Emotet被摧毁，TrickBot爬上来 – 作者:Avenger

在 CheckPoint 的月度跟踪中，TirckBot 在 2021 年 2 月的威胁指数超过了 Emotet。TirckBot 增大了恶意邮件投递活动的强度，同时 Emotet 被联手拆除在全球范围内陷入沉寂。使得 TirckBot 一举跃升为 CheckPoint 监测的最活跃恶意软件榜单首位。

仅在一个月前，TirckBot 只能在榜单上排名第三，而在 2020 年整体排名为第四，那时的第一名被 Emotet 牢牢占据。但是进入 2021 年 1 月份，在全球执法部门的联合行动下，Emotet 的攻击基础设施被大量拆除。网络犯罪者也从 Emotet 转向了 TrickBot，这二者都常作为第一阶段的 Loader 来下载其他恶意软件。

“即使拆除了排名第一的恶意软件网络，仍然有许多其他恶意软件对全球网络构成威胁。组织必须拥有强大的安全系统，才能防止受到网络攻击，并最大程度地降低其风险” CheckPoint 在报告中表示。

但 CheckPoint 表示，现在的 TrickBot 还远没有达到之前 Emotet 的威胁程度。“尽管暂时还没有其他恶意软件能够达到 Emotet 的规模，但是 Emotet 留下的空白会被其他威胁补位，对网络和环境仍然构成极高的风险”。

TrickBot 活动

TrickBot 在二月发起了针对保险和法律行业的攻击，诱使用户点击执行恶意的 .ZIP 文件。网络犯罪分子正在寻找 Emotet 的接班人，而 TrickBot 可能是进入视线范围内的好选择。

2020 年 TrickBot 针对通用医疗服务发起了多次攻击，进入网络后窃取重要数据并投递 Ryuk 勒索软件。辉煌战绩证明了 TrickBot 的能力，与此同时 TrickBot 还提供了很强的灵活性。

2016 年 TrickBot 刚刚问世时是为了窃取银行密码，其高度模块化和躲避检测的能力都为人称道。2020 年 12 月，TrickBot 又更新了被命名为 TrickBoot 的新模块来感染系统的 UEFI/BIOS 固件。

卷土重来

微软在去年十月主导的拆除行动严重摧毁了 TrickBot 的根基，一度 TrickBot 陷入基本停摆。显然，TrickBot 正卷土重来。

微软副总裁 Tom Burt 表示：“微软通过法院授权与全球电信运营商的合作，从技术上摧毁了 TrickBot”，“由于摧毁了其关键攻击基础设施，TrickBot 的运营方已经不能再发起新的感染或者勒索了”。

二月，排名第二的恶意软件是 XMRing，该恶意软件正在伪装成广告拦截工具但进行门罗币挖矿和勒索加密的双重打击。安全公司卡巴斯基表示，过去的两个月内 XMRing 共感染了超过 2 万多名用户。

漏洞

根据 CheckPoint 的报告，在 2 月份被发现攻击者利用最多的漏洞是 “Web Server Exposed Git Repository Information Disclosure”，该漏洞影响了全球 48% 的公司。其次是 “HTTP Headers Remote Code Execution”（CVE-2020-13756），该漏洞影响了全球 46％ 的公司。“MVPower DVR Remote Code Execution” 漏洞则排名第三，影响了全球 45％ 的公司。

移动恶意软件

排名第一的是 Hiddad，其次是 xHelper 与 FurBall 远控（MRAT）。

总结

除了定期修补漏洞、定期更新系统进行安全更新，CheckPoint 还建议对用户进行培训，这是保护任何组织免受网络安全侵害的最佳方法。

参考来源

Threatpost

来源：freebuf.com 2021-03-14 23:57:37 by: Avenger