2023年10月份恶意软件之十恶不赦排行榜

最新的 2023 年 10 月全球威胁指数显示，以中东政府机构和组织为目标的远程访问木马 (RAT) NJRat 从第六位上升了四位，升至第二位。与此同时，研究人员报告了一项涉及高级 RAT AgentTesla 的新恶意垃圾邮件活动，而教育行业仍然是最有针对性的行业。

上个月，AgentTesla 被发现通过包含恶意 Microsoft 编译 HTML 帮助 (.CHM) 扩展名的存档文件进行分发。这些文件通过电子邮件以 .GZ 或 .zip 附件形式发送，使用与最近订单和发货相关的名称，例如 – po-######.gz / Shipping Documents.gz，旨在引诱目标下载恶意软件。安装后，AgentTesla 能够进行键盘记录、捕获剪贴板数据、访问文件系统以及秘密地将窃取的数据传输到命令和控制 (C&C) 服务器。

不能错过黑客用来传播恶意软件的策略，例如冒充熟悉的品牌或通过电子邮件发送恶意文件。随着 11 月进入繁忙的购物季节，保持警惕并记住网络犯罪分子正在积极利用我们对在线购物和运输的浓厚兴趣，这一点很重要。”

Zyxel ZyWALL 命令注入 (CVE-2023-28771)是最常被利用的漏洞，影响了全球 42% 的组织，其次是HTTP 命令注入，影响了全球 42% 的组织。Web 服务器恶意 URL 目录遍历是第三大最常用的漏洞，全球影响率为 42%。

2023年10月“十恶不赦”

*箭头表示与上个月相比的排名变化。

*箭头表示与上个月相比的排名变化。

Formbook是上个月最流行的恶意软件，影响了全球3% 的组织，其次是NJRat，影响了全球2%， Remcos影响了全球2%。

1. ↔ Formbook – Formbook 是一种针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格，它在地下黑客论坛中以恶意软件即服务 (MaaS) 的形式进行销售。FormBook 从各种 Web 浏览器获取凭据、收集屏幕截图、监视和记录击键，并可以根据其 C&C 的命令下载和执行文件。

2. ^ NJRat – NJRat 是一种远程访问木马，主要针对中东的政府机构和组织。该木马于 2012 年首次出现，具有多种功能：捕获击键、访问受害者的摄像头、窃取浏览器中存储的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和偷渡式下载感染受害者，并在命令与控制服务器软件的支持下通过受感染的 USB 密钥或网络驱动器进行传播。

3. ↓ Remcos – Remcos 是一种于 2016 年首次出现的 RAT。Remcos 通过恶意 Microsoft Office 文档进行传播，这些文档附加在垃圾邮件中，旨在绕过 Microsoft Windows UAC 安全性并以高级权限执行恶意软件。

4. ↔ Nanocore – Nanocore 是一种针对 Windows 操作系统用户的远程访问木马，于 2013 年首次在野外观察到。所有版本的 RAT 都包含基本插件和功能，例如屏幕捕获、加密货币挖掘、远程控制桌面和网络摄像头会话盗窃。

5. ↓ Emotet – Emotet 是一种先进的、自我传播的模块化木马，曾经用作银行木马，最近用作其他恶意软件或恶意活动的传播者。它使用多种方法来维持持久性和逃避技术来避免检测。此外，它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。

6. ↑ AgentTesla – AgentTesla 是一种高级 RAT，充当键盘记录程序和信息窃取程序，能够监控和收集受害者的键盘输入、系统键盘、截取屏幕截图以及窃取受害者计算机上安装的各种软件的凭据（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端）。

7. ^ Mirai – Mirai 是一种臭名昭著的物联网 (IoT) 恶意软件，它会跟踪易受攻击的物联网设备，例如网络摄像头、调制解调器和路由器，并将其转变为机器人。该僵尸网络被其运营商用来进行大规模分布式拒绝服务 (DDoS) 攻击。Mirai 僵尸网络于 2016 年 9 月首次出现，并因一些大规模攻击而迅速成为头条新闻，其中包括用于使利比里亚整个国家瘫痪的大规模 DDoS 攻击，以及针对互联网基础设施公司 Dyn 的 DDoS 攻击，该公司提供了很大一部分美国互联网基础设施。

