盛世集团

Check Point发布了2023年7月全球威胁指数的分析报告
。7月份最流行的恶意软件是Qbot，影响了全球5%的组织，其次是Formbook（4%）和Remcos（2%）
。全球遭到攻击最多的行业是教育和研究行业，其次是政府和军事行业，然后是医疗保健行业
。最常被利用的漏洞Web服务器恶意URL目录遍历漏洞，影响了全球49%的组织，其次是Apache Log4j远程代码执行漏洞（45%）和HTTP标头远程代码执行漏洞（42%）
。最常见的移动恶意软件Anubis，然后是SpinOk和AhMyth
。

顶级恶意软件家族

2023年7月，Qbot是最流行的恶意软件，对全球组织的影响达5%，其次是Formbook，对全球影响达4%，而Remcos对全球影响达2%
。

1.Qbot

Qbot 又称 Qakbot 是一种多用途恶意软件，首次出现于 2008 年
。它旨在窃取用户的凭据、记录击键、从浏览器窃取 cookie、监视银行活动以及部署其他恶意软件
。Qbot 通常通过垃圾邮件进行分发，它采用多种反虚拟机、反调试和反沙箱技术来阻碍分析和逃避检测
。从 2022 年开始，它成为最流行的木马之一
。

2.Formbook

Formbook 是一种针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现
。由于其强大的规避技术和相对较低的价格，它在地下黑客论坛中以恶意软件即服务 (MaaS) 的形式进行销售
。FormBook 从各种 Web 浏览器获取凭据、收集屏幕截图、监视和记录击键，并可以根据其 C&C 的命令下载和执行文件
。

3.Remcos

Remcos 是一种于 2016 年首次出现的 RAT
。Remcos 通过附加在垃圾邮件中的恶意 Microsoft Office 文档进行传播，旨在绕过 Microsoft Windows UAC 安全性并以高级权限执行恶意软件
。

4.Emotet

Emotet 是一种先进的、自我传播的？榛韭
。Emotet 曾经被用作银行木马，最近被用作其他恶意软件或恶意活动的分发者
。它使用多种方法来维持持久性和逃避技术以避免检测
。此外，它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播
。

5.Nanocore

NanoCore 是一种针对 Windows 操作系统用户的远程访问木马，于 2013 年首次在野外发现
。所有版本的 RAT 都包含基本插件和功能，例如屏幕捕获、加密货币挖掘、远程控制桌面和网络摄像头会话盗窃
。

6.NJRat

NJRat 是一种远程访问木马，主要针对中东的政府机构和组织
。该木马首次出现于 2012 年，具有多种功能：捕获击键、访问受害者的摄像头、窃取浏览器中存储的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面
。NJRat 通过网络钓鱼攻击和偷渡式下载感染受害者，并在命令与控制服务器软件的支持下通过受感染的 USB 密钥或网络驱动器进行传播
。

7.GuLoader

Guloader 是一款自 2019 年 12 月以来广泛使用的下载器
。当它首次出现时，GuLoader 用于下载 Parallax RAT，但已应用于其他远程访问木马和信息窃取程序，例如 Netwire、FormBook 和 Agent Tesla 
。

8.Fakeupdates

Fakeupdates（又名 SocGholish）是一个用 JavaScript 编写的下载器
。它在启动有效负载之前将其写入磁盘
。虚假更新通过许多其他恶意软件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）导致进一步危害
。

9.Phorpiex

Phorpiex 是一个僵尸网络（又名 Trik），自 2010 年以来一直活跃，在高峰时期控制了超过一百万台受感染的主机
。它以通过垃圾邮件活动分发其他恶意软件系列以及助长大规模垃圾邮件和性勒索活动而闻名
。

10.Ramnit

Ramnit 是一种？榛心韭，于 2010 年首次发现
。Ramnit 窃取网络会话信息，使其运营商能够窃取受害者使用的所有服务的账户凭据，包括银行账户、企业和社交网络账户
。该木马使用硬编码域以及 DGA（域生成算法）生成的域来联系 C&C 服务器并下载其他？
。

