Forskere har oppdaget en gjenoppblomstring av Qbot-skadevare, som ble oppdaget i phishing-forsøk rettet mot hotellbransjen. I mellomtiden hoppet nedlastingsprogrammet FakeUpdates til tops.
Vår siste globale trusselindeks for desember 2023 viste at forskere identifiserte gjenoppblomstringen av Qbot, fire måneder etter at amerikanske og internasjonale politimyndigheter demonterte infrastrukturen i Operasjon Duck Hunt i august 2023. I mellomtiden hoppet JavaScript-nedlasteren FakeUpdates opp til førsteplass, og utdanning forble den mest berørte bransjen på verdensbasis.
Forrige måned ble Qbot brukt skadelig programvare av nettkriminelle som en del av et begrenset phishing-angrep rettet mot organisasjoner i hotell- og restaurantbransjen. I kampanjen oppdaget forskere at hackere utga seg for å være skattemyndighetene (IRS) og sendte ondsinnede e-poster som inneholdt PDF-vedlegg med innebygde URL-er som lenket til et Microsoft-installasjonsprogram. Når dette ble aktivert, utløste det en usynlig versjon av Qbot som utnyttet et innebygd dynamisk lenkebibliotek (DLL). Før nedstengningen i august dominerte Qbot trusselindeksen og rangerte som en av de tre beste ondsinnede programmer i 10 måneder på rad. Selv om den ikke har kommet tilbake på listen, vil de kommende månedene avgjøre om den vil gjenvinne den beryktelsen den hadde før.

I mellomtiden fortsatte FakeUpdates sin vei opp til toppen etter å ha dukket opp igjen sent i 2023, og nådde nummer én med en global innvirkning på 2%. Nanocore beholdt også en topp fem-plassering i seks måneder på rad, og tok tredjeplassen i desember, med nye bidrag fra Ramnit og Glupteba.
Å se Qbot i drift mindre enn fire måneder etter at distribusjonsinfrastrukturen ble avviklet, er en påminnelse om at selv om vi kan forstyrre skadelig kampanjer, vil aktørene bak dem tilpasse seg ny teknologi. Derfor oppfordres organisasjoner til å ta i bruk en proaktiv tilnærming til endepunktsikkerhet og utføre due diligence på opprinnelsen og formålet til en e-post.
HLR avslørte også at “Apache Log4j Remote Code Execution (CVE-2021-44228)“ og ”Web Servers Malicious URL Directory Traversal“ var de mest utnyttede sårbarhetene, og påvirket 46 %-organisasjoner over hele verden. ”Zyxel ZyWALL Command Injection (CVE-2023-28771)» fulgte tett etter med en global innvirkning på 43 %.
Populære familier av skadelig programvare
*Pilene viser endringen i rangering sammenlignet med forrige måned.
Falske oppdateringer og Skjemabok var den vanligste skadelige programvaren forrige måned med innvirkning på 2 % globale organisasjoner, etterfulgt av Nanocore med en global effekt på 1 %.
- ↑ Falske oppdateringer – FakeUpdates (også kjent som SocGholish) er et nedlastingsprogram skrevet i JavaScript. Det skriver nyttelasten til disk før det starter. FakeUpdates kan føre til ytterligere sikkerhetsbrudd via skadelig programvare, inkludert GootLoader, Dridex, NetSupport, DoppelPaymer og AZORult.
- ↓ Skjemabok – Formbook er en infotyver rettet mot Windows OS og ble først oppdaget i 2016. Den markedsføres som Malware as a Service (MaaS) i underjordiske hackingfora på grunn av sine sterke unnvikelsesteknikker og relativt lave pris. Formbook samler inn legitimasjon fra forskjellige nettlesere, samler skjermbilder, overvåker og logger tastetrykk, og kan laste ned og kjøre filer som bestilt av sin C&C.
- ↑ Nanocore – Nanocore er en trojaner for ekstern tilgang som retter seg mot brukere av Windows-operativsystemer, og ble først observert i naturen i 2013. Alle versjoner av RAT inkluderer grunnleggende programtillegg og funksjoner som skjermbildeopptak, kryptovalutautvinning, fjernstyrt skrivebordskontroll og tyveri av webkameraøkter.
- ↓ Remcos – Remcos er en RAT som først dukket opp i 2016. Remcos distribuerer seg selv gjennom ondsinnede Microsoft Office-dokumenter, som er vedlagt spam-e-poster, og er designet for å omgå Microsoft Windows UAC-sikkerhet og kjøre skadelig programvare med utvidede rettigheter.
