在 2023 年第二季度,卡巴斯基解决方案阻止了旨在从 95546 个独立用户的计算机上窃取银行账户资金的恶意软件。
金融恶意软件攻击的地理分布
为了评估和比较全球范围内被银行木马和 ATM/POS 恶意软件攻击的风险,对于每个国家和地区,研究人员计算了在报告期内面临此威胁的卡巴斯基用户占该国家或地区所有卡巴斯基产品用户的百分比。
受攻击用户比例排名前 10 的国家和地区
MOVEit 传输漏洞被利用
Cl0p 勒索软件组织开始大量利用 MOVEit 传输漏洞, MOVEit Transfer 是一种流行的目标管理文件传输 ( MFT ) 解决方案 , 主要在美国的数千家企业中使用 , 包括政府机构、银行、软件供应商和其他组织。5 月下旬,攻击者利用了当时应用程序中的零日漏洞,成功地攻击了许多公司的网络并获得了机密数据的访问权限。在这一系列攻击中,攻击者利用的 MOVEit Transfer 中的漏洞后来被分配为标识符 CVE-2023-34362、CVE-2023235708 和 CVE-2023-35036。
对市政组织、教育和医院机构的攻击
第二季度出现了大量关于市政机构、医院和大学遭受勒索软件攻击的报道。在这些网络被攻击和数据被盗的企业中,有路易斯安那州的机动车辆办公室 ( OMV ) 和俄勒冈州的司机和机动车辆服务部 ( DMV ) 。声称对此次攻击负责的 Cl0p 组织利用了上述 MOVEit 漏洞。
据联邦调查局称,Bl00dy 组织在 5 月份利用 PaperCut 中的 CVE-2023-27350 漏洞攻击了教育机构,PaperCut 是数万家企业使用的打印管理软件。
某些勒索软件组织曾表示,他们不会以这类组织为目标,但许多网络组织显然未能坚持他们宣称的原则。
双重勒索软件
本节介绍从事所谓 " 双重勒索 " 的勒索软件组织,即窃取和加密机密数据。这些组织大多以大公司为目标,并经常维护 DLS(数据泄露网站),在那里发布他们攻击过的组织的列表。2023 年第二季度最繁忙的勒索软件:
上图显示了每个组织的受害者所占的比例。
新迭代恶意软件的数量
在 2023 年第二季度,研究人员检测到 15 个新的勒索软件家族和 1917 个迭代的恶意软件。
被勒索软件攻击的用户数量
在 2023 年第二季度,卡巴斯基产品和技术保护了 57612 名用户免受勒索软件攻击。
受攻击用户的地理位置
十大最常见的勒索家族
挖矿软件
挖矿软件迭代数量
在 2023 年第二季度,卡巴斯基解决方案检测到 2184 个新迭代的挖矿软件。
被挖矿软件攻击的用户数量
在第二季度,研究人员在全球 384063 名卡巴斯基用户的计算机上检测到使用挖矿软件的攻击。
挖矿软件攻击的地理分布
被挖矿软件攻击的十大国家和地区
2023 年第二季度值得注意的是,发现了一系列影响大量组织的漏洞。影响最大的是 MOVEit Transfer 中的漏洞:CVE-2023-34362、CVE-2023235036 和 CVE-2023-3 5708。为了利用这些漏洞,攻击者使用 SQL 注入来访问数据库并在服务器端执行代码。
PaperCut 打印管理应用程序也存在类似的严重问题:一个被指定为 CVE-2023-27350 的漏洞。攻击者可以使用它通过特制的请求在具有系统权限的操作系统中运行命令,这个漏洞也被攻击者利用了。
在检测对用户系统的攻击时,发现了 Google Chrome、Microsoft Windows 和 Microsoft Office 的新漏洞。Google Chrome 包含两个类型混淆漏洞 ( CVE-2023-2033 和 CVE-2023-3079 ) 和一个整数溢出漏洞 ( CVE-2023-2136 ) 。上述漏洞在被利用时被检测到,允许攻击者逃离浏览器沙箱。
在 Windows 中发现了零日漏洞,同时防止对用户的攻击,其中一个 ( CVE-2023-28252 ) 是由卡巴斯基研究人员发现的。第二季度还发现了 CVE-2023-29336 ( Win32k 子系统漏洞,允许攻击者获得系统权限 ) 和 CVE-2023-24932 ( 安全启动绕过漏洞,恶意行为者可以利用该漏洞替换任何系统文件 ) ,微软已经发布了针对每个漏洞的修复程序。
漏洞统计
卡巴斯基产品在第二季度检测到大约 30 万次攻击企图。与往常一样,大多数检测都与 Microsoft Office 应用程序有关。他们的份额 ( 75.53% ) 环比降低了 3 个百分点。
最常被利用的漏洞如下:
