今年4月,微软完成的bug修复数量相当高,再次突破100个。微软的4月补丁周二更新共解决了其软件产品组合中的128个安全漏洞,包括Windows、Defender、Office、ExchangeServer、VisualStudio和PrintSpooler等。4月,Adobe发布了四个更新,解决了Acrobat和Reader、Photoshop、AfterEffects和Adob??eCommerce中的70个CVE。Acrobat和Reader的更新是迄今为止最大的一次,解决了62个CVE。据CheckPoint称,Emotet继续作为恶意软件占据统治地位,影响了全球10%的组织,是2月份的两倍。电子邮件活动一直在传播僵尸网络。这些电子邮件被发送给了世界各地的受害者,其中一个示例使用了主题行“buonapasqua,复活节快乐”,但电子邮件的附件是用于传送Emotet的恶意XLS文件。AgentTesla是一种高级远程访问特洛伊木马(RAT),充当键盘记录器和信息窃取程序,是本月第二大流行的恶意软件,高于上个月的第四位,因为全球有多个新的恶意垃圾邮件活动席卷全球Maliciousxlsx/pdf文件传送RAT。其中一些活动利用俄罗斯/乌克兰战争来引诱受害者。近年来,技术已经发展到网络犯罪分子越来越需要依靠人类信任来访问公司网络的地步。本月,各种安全机构发现ApacheLog4j再次成为最常被利用的漏洞。即使在去年底讨论了该漏洞之后,也就是最初发现它几个月后,损害仍在造成。组织需要立即采取行动以防止攻击发生。4月份还透露,教育/研究仍然是全球受攻击最严重的行业,其次是政府/军队和互联网服务提供商/托管服务提供商(ISP/MSP)。WebServerExposedGitRepositoryInformationDisclosure现在是第二大最常被利用的漏洞,影响了全球样本中26%的组织,而ApacheLog4j远程代码执行位居榜首,影响了全球样本中33%的组织。HTTPHeadersRemoteCodeExecution(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756)以全球26%的监控样本排名第三。2022年3月《十恶不赦》*箭头表示与上个月相比排名变化。Emotet仍然是本月排名第一的恶意软件,影响了全球监控样本中10%的组织,其次是AgentTesla和XMRig,各影响了全球监控样本中2%的组织。1.?Emotet–Emotet是一种先进的、自我传播的模块化木马。Emotet过去曾被用作银行木马,最近被用作其他恶意软件或恶意活动的传播者,使用多种方法来维持持久性和规避技术以避免被发现。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。2.↑AgentTesla–AgentTesla是一种高级RAT,可用作键盘记录器和信息窃取器,能够监视和收集受害者的击键、系统击键、截取屏幕截图并窃取凭据以在受害者的机器上安装各种软件(包括GoogleChrome、MozillaFirefox和MicrosoftOutlook电子邮件客户端)。3.↑XMRig–XMRig是一种开源CPU挖矿软件,用于Monero加密货币的挖矿过程,首次出现于2017年5月。4.↓Glupteba–Glupteba是一个后门,逐渐成熟为僵尸网络。到2019年,包括通过公共比特币列表的C&C地址更新机制、完整的浏览器窃取程序和路由器漏洞。5.↑Ramnit–Ramnit是一种银行木马,可以窃取银行凭证、FTP密码、会话cookie和个人数据。6.↑Mirai——2016年9月首次浮出水面,Mirai僵尸网络是一种臭名昭著的物联网(IoT)恶意软件,它跟踪网络摄像头、调制解调器和路由器等易受攻击的物联网设备,并将它们变成机器人。僵尸网络被其运营商用来执行大规模分布式拒绝服务(DDoS)攻击。7.↑Phorpiex–Phorpiex是一个僵尸网络(又名Trik),自2010年以来一直存在,在其鼎盛时期控制了超过一百万个受感染的主机,通过垃圾邮件活动分发其他恶意软件系列,并以促进大规模垃圾邮件和性勒索活动而闻名。8.↑Remcos–Remcos是一种RAT,于2016年首次出现。Remcos通过附加在垃圾邮件中的恶意MicrosoftOffice文档传播,旨在绕过MicrosoftWindowsUAC安全并以提升的权限执行恶意软件。