信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“嘶吼專業(yè)版”，作者/xiaohui。

金融威脅統(tǒng)計(jì)

在2023年第二季度，卡巴斯基解決方案阻止了旨在從95546個(gè)獨(dú)立用戶的計(jì)算機(jī)上竊取銀行賬戶資金的惡意軟件。

2023年第二季度受金融惡意軟件攻擊的用戶數(shù)量

金融惡意軟件攻擊的地理分布

為了評(píng)估和比較全球范圍內(nèi)被銀行木馬和ATM/POS惡意軟件攻擊的風(fēng)險(xiǎn)，對(duì)于每個(gè)國(guó)家和地區(qū)，研究人員計(jì)算了在報(bào)告期內(nèi)面臨此威脅的卡巴斯基用戶占該國(guó)家或地區(qū)所有卡巴斯基產(chǎn)品用戶的百分比。

受攻擊用戶比例排名前10的國(guó)家和地區(qū)

十大銀行惡意軟件家族

勒索軟件季度趨勢(shì)

MOVEit傳輸漏洞被利用

Cl0p勒索軟件組織開(kāi)始大量利用MOVEit傳輸漏洞，MOVEit Transfer是一種流行的目標(biāo)管理文件傳輸(MFT)解決方案,主要在美國(guó)的數(shù)千家企業(yè)中使用,包括政府機(jī)構(gòu)、銀行、軟件供應(yīng)商和其他組織。5月下旬，攻擊者利用了當(dāng)時(shí)應(yīng)用程序中的零日漏洞，成功地攻擊了許多公司的網(wǎng)絡(luò)并獲得了機(jī)密數(shù)據(jù)的訪問(wèn)權(quán)限。在這一系列攻擊中，攻擊者利用的MOVEit Transfer中的漏洞后來(lái)被分配為標(biāo)識(shí)符CVE-2023-34362、CVE-2023235708和CVE-2023-35036。

對(duì)市政組織、教育和醫(yī)院機(jī)構(gòu)的攻擊

第二季度出現(xiàn)了大量關(guān)于市政機(jī)構(gòu)、醫(yī)院和大學(xué)遭受勒索軟件攻擊的報(bào)道。在這些網(wǎng)絡(luò)被攻擊和數(shù)據(jù)被盜的企業(yè)中，有路易斯安那州的機(jī)動(dòng)車輛辦公室(OMV)和俄勒岡州的司機(jī)和機(jī)動(dòng)車輛服務(wù)部(DMV)。聲稱對(duì)此次攻擊負(fù)責(zé)的Cl0p組織利用了上述MOVEit漏洞。

據(jù)聯(lián)邦調(diào)查局稱，Bl00dy組織在5月份利用PaperCut中的CVE-2023-27350漏洞攻擊了教育機(jī)構(gòu)，PaperCut是數(shù)萬(wàn)家企業(yè)使用的打印管理軟件。

某些勒索軟件組織曾表示，他們不會(huì)以這類組織為目標(biāo)，但許多網(wǎng)絡(luò)組織顯然未能堅(jiān)持他們宣稱的原則。

雙重勒索軟件

本節(jié)介紹從事所謂“雙重勒索”的勒索軟件組織，即竊取和加密機(jī)密數(shù)據(jù)。這些組織大多以大公司為目標(biāo)，并經(jīng)常維護(hù)DLS（數(shù)據(jù)泄露網(wǎng)站），在那里發(fā)布他們攻擊過(guò)的組織的列表。2023年第二季度最繁忙的勒索軟件：

