2023年12月份恶意软件之“十恶不赦”排行榜-51CTO.COM

2023年12月全球威胁指数显示，在美国和国际执法机构于2023年8月的“猎鸭行动”中拆除 Qbot 基础设施四个月后，研究人员发现了 Qbot 的复活。同时，JavaScript 下载器 FakeUpdates 跃居第一，教育仍然是受影响最大的全球工业。

上个月，Qbot恶意软件被网络犯罪分子用作针对酒店业组织的有限规模网络钓鱼攻击的一部分。在此次活动中，研究人员发现黑客冒充 IRS 发送恶意电子邮件，其中包含 PDF 附件，其中嵌入了链接到 Microsoft 安装程序的 URL。一旦激活，就会触发一个看不见的 Qbot 版本，该版本利用嵌入式动态链接库 (DLL)。在 8 月份被下架之前，Qbot 在威胁指数中占据主导地位，连续 10 个月被列为最流行的三大恶意软件之一。尽管它还没有重返榜单，但接下来的几个月将决定它是否会恢复以前的恶名。

与此同时，FakeUpdates 在 2023 年底重新崛起后继续上升，以 2% 的全球影响力排名第一。Nanocore 也连续六个月保持前五名的位置，12 月排名第三，Ramnit 和 Glupteba 也有新的参赛作品。

在其分发基础设施被拆除不到四个月后，Qbot 就出现在野外，这提醒我们，虽然我们可以破坏恶意软件活动，但其背后的攻击者将适应新技术。这就是为什么鼓励组织对端点安全采取预防性方法，并对电子邮件的来源和意图进行尽职调查。

“Apache Log4j 远程代码执行 (CVE-2021-44228) 和“Web 服务器恶意 URL 目录遍历”是最常被利用的漏洞，影响了全球 46% 的组织。“Zyxel ZyWALL 命令注入 (CVE-2023-28771)”紧随其后，全球影响率为 43%。

2023年12月“十恶不赦”

*箭头表示与上个月相比的排名变化。

FakeUpdates和Formbook是上个月最流行的恶意软件，影响了全球2% 的组织，其次是Nanocore，影响了全球1% 的组织。

↑ FakeUpdates – FakeUpdates（又名 SocGholish）是一个用 JavaScript 编写的下载器。它在启动有效负载之前将其写入磁盘。FakeUpdates 可能会通过其他恶意软件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）导致进一步的危害。
↓ Formbook – Formbook 是一种针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格，它在地下黑客论坛中以恶意软件即服务 (MaaS) 的形式进行销售。Formbook 从各种 Web 浏览器获取凭据、收集屏幕截图、监视和记录击键，并可以根据其 C&C 的命令下载和执行文件。
↑ Nanocore – Nanocore 是一种针对 Windows 操作系统用户的远程访问木马，于 2013 年首次在野外发现。所有版本的 RAT 都包含基本插件和功能，例如屏幕捕获、加密货币挖掘、远程控制桌面和网络摄像头会话盗窃。
↓ Remcos – Remcos 是一种于 2016 年首次出现的 RAT。Remcos 通过恶意 Microsoft Office 文档进行传播，这些文档附加在垃圾邮件中，旨在绕过 Microsoft Windows UAC 安全性并以高级权限执行恶意软件。
↑ AsyncRat – AsyncRat 是一种针对 Windows 平台的木马。该恶意软件将有关目标系统的信息发送到远程服务器。它从服务器接收命令来下载并执行插件、终止进程、卸载/更新自身以及捕获受感染系统的屏幕截图。
↓ AgentTesla – AgentTesla 是一种高级 RAT，充当键盘记录器和信息窃取程序，能够监控和收集受害者的键盘输入、系统键盘、截取屏幕截图以及窃取受害者计算机上安装的各种软件的凭据（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端）。
^ Phorpiex – Phorpiex 是一个僵尸网络（又名 Trik），自 2010 年以来一直活跃，在高峰时期控制了超过一百万台受感染的主机。它以通过垃圾邮件活动分发其他恶意软件系列以及助长大规模垃圾邮件和性勒索活动而闻名。
↓ NJRat – NJRat 是一种远程访问木马，主要针对中东的政府机构和组织。该木马于 2012 年首次出现，具有多种功能：捕获击键、访问受害者的摄像头、窃取浏览器中存储的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和偷渡式下载感染受害者，并在命令与控制服务器软件的支持下通过受感染的 USB 密钥或网络驱动器进行传播。
↑ Ramnit – Ramnit 特洛伊木马是一种能够泄露敏感数据的恶意软件。此类数据可以包括银行凭证、FTP 密码、会话 cookie 和个人数据等任何内容。
^ Glupteba – 自 2011 年以来已知，Glupteba 是一个逐渐成熟为僵尸网络的后门。到 2019 年，它包括通过公共比特币列表的 C&C 地址更新机制、集成的浏览器窃取程序功能和路由器利用程序。

最常被利用的漏洞

上个月，“Apache Log4j 远程代码执行 (CVE-2021-44228)”和“Web 服务器恶意 URL 目录遍历”是最常被利用的漏洞，影响了全球46%的组织，其次是“Zyxel ZyWALL 命令注入”(CVE-2023) -28771)”，全球影响力达43%。

↑ Apache Log4j 远程代码执行 (CVE-2021-44228) – Apache Log4j 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
↔ Web 服务器恶意 URL 目录遍历 (CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、 CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) –有不同Web服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误导致的，该错误未正确清理目录遍历模式的 URI。成功利用此漏洞允许未经身份验证的远程攻击者披露或访问易受攻击的服务器上的任意文件。
↔ Zyxel ZyWALL 命令注入 (CVE-2023-28771) – Zyxel ZyWALL 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意操作系统命令。
↓通过 HTTP 进行命令注入（CVE-2021-43936、CVE-2022-24086） ——已报告通过 HTTP 进行命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功利用该漏洞将允许攻击者在目标计算机上执行任意代码。
↑ PHP 复活节彩蛋信息泄露 (CVE-2015-2051) – PHP 页面中报告了一个信息泄露漏洞。该漏洞是由于不正确的 Web 服务器配置造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。
↑ MVPower CCTV DVR 远程执行代码 (CVE-2016-20016) - MVPower CCTV DVR 中存在远程执行代码漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
↓ WordPress portable-phpMyAdmin 插件身份验证绕过 (CVE-2012-5469) – WordPress portable-phpMyAdmin 插件中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并对受影响的系统进行未经授权的访问。
^ OpenSSL TLS DTLS 心跳信息泄露（CVE-2014-0160、CVE-2014-0346） – OpenSSL TLS DTLS 心跳信息泄露 OpenSSL 中存在信息泄露漏洞。该漏洞又名 Heartbleed，是由于处理 TLS/DTLS 心跳数据包时出现错误造成的。攻击者可以利用此漏洞泄露所连接的客户端或服务器的内存内容。
↓ HTTP 标头远程代码执行– HTTP 标头允许客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能使用易受攻击的 HTTP 标头在受害计算机上运行任意代码。
↑ D-Link 多个产品远程执行代码 (CVE-2015-2051) – 多个 D-Link 产品中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。

全球受攻击最严重的行业

上个月，教育/研究仍然是全球最受攻击的行业，其次是通信和政府/军事。

教育/研究
通讯
政府/军队

2023年12月份恶意软件之“十恶不赦”排行榜

2023年12月“十恶不赦”

最常被利用的漏洞

热门移动恶意软件

全球受攻击最严重的行业