俄烏戰爭引發了前所未有的網絡大混戰，2022 年 2 月CheckPoint給出的全球威脅指數顯示，Emotet 仍然是最流行的惡意軟件，影響了全球監測抽樣 5% 的組織，而 Trickbot 則進一步下滑至第六位。

Trickbot是計算機惡意軟件，是 Microsoft Windows 和其他操作系統的特洛伊木馬，主要功能最初是竊取銀行詳細信息和其他憑證，但其運營商已擴展其功能以創建完整的模塊化惡意軟件生態系統。在 2021 年期間，七次出現在CheckPoint的惡意軟件威脅排名列表的TOP 1。在過去的幾周里，沒有看到新的 Trickbot 活動，其在CheckPoint的排名第六。

二月末，俄烏戰爭爆發，包括匿名者、Conti等黑客組織各自選擇自己效力的一方，開始站隊引發互聯網大混戰。

根據CheckPoint的監測，本月教育/研究仍然是全球受攻擊最多的行業，其次是政府/軍事和互聯網服務提供商 (ISP)/托管服務提供商 (MSP)。Web Server Exposed Git Repository Information Disclosure是最常被利用的漏洞，影響了全球監測抽樣 46% 的組織，其次是Apache Log4j 遠程代碼執行，從第一位跌至第二位，影響了全球監測抽樣44% 的組織。HTTP Headers Remote Code Execution是第三大漏洞，全球監測抽樣影響率為 41%。

2022年2月“十惡不赦”

*箭頭表示與上個月相比的排名變化。

本月，Emotet仍然是最流行的惡意軟件，影響了全球監測抽樣 5% 的組織，緊隨其后的是Formbook，影響了監測抽樣 3% 的組織，Glupteba影響了全球監測抽樣 2%。

1.? Emotet – Emotet 是一種先進的、自我傳播的模塊化木馬。

Emotet 曾經被用作銀行木馬，最近被用作其他惡意軟件或惡意活動的分發者。

它使用多種方法來維護持久性和規避技術以避免檢測。

此外，它還可以通過包含惡意附件或鏈接的網絡釣魚垃圾郵件進行傳播。

2.↑ Formbook – Formbook 是一個信息竊取器，它從各種 Web 瀏覽器收集憑據、收集屏幕截圖、監控和記錄擊鍵，并可以根據其 C&C 命令下載和執行文件。

3.↑ Glupteba – Glupteba 是一個后門，逐漸成熟為僵尸網絡。

到 2019 年，它包括一個通過公共比特幣列表的 C&C 地址更新機制、一個完整的瀏覽器竊取功能和一個路由器漏洞利用程序。

4.? Agent Tesla – Agent Tesla 是一種高級 RAT，可用作鍵盤記錄器和信息竊取程序，能夠監控和收集受害者的鍵盤輸入、系統鍵盤、截屏以及將憑據泄露到安裝在受害者機器上的各種軟件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端)。

