【網絡威脅】Emotet仍是最猖獗惡意軟件　全球8%機構遭殃

網絡安全解決方案提供商 Check Point 的威脅情報部門 Check Point Research（CPR）發布最新 5 月網絡威脅指數。研究人員報告稱，作為一種能自我傳播的高級模組化木馬，Emotet 因大量大規模攻擊活動冒起，而仍是最猖獗的惡意軟件。本月，Snake 鍵盤記錄器在長時間跌出指數排行榜後躍居第八位。Snake 的主要功能是記錄用戶的點擊次數，並將收集到的數據傳送給攻擊者。

焦點數據：

– Emotet 仍是第一大惡意軟件，全球 8% 機構因此遭殃
– 其次是 Formbook 和 Agent Tesla，兩者均影響全球 2% 機構

– 教育/研究行業是全球首要攻擊目標
– 其次是政府/軍事部門和互聯網服務供應商/託管服務供應商（ISP/MSP）

– Web 伺服器惡意 URL 目錄遍歷漏洞是最常被利用的漏洞，全球 46% 機構受波及
– 緊隨其後是 Apache Log4j 遠距代碼執行，全球影響範圍亦為 46%
– Web Server Exposed Git 儲存庫資訊洩露位居第三，全球影響範圍 45%

– AlienBot 是本月最猖獗的手機惡意軟件
– 其次是 FluBot 和 xHelper

「較安全」PDF被利用散播惡意軟件

Snake 鍵盤記錄器往往通過隨附 docx 或 xlsx 附件（帶有惡意巨集命令）的電郵進行傳播，但本月研究人員報告稱，SnakeKey Logger 通過 PDF 文件散播。這某程度上可能是由於 Microsoft 在 Office 中預設阻止互聯網巨集程式，意味著網絡犯罪分子不得不另覓出路，探索 PDF 等新檔案類型。事實證明，這種罕見的惡意軟件傳播方式非常奏效，因有些人認為 PDF 本身比其他檔案類型更安全。

本月，研究人員還披露了 Microsoft Office 的一個零日漏洞，如果以惡意的 Word 文檔加以利用該漏洞，有機會在受害者的機器上實現代碼執行。該漏洞現在被稱為 「Follina」，惡意的 Word 文檔使用遙距模板功能，從遙距伺服器檢索 HTML 檔，並通過使用 ms-msdt MSProtocol URI 方案，從而執行 PowerShell。

Emotet 正影響著全球 8% 的機構，比上個月略增。該惡意軟件能設法逃避檢測，所以是一種非常靈活且有利可圖的惡意軟件。Emotet 的持久性也令設備遭感染後，很難將其刪除，因此它成為了網絡犯罪分子的絕佳攻擊武器。Emotet 最初是一種銀行木馬，通常通過網絡釣魚電郵傳播，並能夠提供其他惡意軟件，進而增強其造成廣泛破壞的威力。

專家：打開任何類型文檔均有網絡攻擊風險

Check Point 香港及澳門總經理周秀雲表示：「從最近 Snake Keylogger 和『Follina』的威脅活動中可以發現，你在網上所做的一切，都會使你面臨網絡攻擊的風險，而打開任何類型的文檔也不例外。病毒和惡意可執行代碼可能潛伏在多媒體內容和連結中，一旦用戶打開 PDF，惡意軟件的攻擊就會準備就緒。」

她續稱，就像你會質疑 docx 或 xlsx 電郵附件合法性一樣，你也必須對 PDF 檔採取同樣謹慎態度。另一方面，在 Follina 案例中，該漏洞理論上也需打開一個惡意檔，然而，若攻擊者使用富文本格式（Rich Text Format），並結合 Windows 預覽功能，該攻擊仍然有效。對企業而言，擁有一個強大的電郵安全解決方案變得前所未見的重要，可隔離和檢查附件，一開始便防止任何惡意檔案進入網絡。

CPR 還指出，「Web 伺服器惡意 URL 目錄遍歷漏洞」是最常被利用的漏洞，全球 46% 機構受到波及，緊隨其後的是「Apache Log4j 遠距代碼執行」，全球影響範圍為 46%。「Web Server Exposed Git 儲存庫資訊洩露」位居第三，全球影響範圍為 45%。教育與研究行業仍是全球網絡犯罪分子的首要攻擊目標。