesia。Amnesia殭屍網絡允許攻擊者利用未修補的遠程代碼執行針對數字視頻錄像機(DVR)設備的漏洞攻擊,2016年3月這一漏洞就被發現並公布(詳見http://www.kerneronsec.com/2016/02/remote-code-execution-in-cctv-dvrs-of.html)。這些DVR設備由TVTDigital 生產並 通過70多家合作夥伴分銷至全球。
  • 2020預測|新一輪網絡安全病毒的「狂歡」
    要防範挖礦病毒,建議用戶不要下載來歷不明的軟體,並採用更換高強度的密碼、阻止向 445 埠進行連接、關閉不必要的文件共享、打全系統和應用程式補丁程序、部署網絡安全防護系統等方式,來封堵流行的挖礦病毒。另外,歷經10餘年歷史的Windows 7已於2020年1月14日停止了安全更新,這對於許多行業(如:醫療、金融)來說將帶來巨大影響,網絡安全軟體肩上的責任也將更重。
  • ESET發現了21個新的Linux惡意軟體系列
    這種數量較少的威脅導致網絡安全公司對Linux惡意軟體生態系統的關注程度遠低於通常對其Windows對應程序的關注度。因此,一些Linux惡意軟體系列在經過四年多的看不見之後才被發現也就不足為奇了。在昨天由網絡安全公司ESET發布的一份報告中,該公司詳細介紹了21個「新」Linux惡意軟體系列。所有操作都以與OpenSSH客戶端的木馬化版本相同的方式運行。
  • 2020年上半年網絡攻擊趨勢報告:疫情導致網絡攻擊增加
    《網絡攻擊趨勢:2020 年上半年報告》揭示了犯罪分子如何利用疫情主題發起針對所有部門的攻擊,並重點強調了國家級網絡活動的激增 近日,全球領先的網絡安全解決方案提供商 CheckPoint® 軟體技術有限公司(納斯達克股票代碼:CHKP)今天發布了《網絡攻擊趨勢:2020 年上半年報告》,報告揭露了出於犯罪、政治和國家動機的攻擊者如何利用新冠肺炎疫情及其相關主題發起針對所有部門組織
  • 殭屍網絡橫行,「豌豆射手」難覓
    北京理工大學計算機網絡及對抗技術研究所所長閆懷志對科技日報記者說,殭屍程序是指惡意控制硬體設備功能的一種程序代碼,它能夠自動執行預定義的命令。大量主機感染殭屍程序後,在殭屍程序控制者和眾多被感染主機之間會形成一對多的被控制網絡,這就是殭屍網絡。 「危害性大的殭屍網絡具有較強的傳染性,同時被嚴格地控制著。」
  • 網際網路網絡安全態勢綜述顯示: 移動網際網路惡意程序數量上升
    為有效控制木馬和殭屍網絡感染主機引發的危害,2016年,在工業和信息化部指導下,根據《木馬和殭屍網絡監測與處置機制》,CNCERT組織基礎電信企業、域名服務機構等成功關閉1011個控制規模較大的殭屍網絡。2016年,CNCERT通過自主捕獲和廠商交換獲得移動網際網路惡意程序數量205萬餘個,較2015年增長39.0%,近7年來持續保持高速增長趨勢。
  • 無處可逃的2021:惡意軟體&勒索軟體的複雜性、種類和量級將激增
    勒索軟體、商品惡意軟體和合法工具非法濫用將成為明年的主要威脅。根據《Sophos 2021年威脅報告》,不同技能和資源的勒索軟體運營商之間將存在差距,大型狩獵勒索軟體家族將完善和改變戰術和技術程序,變得更加難以捉摸。
  • 殭屍網絡:網際網路中的「隱秘帝國」
    無獨有偶,幾乎在同一時刻,來自美國馬裡蘭州的網絡安全公司ZeroFOX公布了一份研究報告,向我們揭開了Twitter平臺大規模垃圾色情郵件殭屍網絡的冰山一角:根據報告,被ZeroFOX定點追蹤、被稱為「SIREN」的Twitter殭屍網絡,包含超過90000個偽造的帳號,總計發布了超過850萬條包含惡意連結的推文。
  • 2019年移動惡意軟體總結報告
    以前網絡犯罪者為了竊取個人信息不得不覆蓋窗口並請求一堆權限,現在受害者自己將所有必要的數據輸出到屏幕或以表格形式輸入,攻擊者可以很容易地收集到這些數據。如果惡意軟體需要更多權限,可以自己打開設置並獲得必要的權限。Google Play將惡意軟體放入Android應用商店比利用社會工程學攻擊受害者有更好的效果。
  • 黑客操縱一物聯網殭屍網絡8年,只為下載動漫視頻
    鳳凰網科技訊 北京時間 5 月 7 日消息,近 8 年來,一名黑客一直在悄無聲息地將D-Link NVRs(網絡錄像機)和NAS(網絡附加存儲)設備劫持到一個殭屍網絡中,其唯一目的是連接到在線網站並下載動漫視頻。
  • 殭屍網絡盯上微軟,黑客用 MSSQL 資料庫挖礦近兩年,每天攻擊近...
    Necurs,(詳情參見雷鋒網此前報導)最近,微軟卻被殭屍網絡 Vollgar 盯上近兩年。殭屍網絡 Vollgar 入侵微軟近兩年,每天攻擊近 3000個資料庫近日,Guardicore Labs 團隊發布了一份長期攻擊活動的分析報告,此攻擊活動主要針對運行 MS-SQL 服務的 Windows 系統。分析報告稱,此攻擊活動至少從 2018 年 5 月開始,將近兩年,這一系列的攻擊活動被命名為「 Vollgar 」。
  • Fin11:一個以經濟利益為動機的高級攻擊組織
    FIN11轉變盈利方式從2018年的POS機惡意軟體,到2019年的勒索軟體,再到2020年的混合勒索,攻擊者越來越關注於攻擊後的勒索軟體部署和數據盜竊勒索。值得注意的是,FIN11與另一個威脅組織TA505有著顯著重疊。TA505是Dridex銀行木馬和Locky勒索軟體的幕後黑手,它們通過Necurs殭屍網絡進行惡意垃圾郵件攻擊。