2023年第二季度最多產(chǎn)的勒索軟件組織

上圖顯示了每個(gè)組織的受害者所占的比例。

新迭代惡意軟件的數(shù)量

在2023年第二季度，研究人員檢測(cè)到15個(gè)新的勒索軟件家族和1917個(gè)迭代的惡意軟件。

2022年第二季度至2023年第二季度迭代數(shù)量

被勒索軟件攻擊的用戶數(shù)量

在2023年第二季度，卡巴斯基產(chǎn)品和技術(shù)保護(hù)了57612名用戶免受勒索軟件攻擊。

2023年第二季度被勒索軟件攻擊的用戶數(shù)量

受攻擊用戶的地理位置

十大最常見(jiàn)的勒索家族

統(tǒng)計(jì)數(shù)據(jù)基于卡巴斯基產(chǎn)品的檢測(cè)結(jié)果

挖礦軟件

挖礦軟件迭代數(shù)量

在2023年第二季度，卡巴斯基解決方案檢測(cè)到2184個(gè)新迭代的挖礦軟件。

2023年第二季度挖礦軟件迭代數(shù)量

被挖礦軟件攻擊的用戶數(shù)量

在第二季度，研究人員在全球384063名卡巴斯基用戶的計(jì)算機(jī)上檢測(cè)到使用挖礦軟件的攻擊。

2023年第二季度受挖礦軟件攻擊的用戶數(shù)量

挖礦軟件攻擊的地理分布

被挖礦軟件攻擊的十大國(guó)家和地區(qū)

攻擊者使用的易受攻擊的應(yīng)用程序

2023年第二季度值得注意的是，發(fā)現(xiàn)了一系列影響大量組織的漏洞。影響最大的是MOVEit Transfer中的漏洞：CVE-2023-34362、CVE-2023235036和CVE-2023-3 5708。為了利用這些漏洞，攻擊者使用SQL注入來(lái)訪問(wèn)數(shù)據(jù)庫(kù)并在服務(wù)器端執(zhí)行代碼。

PaperCut打印管理應(yīng)用程序也存在類似的嚴(yán)重問(wèn)題：一個(gè)被指定為CVE-2023-27350的漏洞。攻擊者可以使用它通過(guò)特制的請(qǐng)求在具有系統(tǒng)權(quán)限的操作系統(tǒng)中運(yùn)行命令，這個(gè)漏洞也被攻擊者利用了。

在檢測(cè)對(duì)用戶系統(tǒng)的攻擊時(shí)，發(fā)現(xiàn)了Google Chrome、Microsoft Windows和Microsoft Office的新漏洞。Google Chrome包含兩個(gè)類型混淆漏洞(CVE-2023-2033和CVE-2023-3079)和一個(gè)整數(shù)溢出漏洞(CVE-2023-2136)。上述漏洞在被利用時(shí)被檢測(cè)到，允許攻擊者逃離瀏覽器沙箱。

在Windows中發(fā)現(xiàn)了零日漏洞，同時(shí)防止對(duì)用戶的攻擊，其中一個(gè)(CVE-2023-28252)是由卡巴斯基研究人員發(fā)現(xiàn)的。第二季度還發(fā)現(xiàn)了CVE-2023-29336(Win32k子系統(tǒng)漏洞，允許攻擊者獲得系統(tǒng)權(quán)限)和CVE-2023-24932(安全啟動(dòng)繞過(guò)漏洞，惡意行為者可以利用該漏洞替換任何系統(tǒng)文件)，微軟已經(jīng)發(fā)布了針對(duì)每個(gè)漏洞的修復(fù)程序。

漏洞統(tǒng)計(jì)

卡巴斯基產(chǎn)品在第二季度檢測(cè)到大約30萬(wàn)次攻擊企圖。與往常一樣，大多數(shù)檢測(cè)都與Microsoft Office應(yīng)用程序有關(guān)。他們的份額(75.53%)環(huán)比降低了3個(gè)百分點(diǎn)。

最常被利用的漏洞如下：

CVE-2017-11882和CVE-2018-0802：公式編輯器漏洞，允許在公式處理過(guò)程中攻擊應(yīng)用程序內(nèi)存，然后在系統(tǒng)中運(yùn)行任意代碼。