- ↑ AsyncRat – AsyncRat er en trojaner som retter seg mot Windows-plattformen. Denne skadelige programvaren sender informasjon om det målrettede systemet til en ekstern server. Den mottar kommandoer fra serveren om å laste ned og kjøre programtillegg, avslutte prosesser, avinstallere/oppdatere seg selv og ta skjermbilder av det infiserte systemet.
- ↓ AgentTesla – AgentTesla er en avansert RAT som fungerer som en keylogger og informasjonstyver, som kan overvåke og samle inn registrere offerets tastaturinndata, systemtastatur, ta skjermbilder og tømme påloggingsinformasjon til en rekke programmer som er installert på offerets datamaskin (inkludert Google Chrome, Mozilla Firefox og e-postklienten Microsoft Outlook).
- ↑ Phorpiex – Phorpiex er et botnett (alias Trik) som har vært aktivt siden 2010 og på sitt meste kontrollerte det mer enn en million infiserte verter. Det er kjent for å distribuere andre skadevarefamilier via spamkampanjer, samt for å kjøre store spam- og sextorsjonskampanjer.
- ↓ NJRat – NJRat er en trojaner for ekstern tilgang, primært rettet mot offentlige etater og organisasjoner i Midtøsten. Trojaneren dukket først opp i 2012 og har flere funksjoner: fange tastetrykk, få tilgang til offerets kamera, stjele påloggingsinformasjon lagret i nettlesere, laste opp og laste ned filer, utføre prosess- og filmanipulasjoner og se offerets skrivebord. NJRat infiserer ofre via phishing-angrep og drive-by-nedlastinger, og sprer seg via infiserte USB-minnepinner eller nettverksstasjoner, støttet av Command & Control-serverprogramvare.
- ↑ Rammenagle – Ramnit-trojaneren er en type skadelig programvare som kan stramme inn sensitive data. Denne typen data kan inkludere alt fra bankdetaljer, FTP-passord, informasjonskapsler og personopplysninger.
- ↑ Glupteba – Glupteba, kjent siden 2011, er en bakdør som gradvis modnet til et botnett. I 2019 inkluderte den en mekanisme for oppdatering av C&C-adresser gjennom offentlige Bitcoin-lister, en integrert funksjon for nettleserkapring og et ruterangrep.
Mest utnyttede sårbarheter
Forrige måned var “Apache Log4j ekstern kodekjøring (CVE-2021-44228)” og “"Webserverens ondsinnede URL-katalogtraversering"” de mest utnyttede sårbarhetene, som påvirket 46 % av organisasjoner globalt, etterfulgt av “Zyxel ZyWALL-kommandoinjeksjon (CVE-2023) -28771)” med en global effekt på 43 % .
- ↑ Apache Log4j ekstern kodekjøring (CVE-2021-44228) – Det finnes et sikkerhetsproblem i Apache Log4j som kan forårsake ekstern kodekjøring. Vellykket utnyttelse av dette sikkerhetsproblemet kan tillate en ekstern angriper å kjøre vilkårlig kode på det berørte systemet.
- ↔ Webservere som gjennomsøker ondsinnede URL-kataloger (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, -72501, -72501, CVE-72541, - CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2602, CVE-2602 Det finnes et sikkerhetsproblem for katalogtraversering i diverse webservere. Sårbarheten skyldes en valideringsfeil for inndata i en webserver som ikke renser URI-en riktig for katalogtraverseringsmønstre. Vellykket utnyttelse kan tillate uautoriserte eksterne angripere å avsløre eller få tilgang til vilkårlige filer på den sårbare serveren.
- ↔ Zyxel ZyWALL-kommandoinjeksjon (CVE-2023-28771) – Det er en sårbarhet for kommandoinjeksjon i Zyxel ZyWALL. Vellykket utnyttelse av dette sikkerhetsproblemet vil tillate eksterne angripere å utføre vilkårlige OS-kommandoer på det berørte systemet.
- ↓ Kommandoinjeksjon over HTTP (CVE-2021-43936, CVE-2022-24086) – Det er rapportert om et sikkerhetsproblem med kommandoinjeksjon over HTTP. En ekstern angriper kan utnytte dette problemet ved å sende en spesiallaget forespørsel til offeret. Vellykket utnyttelse vil tillate en angriper å kjøre vilkårlig kode på den målrettede datamaskinen.
