2021 年 5 月全球領先網(wǎng)絡安全解決方案提供商 Check Point ® 軟件技術(shù)有限公司 （納斯達克股票代碼：CHKP）的威脅情報部門 Check Point Research （CPR） 發(fā)布了其 2021 年 4 月最新版《全球威脅指數(shù)》報告。研究人員報告稱，AgentTesla 首次躍居指數(shù)榜單第二位，而 Dridex 老牌木馬仍然是最猖獗的惡意軟件，從 2 月份第七位躍升至 3 月榜單榜首。

本月，針對 Windows 平臺的 Dridex 木馬通過 QuickBooks 惡意垃圾郵件攻擊活動廣泛傳播。網(wǎng)絡釣魚電子郵件使用 QuickBooks 品牌，并企圖通過虛假付款通知和發(fā)票誘騙用戶。電子郵件內(nèi)容要求下載惡意 Microsoft Excel 附件，這可能導致系統(tǒng)感染 Dridex。

該惡意軟件通常用作勒索軟件攻擊感染的第一步，黑客將趁機加密組織數(shù)據(jù)并要求受害者支付贖金以對其進行解密。這些黑客越來越多地使用雙重勒索手段，設法從組織中竊取敏感數(shù)據(jù)，并威脅受害者支付贖金，否則便將其數(shù)據(jù)公之于眾。CPR 在 3 月報告 稱，勒索軟件攻擊于 2021 年初增加了 57％，并繼續(xù)呈激增態(tài)勢，較去年同期增長了 107％。最近，美國一家大型燃料公司 Colonial Pipeline 不幸淪為此類攻擊的受害者。2020 年， 據(jù)估計， 勒索軟件 給全球企業(yè)造成了約 200 億美元的損失，比 2019 年高出近 75％。

AgentTesla 首次躍居頭號惡意軟件排行榜第二位。它是一種高級 RAT（遠程訪問木馬），自 2014 年以來一直活躍至今，常被用作鍵盤記錄器和密碼竊取程序。這一 RAT 不僅能夠監(jiān)控和收集受害者的鍵盤輸入與系統(tǒng)剪貼板，而且還可以記錄截圖和竊取為受害者設備上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）輸入的證書。本月，AgentTesla 攻擊活動有所增加，并通過惡意垃圾郵件傳播。電子郵件內(nèi)容要求下載可能導致系統(tǒng)感染 Agent Tesla 的文件（可以是任何文件類型）。

Check Point 產(chǎn)品威脅情報與研究總監(jiān) Maya Horowitz 表示：“當前，全球勒索軟件攻擊激增，因此本月頭號惡意軟件與該趨勢密切相關不足為怪。全球平均每 10 秒就有一個組織成為勒索軟件的受害者。最近，人們紛紛呼吁政府對這一日益加劇的威脅采取更多有力措施，但目前威脅形勢仍未見絲毫減弱跡象。所有組織均需警惕風險，并確保全面部署反勒索軟件解決方案。此外，對所有員工進行全面培訓也至關重要，這樣他們才能夠掌握所需技能，從而準確識別傳播 Dridex 及其他惡意軟件的惡意電子郵件類型，因為這是許多勒索軟件漏洞攻擊伊始�！�

CPR 還指出，“Web Server Exposed Git 存儲庫信息泄露”是最常被利用的漏洞，全球 46％ 的組織因此遭殃，其次是“HTTP 標頭遠程代碼執(zhí)行 （CVE－2020－13756）”，影響了全球 45．5％ 的組織�！癕VPower DVR 遠程代碼執(zhí)行”在最常被利用的漏洞排行榜中位列第三，全球影響范圍為 44％。

頭號惡意軟件家族

＊ 箭頭表示與上月相比的排名變化。

Dridex 仍是本月最活躍的惡意軟件，全球 15％ 的組織受到波及，其次是 Agent Tesla 和 Trickbot，分別影響了全球 12％ 和 8％ 的組織。

1． ? Dridex － Dridex 是一種針對 Windows 平臺的木馬，主要通過惡意垃圾郵件附件進行傳播。Dridex 不僅能夠聯(lián)系遠程服務器，發(fā)送有關受感染系統(tǒng)的信息，而且還可以根據(jù)命令下載并執(zhí)行任意模塊。Dridex 感染通常是整個公司范圍勒索軟件攻擊的立足點。