全球受攻击最多的行业

2023年7月，教育/研究仍然位居全球最受开发行业的首位，其次是政府/军事和医疗保健
。

1.教育/研究

2.政府/军队

3.卫生保健

最常被利用的漏洞

2023年7月，Web服务器恶意URL目录遍历漏洞是最常被利用的漏洞，影响了全球49%的组织，其次是Apache Log4j远程代码执行漏洞（45%）和HTTP标头远程代码执行漏洞（42%）
。

1.Web 服务器恶意 URL 目录遍历

该漏洞是由于 Web 服务器中的输入验证错误导致的，该错误未正确清理目录遍历模式的 URI
。成功利用此漏洞允许未经身份验证的远程攻击者披露或访问易受攻击的服务器上的任意文件
。

2.Apache Log4j 远程代码执行 (CVE-2021-44228)

Apache Log4j 中存在远程代码执行漏洞
。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码
。

3.HTTP 标头远程代码执行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756）

HTTP 标头允许客户端和服务器通过 HTTP 请求传递附加信息
。远程攻击者可能使用易受攻击的 HTTP 标头在受害计算机上运行任意代码
。

4.Dasan GPON 路由器身份验证绕过 (CVE-2018-10561)

Dasan GPON 路由器中存在身份验证绕过漏洞
。成功利用此漏洞将允许远程攻击者获取敏感信息并对受影响的系统进行未经授权的访问
。

5.MVPower CCTV DVR 远程执行代码 (CVE-2016-20016)

MVPower CCTV DVR 中存在远程执行代码漏洞
。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码
。

6.F5 BIG-IP 远程代码执行 (CVE-2021-22986)

F5 BIG-IP 设备中存在远程代码执行漏洞
。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码
。

7.PHP Easter Egg Information Disclosure

PHP 页面中报告了一个信息泄露漏洞
。该漏洞是由于不正确的 Web 服务器配置造成的
。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞
。

8.HTTP 命令注入（CVE-2021-43936、CVE-2022-24086）

远程攻击者可以通过向受害者发送特制请求来利用此漏洞
。成功利用该漏洞将允许攻击者在目标计算机上执行任意代码
。

9.WordPress portable-phpMyAdmin 插件身份验证绕过 (CVE-2012-5469)

WordPress portable-phpMyAdmin 插件中存在身份验证绕过漏洞
。成功利用此漏洞将允许远程攻击者获取敏感信息并对受影响的系统进行未经授权的访问
。

10.OpenSSL TLS DTLS 心跳信息泄露（CVE-2014-0160、CVE-2014-0346）

OpenSSL 中存在信息泄露漏洞
。该漏洞又名 Heartbleed，是由于处理 TLS/DTLS 心跳数据包时出现错误造成的
。攻击者可以利用此漏洞泄露所连接的客户端或服务器的内存内容
。

热门移动恶意软件

2023年7月，Anubis在最流行的移动恶意软件中排名第一，其次是SpinOk和AhMyth
。

1.Anubis

Anubis 是一种专为 Android 手机设计的银行木马恶意软件
。自最初检测到以来，它已获得了额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器、录音功能和各种勒索软件功能
。Google 商店中数百个不同的应用程序已检测到该病毒
。

2.SpinOk

SpinOk 是一个作为间谍软件运行的 Android 软件？
。它收集有关设备上存储的文件的信息，并能够将它们传输给恶意威胁参与者
。截至 2023 年 5 月，该恶意？榇嬖谟 100 多个 Android 应用程序中，下载量超过 4.21 亿次
。

3.AhMyth

AhMyth 是 2017 年发现的远程访问木马 (RAT)
。它通过 Android 应用程序分发，可在应用程序商店和各种网站上找到
。当用户安装这些受感染的应用程序之一时，恶意软件可以从设备收集敏感信息并执行键盘记录、截图、发送短信和激活摄像头等操作，这些操作通常用于窃取敏感信息
。

# 59号实验室锐评 #

    Check Point报告显示，7月份的全球最易利用的漏洞主要为Web应用系统类漏洞，攻击者最为关注的漏洞依旧是能够远程执行代码类漏洞，因此在安全防护工作中，关注最新安全风险，日；┞睹媸崂砉ぷ魇鞘直匾
。此外顶级恶意软件家族的攻击目标主要是敏感信息窃取，数据安全防护刻不容缓！