CVE-2017-0199允許使用MS Office加載惡意腳本。

CVE-2017-8570允許將惡意HTA腳本加載到系統(tǒng)中。

其次最常見(jiàn)的類別是瀏覽器漏洞攻擊（占總數(shù)的8.2%，環(huán)比下降了1個(gè)百分點(diǎn)）。

緊隨其后的是Java平臺(tái)(4.83%)、Android(4.33%)和Adobe Flash(4.10%)。

2023年第二季度，按受攻擊應(yīng)用程序類型劃分的漏洞利用情況

與之前一樣，2023年第二季度網(wǎng)絡(luò)威脅包括MSSQL和RDP暴力攻擊。EternalBlue和EternalRomance仍然是操作系統(tǒng)漏洞的熱門漏洞。記錄了大量針對(duì)log4j類型漏洞（CVE-2021-44228）的攻擊和掃描。

針對(duì)macOS的攻擊

macOS的Lockbit版本在第二季度被發(fā)現(xiàn)。這種勒索軟件曾經(jīng)以Linux為目標(biāo)，但現(xiàn)在運(yùn)營(yíng)商已經(jīng)擴(kuò)大了它的范圍。

JokerSpy Python后門在攻擊期間將修改過(guò)的TCC數(shù)據(jù)庫(kù)部署到目標(biāo)設(shè)備上，以在該設(shè)備上啟動(dòng)應(yīng)用程序時(shí)繞過(guò)限制。

macOS面臨的前20大威脅

在第二季度，macOS用戶主要遇到的是廣告軟件和所謂的系統(tǒng)優(yōu)化服務(wù)，但前提是用戶要花錢才能修復(fù)不存在的問(wèn)題。

macOS被攻擊地理分布

受攻擊的macOS用戶中，中國(guó)所占比例最大，分別為1.4%和1.19%。意大利、西班牙、法國(guó)、俄羅斯、墨西哥和加拿大的攻擊頻率有所下降，其他國(guó)家變化不大。

物聯(lián)網(wǎng)的攻擊

物聯(lián)網(wǎng)威脅統(tǒng)計(jì)

在2023年第二季度，大多數(shù)攻擊卡巴斯基蜜罐的設(shè)備再次使用Telnet協(xié)議。

就會(huì)話數(shù)量而言，Telnet占絕對(duì)多數(shù)。

攻擊物聯(lián)網(wǎng)蜜罐

與往常一樣，第二季度SSH攻擊的主要來(lái)源是美國(guó)（11.5%）和亞太地區(qū)。中國(guó)的份額增長(zhǎng)尤為顯著，從6.80%增長(zhǎng)到12.63%。

受SSH攻擊的前10個(gè)國(guó)家/地區(qū)

來(lái)自中國(guó)臺(tái)灣的SSH和Telnet攻擊比例明顯下降。來(lái)自中國(guó)大陸的Telnet攻擊份額下降到35.38%，相反，越南的份額從0.88%大幅上升至5.39%。印度(14.03%)和巴西(6.36%)分別保持第二和第三的位置。

圖片通過(guò)Telnet向物聯(lián)網(wǎng)設(shè)備發(fā)送的10大威脅

由于Telnet攻擊成功而向受攻擊設(shè)備發(fā)送的每個(gè)威脅占所發(fā)送威脅總數(shù)的百分比

通過(guò)web資源進(jìn)行攻擊

本節(jié)統(tǒng)計(jì)數(shù)據(jù)基于Web防病毒功能，當(dāng)從惡意/受攻擊的網(wǎng)頁(yè)下載惡意對(duì)象時(shí)，它可以保護(hù)用戶。攻擊者故意創(chuàng)建這些網(wǎng)站，它們可以攻擊被黑客攻擊的合法資源以及用戶創(chuàng)建的內(nèi)容（如論壇）的網(wǎng)絡(luò)資源。

排名前10的網(wǎng)絡(luò)攻擊的來(lái)源國(guó)和地區(qū)