CVE-2017-11882 和 CVE-2018-0802:公式编辑器漏洞,允许在公式处理过程中攻击应用程序内存,然后在系统中运行任意代码。
CVE-2017-0199 允许使用 MS Office 加载恶意脚本。
CVE-2017-8570 允许将恶意 HTA 脚本加载到系统中。
其次最常见的类别是浏览器漏洞攻击(占总数的 8.2%,环比下降了 1 个百分点)。
紧随其后的是 Java 平台 ( 4.83% ) 、Android ( 4.33% ) 和 Adobe Flash ( 4.10% ) 。
与之前一样,2023 年第二季度网络威胁包括 MSSQL 和 RDP 暴力攻击。EternalBlue 和 EternalRomance 仍然是操作系统漏洞的热门漏洞。记录了大量针对 log4j 类型漏洞(CVE-2021-44228)的攻击和扫描。
针对 macOS 的攻击
macOS 的 Lockbit 版本在第二季度被发现。这种勒索软件曾经以 Linux 为目标,但现在运营商已经扩大了它的范围。
JokerSpy Python 后门在攻击期间将修改过的 TCC 数据库部署到目标设备上,以在该设备上启动应用程序时绕过限制。
macOS 面临的前 20 大威胁
macOS 被攻击地理分布
受攻击的 macOS 用户中,中国所占比例最大,分别为 1.4% 和 1.19%。意大利、西班牙、法国、俄罗斯、墨西哥和加拿大的攻击频率有所下降,其他国家变化不大。
物联网的攻击
物联网威胁统计
在 2023 年第二季度,大多数攻击卡巴斯基蜜罐的设备再次使用 Telnet 协议。
就会话数量而言,Telnet 占绝对多数。
攻击物联网蜜罐
与往常一样,第二季度 SSH 攻击的主要来源是美国(11.5%)和亚太地区。中国的份额增长尤为显著,从 6.80% 增长到 12.63%。
受 SSH 攻击的前 10 个国家 / 地区
来自中国台湾的 SSH 和 Telnet 攻击比例明显下降。来自中国大陆的 Telnet 攻击份额下降到 35.38%,相反,越南的份额从 0.88% 大幅上升至 5.39%。印度 ( 14.03% ) 和巴西 ( 6.36% ) 分别保持第二和第三的位置。
通过 Telnet 向物联网设备发送的 10 大威胁
通过 web 资源进行攻击
本节统计数据基于 Web 防病毒功能,当从恶意 / 受攻击的网页下载恶意对象时,它可以保护用户。攻击者故意创建这些网站,它们可以攻击被黑客攻击的合法资源以及用户创建的内容(如论坛)的网络资源。
排名前 10 的网络攻击的来源国和地区
以下统计数据显示了卡巴斯基产品在用户计算机上拦截的互联网攻击来源的国家或地区分布 ( 重定向到漏洞利用的网页,托管恶意程序的网站,僵尸网络 C&C 中心等 ) 。任何唯一的主机都可能是一个或多个基于网络的攻击的来源。
为了确定 web 攻击的地理来源,使用 GeoIP 技术将域名与域名所在的真实 IP 地址进行匹配。
在 2023 年第二季度,卡巴斯基解决方案在全球范围内阻止了 8 亿多次从在线资源发起的攻击。Web 防病毒组件总共检测到 2 亿多个唯一链接。
用户面临网络攻击风险最大的国家和地区
为了评估不同国家 / 地区用户面临的在线攻击风险,研究人员计算了卡巴斯基用户在每个国家 / 地区本季度计算机上至少触发一次网络反病毒的百分比。由此产生的数据表明了计算机在不同国家和地区运行的环境的危险性。
请注意,这些排名仅包括恶意软件类别下的恶意对象的攻击,它们不包括对潜在危险或不需要的程序(如 RiskTool 或广告软件)的网络反病毒检测。
本季度,全球 8.68% 的互联网用户的电脑平均至少遭受过一次恶意软件类网络攻击。
本地威胁
研究人员分析了从卡巴斯基产品的 OAS 和 ODS 模块获得的统计数据。它考虑了直接在用户计算机或与其连接的可移动介质(闪存驱动器、相机存储卡、手机、外部硬盘驱动器)上发现的恶意程序,或最初以非开放形式进入计算机的恶意程序,例如,复杂安装程序中的程序、加密文件等。
在 2023 年第二季度,研究人员的文件反病毒检测到 3 千万个恶意和潜在不需要的对象。
用户面临本地攻击风险最高的国家和地区
对于每个国家和地区,研究人员计算了报告期内卡巴斯基产品用户在其计算机上触发文件反病毒的百分比。这些统计数字反映了不同国家 / 地区的个人电脑攻击水平。
这些排名只包括恶意程序的攻击,属于恶意软件类别;它们不包括针对潜在危险或不需要的程序(如 RiskTool 或广告软件)的文件反病毒触发。