2． ↑ Agent Tesla – Agent Tesla 是一種用作鍵盤記錄器和信息竊取程序的高級 RAT，能夠監(jiān)控和收集受害者的鍵盤輸入與系統(tǒng)剪貼板、截圖并盜取受害者電腦上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）的證書。

3． ↑ Trickbot － Trickbot 是一種模塊化僵尸網(wǎng)絡和銀行木馬，不斷添加新的功能、特性和傳播向量。這讓它成為一種靈活的可自定義的惡意軟件，廣泛用于多目的攻擊活動。

最常被利用的漏洞

本月，“Web Server Exposed Git 存儲庫信息泄露”是最常被利用的漏洞，全球 46％ 的組織因此遭殃，其次是“HTTP 標頭遠程代碼執(zhí)行 （CVE－2020－13756）”，影響了全球 45．5％ 的組織�！癕VPower DVR 遠程代碼執(zhí)行”在最常被利用的漏洞排行榜中位列第三，全球影響范圍為 44％。

1． ↑ Web Server Exposed Git 存儲庫信息泄露 － Git 存儲庫報告的一個信息泄露漏洞。攻擊者一旦成功利用該漏洞，便會使用戶在無意間造成帳戶信息泄露。

2．↓ HTTP 標頭遠程代碼執(zhí)行 （CVE－2020－10826、CVE－2020－10827、CVE－2020－10828、CVE－2020－13756） － HTTP 標頭允許客戶端和服務器傳遞帶 HTTP 請求的其他信息。遠程攻擊者可能會使用存在漏洞的 HTTP 標頭在受感染機器上運行任意代碼。

3．↓ MVPower DVR 遠程代碼執(zhí)行 － 一種存在于 MVPower DVR 設備中的遠程代碼執(zhí)行漏洞。遠程攻擊者可利用此漏洞，通過精心設計的請求在受感染的路由器中執(zhí)行任意代碼。

主要移動惡意軟件

本月，xHelper 位列最猖獗的移動惡意軟件榜首，其次是 Triada 和 Hiddad。

1． xHelper － 自 2019 年3 月以來開始肆虐的惡意應用，用于下載其他惡意應用并顯示惡意廣告。該應用能夠?qū)τ脩綦[身，并可在卸載后進行自我重新安裝。

2． Triada － 一種 Android 模塊化后門程序，可為下載的惡意軟件提供超級用戶權(quán)限。

3． Hiddad － Hiddad 是一種 Android 惡意軟件，能夠?qū)�合法應用進行重新打包，然后將其發(fā)布到第三方商店。其主要功能是顯示廣告，但它也可以訪問操作系統(tǒng)內(nèi)置的關鍵安全細節(jié)。

Check Point《全球威脅影響指數(shù)》及其《ThreatCloud 路線圖》基于 Check Point ThreatCloud 情報數(shù)據(jù)撰寫而成，ThreatCloud 是打擊網(wǎng)絡犯罪的最大協(xié)作網(wǎng)絡，可通過全球威脅傳感器網(wǎng)絡提供威脅數(shù)據(jù)和攻擊趨勢。ThreatCloud 數(shù)據(jù)庫每天檢查超過 30 億個網(wǎng)站和 6 億份文件，每天識別超過 2．5 億起惡意軟件攻擊活動。

關于 Check Point Research

Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領先的網(wǎng)絡威脅情報。Check Point 研究團隊負責收集和分析 ThreatCloud 存儲的全球網(wǎng)絡攻擊數(shù)據(jù)，以便在防范黑客的同時，確保所有 Check Point 產(chǎn)品都享有最新保護措施。此外，該團隊由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機關及各個計算機安全應急響應組展開合作。

關于 Check Point 軟件技術(shù)有限公司

Check Point 軟件技術(shù)有限公司  是一家面向全球政府和企業(yè)的領先網(wǎng)絡安全解決方案提供商。Check Point Infinity 解決方案組合對惡意軟件、勒索軟件及其他威脅的捕獲率處于業(yè)界領先水準，可有效保護企業(yè)和公共組織免受第五代網(wǎng)絡攻擊。Infinity 包含三大核心支柱，可跨企業(yè)環(huán)境提供卓越安全保護和第五代威脅防護：Check Point Harmony（面向遠程用戶）；Check Point CloudGuard（自動保護云環(huán)境）；Check Point Quantum（有效保護網(wǎng)絡邊界和數(shù)據(jù)中心）— 所有這一切均通過業(yè)界最全面、直觀的統(tǒng)一安全管理進行控制。Check Point 為十萬多家各種規(guī)模的企業(yè)提供保護。