以下統(tǒng)計(jì)數(shù)據(jù)顯示了卡巴斯基產(chǎn)品在用戶計(jì)算機(jī)上攔截的互聯(lián)網(wǎng)攻擊來(lái)源的國(guó)家或地區(qū)分布(重定向到漏洞利用的網(wǎng)頁(yè)，托管惡意程序的網(wǎng)站，僵尸網(wǎng)絡(luò)C&C中心等)。任何唯一的主機(jī)都可能是一個(gè)或多個(gè)基于網(wǎng)絡(luò)的攻擊的來(lái)源。

為了確定web攻擊的地理來(lái)源，使用GeoIP技術(shù)將域名與域名所在的真實(shí)IP地址進(jìn)行匹配。

在2023年第二季度，卡巴斯基解決方案在全球范圍內(nèi)阻止了8億多次從在線資源發(fā)起的攻擊。Web防病毒組件總共檢測(cè)到2億多個(gè)唯一鏈接。

2022年第二季度按國(guó)家/地區(qū)劃分的網(wǎng)絡(luò)攻擊源分布

用戶面臨網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)最大的國(guó)家和地區(qū)

為了評(píng)估不同國(guó)家/地區(qū)用戶面臨的在線攻擊風(fēng)險(xiǎn)，研究人員計(jì)算了卡巴斯基用戶在每個(gè)國(guó)家/地區(qū)本季度計(jì)算機(jī)上至少觸發(fā)一次網(wǎng)絡(luò)反病毒的百分比。由此產(chǎn)生的數(shù)據(jù)表明了計(jì)算機(jī)在不同國(guó)家和地區(qū)運(yùn)行的環(huán)境的危險(xiǎn)性。

請(qǐng)注意，這些排名僅包括惡意軟件類別下的惡意對(duì)象的攻擊，它們不包括對(duì)潛在危險(xiǎn)或不需要的程序（如RiskTool或廣告軟件）的網(wǎng)絡(luò)反病毒檢測(cè)。

本季度，全球8.68%的互聯(lián)網(wǎng)用戶的電腦平均至少遭受過(guò)一次惡意軟件類網(wǎng)絡(luò)攻擊。

本地威脅

研究人員分析了從卡巴斯基產(chǎn)品的OAS和ODS模塊獲得的統(tǒng)計(jì)數(shù)據(jù)。它考慮了直接在用戶計(jì)算機(jī)或與其連接的可移動(dòng)介質(zhì)（閃存驅(qū)動(dòng)器、相機(jī)存儲(chǔ)卡、手機(jī)、外部硬盤驅(qū)動(dòng)器）上發(fā)現(xiàn)的惡意程序，或最初以非開(kāi)放形式進(jìn)入計(jì)算機(jī)的惡意程序，例如，復(fù)雜安裝程序中的程序、加密文件等。

在2023年第二季度，研究人員的文件反病毒檢測(cè)到3千萬(wàn)個(gè)惡意和潛在不需要的對(duì)象。

用戶面臨本地攻擊風(fēng)險(xiǎn)最高的國(guó)家和地區(qū)

對(duì)于每個(gè)國(guó)家和地區(qū)，研究人員計(jì)算了報(bào)告期內(nèi)卡巴斯基產(chǎn)品用戶在其計(jì)算機(jī)上觸發(fā)文件反病毒的百分比。這些統(tǒng)計(jì)數(shù)字反映了不同國(guó)家/地區(qū)的個(gè)人電腦攻擊水平。

這些排名只包括惡意程序的攻擊，屬于惡意軟件類別；它們不包括針對(duì)潛在危險(xiǎn)或不需要的程序（如RiskTool或廣告軟件）的文件反病毒觸發(fā)。

在全球范圍內(nèi)，第二季度平均有15.74%的用戶的計(jì)算機(jī)上至少記錄了一次惡意軟件級(jí)別的本地威脅。

參考及來(lái)源：https://securelist.com/it-threat-evolution-q2-2023-non-mobile-statistics/110413/