8. ^ Phorpiex – Phorpiex 是一个僵尸网络（又名 Trik），自 2010 年以来一直活跃，在高峰时期控制了超过一百万台受感染的主机。它以通过垃圾邮件活动分发其他恶意软件系列以及助长大规模垃圾邮件和性勒索活动而闻名。

9. ↑ Ramnit – Ramnit 特洛伊木马是一种能够泄露敏感数据的恶意软件。此类数据可以包括银行凭证、FTP 密码、会话 cookie 和个人数据等任何内容。

10. ↑ Tofsee – Tofsee 是一个针对 Windows 平台的 Trickler。该恶意软件尝试在目标系统上下载并执行其他恶意文件。它可能会下载并向用户显示图像文件，以隐藏其真实目的。

全球受攻击最多的行业

上个月，教育/研究仍然是全球受攻击最严重的行业，位居榜首，其次是通信和政府/军事。

1. 教育/研究

2. 通讯

3. 政府/军队

最常被利用的漏洞

上个月，Zyxel ZyWALL 命令注入 (CVE-2023-28771)”是最常被利用的漏洞，影响了全球42%的组织，其次是HTTP 命令注入，影响了全球42%的组织。Web 服务器恶意 URL 目录遍历是第三大最常用的漏洞，全球影响率为42%。

1. ↑ Zyxel ZyWALL 命令注入 (CVE-2023-28771) – Zyxel ZyWALL 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意操作系统命令。

2. ↔ HTTP 命令注入（CVE-2021-43936、CVE-2022-24086） – 已报告 HTTP 命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功利用该漏洞将允许攻击者在目标计算机上执行任意代码。

3. ↓ Web 服务器恶意 URL 目录遍历 (CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、 CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) –有不同Web服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误导致的，该错误未正确清理目录遍历模式的 URI。成功利用此漏洞允许未经身份验证的远程攻击者披露或访问易受攻击的服务器上的任意文件。

4. ↑ Apache Log4j 远程代码执行 (CVE-2021-44228) – Apache Log4j 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。

5. ↓ WordPress portable-phpMyAdmin 插件身份验证绕过 (CVE-2012-5469) – WordPress portable-phpMyAdmin 插件中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并对受影响的系统进行未经授权的访问。

6. ↑ PHPUnit 命令注入 (CVE-2017-9841) – PHPUnit 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意命令。

7. ↓ MVPower CCTV DVR 远程执行代码 (CVE-2016-20016) - MVPower CCTV DVR 中存在远程执行代码漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。

8. ↓ PHP 彩蛋信息泄露 (CVE-2015-2051) – PHP 页面中报告了一个信息泄露漏洞。该漏洞是由于不正确的 Web 服务器配置造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。

9. ↑ ZTE F460/F660 后门未经授权访问– ZTE F460 和 F660 电缆调制解调器中存在未经授权访问漏洞。成功利用此漏洞可能允许远程攻击者在受影响的设备上以管理员级别访问权限执行任意命令。

10. ↓ OpenSSL TLS DTLS 心跳信息泄露（CVE-2014-0160、CVE-2014-0346） – OpenSSL 中存在信息泄露漏洞。该漏洞又名 Heartbleed，是由于处理 TLS/DTLS 心跳数据包时出现错误造成的。攻击者可以利用此漏洞泄露所连接的客户端或服务器的内存内容。

热门移动恶意软件

上个月，Anubis仍然位居最流行移动恶意软件的首位，其次是AhMyth和Hiddad。

1. Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来，它已获得了额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器、录音功能和各种勒索软件功能。Google 商店中数百个不同的应用程序已检测到该病毒。

2. AhMyth – AhMyth 是 2017 年发现的远程访问木马 (RAT)。它通过 Android 应用程序分发，可在应用程序商店和各种网站上找到。当用户安装这些受感染的应用程序之一时，恶意软件可以从设备收集敏感信息并执行键盘记录、截图、发送短信和激活摄像头等操作，这些操作通常用于窃取敏感信息。

3. Hiddad – Hiddad 是一种 Android 恶意软件，它会重新打包合法应用程序，然后将其发布到第三方商店。它的主要功能是展示广告，但它也可以访问操作系统内置的关键安全细节。