- ↑ Informasjonsavsløring om PHP Easter Egg (CVE-2015-2051) – Det er rapportert om et sikkerhetsproblem med informasjonsavsløring på PHP-sider. Sårbarheten skyldes feil konfigurasjon av webserveren. En ekstern angriper kan utnytte dette sikkerhetsproblemet ved å sende en spesiallaget URL til en berørt PHP-side.
- ↑ MVPower CCTV DVR ekstern kodekjøring (CVE-2016-20016)- Det finnes et sikkerhetsproblem med ekstern kjøring av kode i MVPower CCTV DVR. Vellykket utnyttelse av dette sikkerhetsproblemet kan tillate en ekstern angriper å kjøre vilkårlig kode på det berørte systemet.
- ↓ WordPress bærbar-phpMyAdmin Plugin Autentiseringsomgåelse (CVE-2012-5469) – Det finnes et sikkerhetsproblem for autentiseringsomgåelse i WordPress portable-phpMyAdmin Plugin. Vellykket utnyttelse av dette sikkerhetsproblemet kan tillate eksterne angripere å få tilgang til sensitiv informasjon og uautorisert tilgang til det berørte systemet.
- ↑ OpenSSL TLS DTLS Heartbeat-informasjonsavsløring (CVE-2014-0160, CVE-2014-0346) – OpenSSL TLS DTLS Heartbeat-informasjonsavsløring Det finnes et sikkerhetsproblem i OpenSSL som kan avsløre informasjon. Sårbarheten, også kjent som Heartbleed, skyldes en feil i håndteringen av TLS/DTLS-hjerteslagpakker. En angriper kan utnytte dette sikkerhetsproblemet til å avsløre minneinnholdet til en tilkoblet klient eller server.
- ↓ HTTP-overskrifter Ekstern kjøring av kode – HTTP-overskrifter lar klienten og serveren sende tilleggsinformasjon med en HTTP-forespørsel. En ekstern angriper kan bruke en sårbar HTTP-overskrift til å kjøre vilkårlig kode på offerets datamaskin.
- ↑ D-Link flere produkters ekstern kjøring av kode (CVE-2015-2051) – Det finnes et sikkerhetsproblem med ekstern kjøring av kode i flere D-Link-produkter. Vellykket utnyttelse av dette sikkerhetsproblemet kan tillate en ekstern angriper å kjøre vilkårlig kode på det berørte systemet.
Vanligst skadelig programvare for mobil
Forrige måned forble Anubis på førsteplass som den vanligste mobil-skadevaren, etterfulgt av AhMyte og Skjult .
- Anubis – Anubis er en banktrojaner som er utviklet for Android-mobiltelefoner. Siden den først ble oppdaget, har den fått tilleggsfunksjoner, inkludert funksjonalitet for fjerntilgangstrojaner (RAT), keylogger, lydopptaksmuligheter og diverse ransomware-funksjoner. Den har blitt oppdaget i hundrevis av forskjellige apper som er tilgjengelige i Google Store.
- AhMyte – AhMyth er en trojaner for fjerntilgang (RAT) som ble oppdaget 2017. Den distribueres via Android-apper som finnes i appbutikker og diverse nettsteder. Når en bruker installerer en av disse infiserte appene, kan skadevaren samle inn sensitiv informasjon fra enheten og utføre handlinger som tastelogging, ta skjermbilder, sende SMS og aktivere kameraet, som ofte brukes til å stjele sensitiv informasjon.
- Skjult – Hiddad er en skadelig programvare for Android som pakker om legitime apper og deretter frigir dem til en tredjepartsbutikk. Hovedfunksjonen er å vise annonser, men den kan også få tilgang til viktige sikkerhetsfunksjoner som er innebygd i operativsystemet.
Toppangrepne bransjer globalt
Forrige måned var utdanning/forskning fortsatt den mest målrettede industrien globalt, etterfulgt av kommunikasjon og myndigheter/militær.
- Utdanning/forskning
- Kommunikasjon
- Regjering/Militær
Sjekkpunkter globale Trusselpåvirkningsindeksen og ThreatCloud-kartet drives av Check Point ThreatCloud Intelligens. ThreatCloud tilbyr trusselinformasjon i sanntid hentet fra hundrevis av millioner sensorer over hele verden, på tvers av nettverk, endepunkter og mobil. Intelligensen er beriket med AI-baserte motorer og eksklusive forskningsdata fra Check Point Research, Check Point-programvareteknologier etterretnings- og forskningsarmen.








