2023年6月份恶意软件之“十恶不赦”排行榜

微软7月份的周二发布了更新，以解决其软件中总共132 个新的安全漏洞，其中包括 6 个据称已被广泛利用的零日漏洞。在 132 个漏洞中，有 9 个漏洞被评为“严重”，122 个漏洞的严重程度被评为“重要”，还有 1 个漏洞的严重程度评级为“无”。除此之外，这家科技巨头上月底还修复了其基于 Chromium 的 Edge 浏览器中的八个缺陷。

回顾过去一个月，6月份依然是精彩纷呈。

Qbot 最初于 2008 年作为银行木马出现，经过不断的发展，获得了额外的功能，用于窃取密码、电子邮件和信用卡详细信息。它通常通过垃圾邮件传播，并采用反虚拟机、反调试和反沙箱方法等各种技术来阻碍分析并避免检测。目前，其主要作用是充当其他恶意软件的加载程序并在目标组织中建立存在，作为勒索软件组织运营商的垫脚石。

与此同时，研究人员发现了一种多产的移动恶意软件，迄今为止已累计下载 4.21 亿次。上个月，木马软件开发工具包 (SDK) SpinOk 首次跻身移动恶意软件家族之首。该恶意软件被许多流行的应用程序用于营销目的，已渗透到非常流行的应用程序和游戏中，其中一些可以在 Google Play 商店中找到。SpinOk 恶意软件能够从设备窃取敏感信息并监控剪贴板活动，对用户隐私和安全构成严重威胁，凸显了采取主动措施保护个人数据和移动设备的必要性。它还清楚地提醒我们软件供应链攻击的破坏性潜力。

上个月还发起了大规模勒索软件活动，影响了全球组织。2023 年 5 月，Progress Software Corporation 披露了MOVEit Transfer 和 MOVEit Cloud 中的一个漏洞(CVE-2023-34362)，该漏洞可能允许未经授权的环境访问。尽管该漏洞在 48 小时内得到了修复，但与俄罗斯附属勒索软件组织 Clop 相关的网络犯罪分子还是利用了该漏洞，对 MOVEit 用户发起了供应链攻击。迄今为止，事件发生后，包括七所美国大学在内的 108 个组织已被公开列出，并获得了成百上千条记录。

MOVEit 漏洞证明 2023 年已经成为勒索软件的重要一年。像 Clop 这样的知名组织并没有采取战术感染单个目标，而是通过利用专业环境中广泛使用的软件来提高其行动效率。这意味着他们可以在一次攻击中接触到数百名受害者，这强调了公司实施多层网络安全策略并在漏洞披露时优先修补的重要性。

“Web 服务器恶意 URL 目录遍历”是上个月最常被利用的漏洞，影响了全球 51% 的组织，其次是“Apache Log4j 远程代码执行”，影响了全球 46% 的组织。“HTTP 标头远程执行代码”是第三大最常用的漏洞，全球影响率为 44%。

2023年6月“十恶不赦”

*箭头表示与上个月相比的排名变化。

Qbot是上个月最流行的恶意软件，影响了全球 7% 的组织，其次是Formbook，影响了全球 4%，Emotet影响了全球 3%。

↔ Qbot – Qbot 又称 Qakbot 是一种多用途恶意软件，首次出现于 2008 年。它旨在窃取用户的凭据、记录击键、窃取浏览器的 cookie、监视银行活动以及部署其他恶意软件。Qbot 通常通过垃圾邮件进行分发，它采用多种反虚拟机、反调试和反沙箱技术来阻碍分析和逃避检测。

↔ Formbook – Formbook 是一种针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格，它在地下黑客论坛中以恶意软件即服务 (MaaS) 的形式进行销售。FormBook 从各种 Web 浏览器获取凭据、收集屏幕截图、监视和记录击键，并可以根据其 C&C 的命令下载和执行文件。

↑ Emotet – Emotet 是一种先进的、自我传播的模块化木马。Emotet 曾经被用作银行木马，最近已成为其他恶意软件或恶意活动的传播者。它使用多种方法来维持持久性和逃避技术来避免检测。此外，它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。

↔ GuLoader – Guloader 是一款自 2019 年 12 月以来广泛使用的下载器。当它首次出现时，GuLoader 用于下载 Parallax RAT，但已应用于其他远程访问木马和信息窃取程序，例如 Netwire、FormBook 和 Agent Tesla 。

↑ XMRig – XMRig 是用于挖掘 Monero 加密货币的开源 CPU 挖掘软件。威胁行为者经常滥用这种开源软件，将其集成到他们的恶意软件中，在受害者的设备上进行非法挖矿。

↓ AgentTesla – AgentTesla 是一种高级 RAT，充当键盘记录器和信息窃取程序，能够监视和收集受害者的键盘输入、系统键盘、截取屏幕截图以及窃取受害者计算机上安装的各种软件的凭据（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端）。

