5月,Adobe针对Adob??eCloudFusion、InCopy、Framemaker、InDesign和Adob??eCharacterAnimator中的18个CVE,其中9个是可能导致代码执行的关键级别错误,主要是由于越界(OOB)写入漏洞。InDesign的补丁解决了三个可能导致代码执行的严重错误。其中两个是由于OOB写入,而一个是OOB读取。InCopy的补丁还修复了三个严重级别的代码执行错误。在这种情况下,两次OOB写入加上一次释放后使用(UAF)。该补丁修复了CharacterAnimator的关键级别OOB写入代码执行错误。最后,ColdFusion补丁更正了大量反射性跨站点脚本(XSS)错误。2022年5月的Microsoft补丁5月,Microsoft发布了74个新补丁,解决MicrosoftWindows和Windows组件、.NET和VisualStudio、MicrosoftEdge(基于Chromium)、MicrosoftExchangeServer、Office和Office组件、WindowsHyper-V、Windows身份验证方法、BitLocker中的CVE、Windows群集共享卷(CSV)、远程桌面客户端、Windows网络文件系统、NTFS和Windows点对点隧道协议。74个CVE漏洞中,严重等级7个,重要等级66个,低危等级1个,比2021年5月增加19个,比2019年增加19个,2020年5月减少5个,整个2020年每个月都有一点与众不同,所以没有可比性。Emotet是一种先进的、自我传播的模块化特洛伊木马,它仍然是最流行的恶意软件,影响了全球检测样本中6%的组织。尽管如此,列表中的所有其他恶意软件都发生了变化。Tofsee和Nanocore出局,取而代之的是Formbook和Lokibot,它们现在分别是第二和第六大流行恶意软件。Emotet在3月份的得分较高(10%)主要是由于特定的复活节主题诈骗,但本月的下降也可能是由于微软决定禁用与Office文件相关的特定宏,这影响了Emotet通常的交付方式。事实上,据报道,Emotet有一种新的交付方式;使用包含OneDriveURL的网络钓鱼电子邮件。成功绕过机器保护后,Emotet有很多用途。由于其复杂的传播和同化技术,Emotet还向暗网论坛上的网络犯罪分子提供其他恶意软件,包括银行木马、勒索软件、僵尸网络等。因此,一旦Emotet发现漏洞,后果可能会有所不同,具体取决于漏洞被破坏后交付的恶意软件。在该指数的其他地方,信息窃取者Lokibot在一场影响巨大的垃圾邮件活动通过看起来像合法发票的xlsx文件传播恶意软件后重新进入第六位。这与Formbook的崛起相结合,对其他恶意软件排名产生了连锁反应,例如高级远程访问木马(RAT)AgentTesla从第二位下降到第三位。3月底,在JavaSpring框架(称为Spring4Shell)中发现了一个严重漏洞,此后许多威胁参与者利用该漏洞传播本月第九大最流行的恶意软件Mirai。尽管Spring4Shell尚未进入前十漏洞列表,但值得注意的是,仅在第一个月,全球检测样本中就有超过35%的组织受到此威胁的影响,因此我们预计它会在上升月份的名单。本月,教育/研究仍然是全球网络犯罪分子最有针对性的行业。Web服务器暴露的Git存储库信息泄露是被利用最多的漏洞,影响了全球监控样本中46%的组织,紧随其后的是“ApacheLog4j远程代码执行”。ApacheStrutsParametersInterceptorClassLoaderSecurityBypass指数飙升,目前为45%全球监控样本影响力排名第三。2022年4月“Heinous”*箭头表示与上个月相比排名发生变化。Emotet仍然是本月最流行的恶意软件,影响了全球6%的组织,其次是Formbook,影响了3%组织和AgentTesla,全球影响力为2%。1.Emotet?–Emotet是一种先进的、自我传播的、模块化的木马。Emotet曾被用作银行木马,但最近它被用作其他木马的分发者恶意软件或恶意活动。它使用多种方法来保持持久性和规避技术以避免检测。此外,它还可以通过网络钓鱼垃圾邮件进行传播包含恶意附件或链接的。2.↑Formbook–Formbook是Windows操作系统的信息窃取程序,于2016年首次被发现。由于其强大的规避技术和相对低廉的价格,它以恶意软件即服务(MaaS)的形式在地下黑客论坛。FormBook从各种网络浏览器收集凭证、收集屏幕截图、监控和记录击键,并可以根据其C&C的命令下载和执行文件。3.↓AgentTesla–AgentTesla是一种高级RAT,可用作键盘记录器和信息窃取器,能够监控和收集受害者的击键、系统击键、屏幕截图,并将凭据泄露到您机器上的各种软件(包括GoogleChrome),MozillaFirefox,andMicrosoftOutlook.)4.↓XMRig–XMRig是一款用于挖掘Monero加密货币的开源CPU挖矿软件。威胁行为者经常滥用此开源软件,将其集成到他们的恶意软件中以在受害者的设备上进行非法挖掘。5.↓Glupteba–Glupteba是一个后门,逐渐发展成为僵尸网络。到2019年,包括通过公共比特币列表的C&C地址更新机制、完整的浏览器窃取程序和路由器漏洞。6.↑Lokibot–LokibotLokibot于2016年2月首次被发现,LokiBot是一款产品信息窃取器,有Windows和Android操作系统版本。它从各种应用程序、Web浏览器、电子邮件客户端、IT管理工具(如PuTTY等)获取凭据。LokiBot在黑客论坛上出售,据信其源代码已泄露,导致许多变体。自2017年底以来,一些Android版本的LokiBot除了信息窃取功能外还包含勒索软件功能。7.