5.? XMRig – XMRig 是一款開源 CPU 挖掘軟件，用于門羅幣加密貨幣的挖掘過程，于 2017 年 5 月首次出現。

6.↓ Trickbot – Trickbot 是一個模塊化的僵尸網絡和銀行木馬，不斷更新新的功能、特性和分發向量。

這使 Trickbot 成為一種靈活且可定制的惡意軟件，可以作為多用途活動的一部分進行分發。

7.↑ Ramnit -Ramnit 是一種銀行木馬，可竊取銀行憑證、FTP 密碼、會話 cookie 和個人數據。

8.↑ SnakeKeylogger – Snake 是一個模塊化的 .NET 鍵盤記錄器和憑據竊取程序，于 2020 年 11 月下旬首次被發現。

其主要功能是記錄用戶的擊鍵并將收集到的數據傳輸給威脅參與者。

Snake 感染對用戶的隱私和在線安全構成重大威脅，因為該惡意軟件可以竊取幾乎所有類型的敏感信息，而且它是一種特別隱蔽和持久的鍵盤記錄器。

9.↑ Phorpiex – Phorpiex 是一個僵尸網絡(又名 Trik)，自 2010 年以來一直存在，并在其鼎盛時期控制了超過一百萬個受感染的主機。

它以通過垃圾郵件活動分發其他惡意軟件系列以及助長大規模垃圾郵件和性勒索活動而聞名。

10.↑ Tofsee – Tofsee 是一個針對 Windows 平臺的 Trickler。

此惡意軟件嘗試在目標系統上下載并執行其他惡意文件。

它可能會下載圖像文件并將其顯示給用戶，以隱藏其真實目的。

全球受攻擊最多的行業

本月教育/研究是全球受攻擊最多的行業，其次是政府/軍事和ISP/MSP。

• 教育/研究
• 政府/軍隊
• ISP/MSP

2月份漏洞Top10

本月 Web Server Exposed Git Repository Information Disclosure 是最常被利用的漏洞，影響了全球監測抽樣 46% 的組織，其次是 Apache Log4j 遠程代碼執行，它從第一位跌至第二位，影響了全球監測抽樣 44% 的組織。 HTTP Headers Remote Code Execution 是第三大漏洞，全球監測抽樣影響率為 41%。

1.↑ Web Server Exposed Git Repository Information Disclosure – Git Repository 中報告了一個信息泄露漏洞。成功利用此漏洞可能會無意中泄露賬戶信息。

2.↓ Apache Log4j 遠程代碼執行 (CVE-2021-44228) – Apache Log4j 中存在遠程代碼執行漏洞。成功利用此漏洞可能允許遠程攻擊者在受影響的系統上執行任意代碼。

3.? HTTP 標頭遠程代碼執行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) ——HTTP 標頭允許客戶端和服務器通過 HTTP 請求傳遞附加信息。遠程攻擊者可能使用易受攻擊的 HTTP 標頭在受害者機器上運行任意代碼。

4.↑ MVPower DVR 遠程代碼執行– MVPower DVR 設備中存在遠程代碼執行漏洞。遠程攻擊者可以利用此弱點通過精心設計的請求在受影響的路由器中執行任意代碼。

5.↓ Web 服務器惡意 URL 目錄遍歷 (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – 那里在不同的 Web 服務器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務器中的輸入驗證錯誤未正確清理目錄遍歷模式的 URI。成功利用允許未經身份驗證的遠程攻擊者泄露或訪問易受攻擊的服務器上的任意文件。

6.↑ PHP Easter Egg Information Disclosure – PHP 頁面中報告了一個信息泄露漏洞。該漏洞是由于 Web 服務器配置不正確造成的。遠程攻擊者可以通過向受影響的 PHP 頁面發送特制URL來利用此漏洞。

7.↓ D-LINK 多產品遠程代碼執行 (CVE-2015-2051) – 多個 D-Link 產品中報告了遠程代碼執行漏洞。成功利用可能導致在易受攻擊的設備上執行任意代碼。

8.? Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561) – Dasan GPON 路由器中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并未經授權訪問受影響的系統。

9.↑ Dasan GPON 路由器遠程命令注入 (CVE-2018-10562) - Dasan GPON 路由器中存在遠程命令執行漏洞。遠程攻擊者可以通過向受害者發送惡意請求來利用此漏洞。成功利用此漏洞可能導致在目標用戶的上下文中執行任意代碼。

10.↑ PHPUnit 命令注入 (CVE-2017-9841) - PHPUnit 中存在命令注入漏洞。成功利用此漏洞將允許遠程攻擊者在受影響的系統中執行任意命令。

頂級移動惡意軟件

本月XLoader是最流行的移動惡意軟件，其次是xHelper和AlienBot。

1.XLoader – XLoader 是由中國黑客組織延邊幫開發的安卓間諜軟件和銀行木馬。該惡意軟件使用 DNS 欺騙來分發受感染的 Android 應用程序以收集個人和財務信息。

2.xHelper – 自 2019 年 3 月以來在野外出現的惡意應用程序，用于下載其他惡意應用程序和顯示廣告。該應用程序可以對用戶隱藏自己，并在被卸載時重新安裝。

3.AlienBot – AlienBot 惡意軟件系列是針對 Android 設備的惡意軟件即服務 (MaaS)，它允許遠程攻擊者首先將惡意代碼注入合法的金融應用程序，然后允許攻擊者訪問受害者的賬戶，并最終完全控制他們的設備。