9.↑Tofsee–Tofsee是Windows平台的Trickler。该恶意软件试图在目标系统上下载并执行其他恶意文件,可能会下载图像文件并将其显示给用户以隐藏其真正目的。10.↑Nanocore——Nanocore是2013年首次在野外观察到的RAT,针对Windows操作系统用户。RAT的所有版本都有基本的插件和功能,例如屏幕捕获、加密货币挖掘、桌面远程控制和网络摄像头会话窃取。全球受攻击最严重的行业本月,教育/研究是全球受攻击最严重的行业,其次是政府/军队和ISP/MSP。1.教育/科研2.政府/军事3.ISP/MSP3月漏洞Top10本月ApacheLog4j远程代码执行是最常被利用的漏洞,影响全球监控样本中33%的组织,其次是暴露的Git存储由Web服务器存储库信息泄露,从第一位下降到第二位,影响了全球监控样本中26%的组织。HTTP标头远程代码执行在最常被利用的漏洞列表中排名第三,影响了全球26%的监控样本。1.↑ApacheLog4j远程代码执行(CVE-2021-44228)–ApacheLog4j中存在远程代码执行漏洞,成功利用该漏洞可能允许远程攻击者在受影响的系统上执行任意代码。2.↓WebServerExposedGitRepositoryInformationDisclosure–GitRepository中报告了一个信息泄露漏洞。成功利用此漏洞可能会无意中泄露帐户信息。3.?HTTP标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756)-HTTP标头允许客户端和服务器通过HTTP请求传递附加信息,远程攻击者可以使用易受攻击的HTTP标头在受害计算机上运行任意代码。4.↑Web服务器恶意URL目录遍历(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260)–不同Web服务器存在目录遍历漏洞。该漏洞是由于Web服务器中的一个输入验证错误造成的,该错误未针对目录遍历模式正确清理URI,成功利用允许未经身份验证的远程攻击者披露或访问易受攻击的服务器上的任意文件。5.↓MVPowerDVR远程代码执行——MVPowerDVR设备中存在远程代码执行漏洞,远程攻击者可以利用该漏洞通过精心设计的请求在受影响的路由器中执行任意代码。6.↑D-LINK多产品远程代码执行(CVE-2015-2051)-多个D-Link产品中报告了远程代码执行漏洞。成功利用可能导致在易受攻击的设备上执行任意代码。7.↓PHP复活节彩蛋信息泄露–由于不正确的Web服务器配置,PHP页面中报告了一个信息泄露漏洞,远程攻击者可以通过向受影响的PHP页面发送特制URL来利用该漏洞。8.?DasanGPON路由器身份验证绕过(CVE-2018-10561)–DasanGPON路由器中存在身份验证绕过漏洞。成功利用此漏洞可能允许远程攻击者获取敏感信息并未经授权访问受影响的系统。9.↑Linux系统文件信息泄露(CVE-2018-3948、CVE-2018-3948、CVE-2022-23119)——Linux操作系统包含具有敏感信息的系统文件。如果配置不正确,远程攻击者可以查看此类文件中的信息。10.?PHPUnit命令注入(CVE-2017-9841)–PHPUnit中存在一个命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统上执行任意命令。热门移动恶意软件AlienBot是本月最流行的移动恶意软件,其次是xHelper和FluBot。1.AlienBot–AlienBot恶意软件系列是针对Android设备的恶意软件即服务(MaaS),允许远程攻击者首先将恶意代码注入合法的金融应用程序。攻击者可以访问受害者的帐户并最终完全控制他们的设备。2.xHelper-自2019年3月以来在野的恶意应用程序,用于下载其他恶意应用程序并显示广告,能够对用户隐藏自身并在卸载后重新安装。3.FluBot–FluBot是一种通过网络钓鱼短信(Smishing)传播的Android恶意软件,最常冒充物流配送品牌。一旦用户单击消息中的链接,他们将被重定向以下载包含FluBot的虚假应用程序。安装后,该恶意软件具有多种功能来收集凭据并支持Smishing操作本身,包括上传联系人列表和向其他电话号码发送SMS消息。