↓Ramnit——Ramnit是一种模块化的银行木马程序,于2010年首次被发现。Ramnit窃取网络会话信息,使其运营商能够窃取受害者使用的所有服务的帐户凭据,包括银行帐户、公司和社交网络帐户。该木马使用硬编码域以及DGA(域生成算法)生成的域来联系C&C服务器并下载其他模块。8.↓Phorpiex–Phorpiex是一个僵尸网络(又名Trik),自2010年以来一直存在,在其高峰期控制了超过一百万的受感染主机。以通过垃圾邮件活动分发其他恶意软件系列以及促进大规模垃圾邮件和性勒索活动而闻名。9.↓Mirai——Mirai是一种臭名昭著的物联网(IoT)恶意软件,它跟踪易受攻击的物联网设备,例如网络摄像头、调制解调器和路由器,并将它们变成机器人。僵尸网络被其运营商用来执行大规模分布式拒绝服务(DDoS)攻击。Mirai僵尸网络于2016年9月首次出现,并迅速成为一些大规模攻击的头条新闻,包括用于使整个利比里亚国家离线的大规模DDoS攻击,以及针对互联网基础设施公司Dyn的DDoS攻击,该公司提供了很大一部分美国互联网的基础设施。10.↑Remcos–Remcos是一种RAT,于2016年首次出现。Remcos通过附加在垃圾邮件中的恶意MicrosoftOffice文档传播,旨在绕过MicrosoftWindows的UAC安全并以高级权限执行恶意软件。全球受攻击最严重的行业本月,教育和研究是全球受攻击最严重的行业,其次是政府和军队,以及互联网服务提供商和托管服务提供商(ISP&MSP)。教育和研究政府和军事互联网服务提供商和托管服务提供商(ISP&MSP)。4月Top10漏洞本月,WebServerExposedGitRepositoryInformationDisclosure是被利用最多的漏洞,影响了全球46%的组织,其次是ApacheLog4j远程代码执行,全球影响为46%。ApacheStrutsParametersInterceptorClassLoaderSecurityBypass现在在被利用的漏洞列表中排名第三,全球影响为45%。1.↑Web服务器暴露Git存储库信息泄露-Git存储库中报告了一个信息泄露漏洞。成功利用此漏洞可能会无意中泄露帐户信息。2.↓ApacheLog4j远程代码执行(CVE-2021-44228)——ApacheLog4j存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。3.↑ApacheStrutsParametersInterceptorClassLoaderSecurityBypass(CVE-2014-0094,CVE-2014-0112,CVE-2014-0113,CVE-2014-0114)-ApacheStruts中存在安全绕过漏洞。该漏洞是由于ParametersInterceptor处理的数据验证不足,从而允许操纵类加载器。远程攻击者可以通过在请求中提供类参数来利用此漏洞。4.?Web服务器恶意URL目录遍历(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260)-各种网络服务器上存在目录遍历漏洞。该漏洞是由于Web服务器中的输入验证错误导致的,该错误未针对目录遍历模式正确清理URI。成功的利用可能允许未经身份验证的远程攻击者泄露或访问易受攻击的服务器上的任意文件。5.↓HTTP标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756)——HTTP标头允许客户端和服务器通过HTTP请求传递附加信息。远程攻击者可以使用易受攻击的HTTP标头在受害计算机上运行任意代码。6.↑通过HTTP的命令注入-报告通过HTTP的命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功的利用将允许攻击者在目标机器上执行任意代码。7.↓MVPowerDVR远程代码执行——MVPowerDVR设备存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码。8.↑WordPressPortablephpMyAdminPluginAuthenticationBypass(CVE-2012-5469)——WordPressPortablephpMyAdminPlugin存在身份验证绕过漏洞。成功利用此漏洞可能允许远程攻击者获取敏感信息并未经授权访问受影响的系统。9.↓茶山GPON路由器绕过认证(CVE-2018-10561)——茶山GPON路由器存在身份验证绕过漏洞。成功利用此漏洞可能允许远程攻击者获取敏感信息并未经授权访问受影响的系统。10.↓复活节彩蛋信息泄露-PHP页面报告了一个信息泄露漏洞。该漏洞是由于不正确的Web服务器配置造成的。远程攻击者可以通过向受影响的PHP页面发送特制URL来利用此漏洞。热门移动恶意软件AlienBot是本月最流行的移动恶意软件,其次是FluBot和xHelper。1.AlienBot–AlienBot恶意软件系列是针对Android设备的恶意软件即服务(MaaS),允许远程攻击者首先将恶意代码注入合法的金融应用程序。攻击者可以访问受害者的帐户并最终完全控制他们的设备。2.FluBot–FluBot是一种通过网络钓鱼短信(Smishing)传播的Android恶意软件,最常冒充物流配送品牌。一旦用户单击消息中的链接,他们将被重定向以下载包含FluBot的虚假应用程序。安装后,该恶意软件具有多种功能来收集凭据并支持Smishing操作本身,包括上传联系人列表和向其他电话号码发送SMS消息。3.xHelper——自2019年3月以来一直活跃的恶意应用程序,用于下载其他恶意应用程序和显示广告。该应用程序能够对用户隐藏自身并在卸载时重新安装自身。