^ Remcos – Remcos 是一种于 2016 年首次出现的 RAT。Remcos 通过恶意 Microsoft Office 文档进行传播，这些文档附加在垃圾邮件中，旨在绕过 Microsoft Windows 的 UAC 安全性并以高级权限执行恶意软件。

↑ Nanocore – NanoCore 是一种针对 Windows 操作系统用户的远程访问木马，于 2013 年首次在野外发现。所有版本的 RAT 都包含基本插件和功能，例如屏幕捕获、加密货币挖掘、远程控制桌面和网络摄像头会话盗窃。

↓ Lokibot – LokiBot 于 2016 年 2 月首次被发现，是一种商品信息窃取程序，具有适用于 Windows 和 Android 操作系统的版本。它从各种应用程序、Web 浏览器、电子邮件客户端、PuTTY 等 IT 管理工具中收集凭据。LokiBot 在黑客论坛上出售，据信其源代码已被泄露，从而导致出现了众多变种。自 2017 年底以来，LokiBot 的某些 Android 版本除了信息窃取功能外还包含勒索软件功能。

↓ NJRat – NJRat 是一种远程访问木马，主要针对中东的政府机构和组织。该木马于 2012 年首次出现，具有多种功能：捕获击键、访问受害者的摄像头、窃取浏览器中存储的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和偷渡式下载感染受害者，并在命令与控制服务器软件的支持下通过受感染的 USB 密钥或网络驱动器进行传播。

全球受攻击最多的行业Top 3

上个月，教育/研究仍然位居全球最受开发行业的首位，其次是政府/军事和医疗保健。

1. 教育/研究
2. 政府/军队
3. 卫生保健

 最常被利用的漏洞

上个月，“Web 服务器恶意 URL 目录遍历”是最常被利用的漏洞，影响了全球51%的组织，其次是“Apache Log4j 远程代码执行”，影响了全球46%的组织。“HTTP 标头远程执行代码”是第三大最常用的漏洞，全球影响率为44%。

1. ↔ Web 服务器恶意 URL 目录遍历 –不同 Web 服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误导致的，该错误未正确清理目录遍历模式的 URI。成功利用此漏洞允许未经身份验证的远程攻击者披露或访问易受攻击的服务器上的任意文件。
2. ↔ Apache Log4j 远程执行代码 (CVE-2021-44228) – Apache Log4j 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
3. ↔ HTTP 标头远程代码执行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） – HTTP 标头允许客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能使用易受攻击的 HTTP 标头在受害计算机上运行任意代码。
4. ↑ Dasan GPON 路由器身份验证绕过 (CVE-2018-10561) – Dasan GPON 路由器中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并对受影响的系统进行未经授权的访问。
5. ↓ MVPower CCTV DVR 远程执行代码 (CVE-2016-20016) – MVPower CCTV DVR 中存在远程执行代码漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
6. ↑ F5 BIG-IP 远程代码执行 (CVE-2021-22986) – F5 BIG-IP 设备中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
7. ↑ PHP 复活节彩蛋信息泄露 (CVE-2015-2051) – PHP 页面中报告了一个信息泄露漏洞。该漏洞是由于不正确的 Web 服务器配置造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。
8. ↔ HTTP 命令注入（CVE-2021-43936、CVE-2022-24086） – 已报告 HTTP 命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功利用该漏洞将允许攻击者在目标计算机上执行任意代码。
9. ↑ WordPress portable-phpMyAdmin 插件身份验证绕过 (CVE-2012-5469) – WordPress portable-phpMyAdmin 插件中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并对受影响的系统进行未经授权的访问。
10. ↓ OpenSSL TLS DTLS 心跳信息泄露（CVE-2014-0160、CVE-2014-0346） – 该漏洞又名 Heartbleed，是由于处理 TLS/DTLS 心跳数据包时出现错误造成的。攻击者可以利用此漏洞泄露所连接的客户端或服务器的内存内容。

移动恶意软件Top 3

上个月，SpinOk在最流行的移动恶意软件中排名第一，其次是Anubis和AhMyth。

1. SpinOk – SpinOk 是一个作为间谍软件运行的 Android 软件模块。它收集有关设备上存储的文件的信息，并能够将它们传输给恶意威胁参与者。截至 5 月 23 日，该恶意模块存在于 100 多个 Android 应用程序中，下载量超过 4.21 亿次。
2. Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来，它已获得了额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器、录音功能和各种勒索软件功能。Google 商店中数百个不同的应用程序已检测到该病毒。
3. AhMyth – AhMyth 是 2017 年发现的远程访问木马 (RAT)。它通过 Android 应用程序分发，可在应用程序商店和各种网站上找到。当用户安装这些受感染的应用程序之一时，恶意软件可以从设备收集敏感信息并执行键盘记录、截图、发送短信和激活摄像头等操作，这些操作通常用于窃取敏感信息。