5月份，Adobe針對(duì)Adobe CloudFusion、InCopy、Framemaker、InDesign 和 Adobe Character Animator中的18個(gè)CVE，其中九個(gè)是嚴(yán)重級(jí)別的錯(cuò)誤，可能導(dǎo)致代碼執(zhí)行，主要是由于越界（OOB）寫(xiě)入漏洞。InDesign的補(bǔ)丁解決了三個(gè)可能導(dǎo)致代碼執(zhí)行的嚴(yán)重錯(cuò)誤。其中兩個(gè)是由于OOB寫(xiě)入，而一個(gè)是OOB讀取。InCopy的補(bǔ)丁還修復(fù)了三個(gè)嚴(yán)重級(jí)別的代碼執(zhí)行錯(cuò)誤。在這種情況下，是兩個(gè)OOB寫(xiě)入加上一個(gè)釋放后使用（UAF）。補(bǔ)丁為字符Animator修復(fù)了一個(gè)關(guān)鍵級(jí)別的OOB 寫(xiě)入代碼執(zhí)行錯(cuò)誤。最后，ColdFusion補(bǔ)丁更正了一個(gè)重要級(jí)別的反射跨站點(diǎn)腳本 （XSS） 錯(cuò)誤。

2022 年 5 月的 Microsoft 補(bǔ)丁

5月份，微軟發(fā)布了74個(gè)新補(bǔ)丁，解決了Microsoft Windows和Windows組件、.NET和Visual Studio、Microsoft Edge（基于Chromium）、Microsoft Exchange Server、Office和Office組件、Windows Hyper-V、Windows身份驗(yàn)證方法、BitLocker中的CVE、Windows群集共享卷（CSV）、遠(yuǎn)程桌面客戶端、Windows網(wǎng)絡(luò)文件系統(tǒng)、NTFS和Windows點(diǎn)對(duì)點(diǎn)隧道協(xié)議。74個(gè)CVE漏洞中，7個(gè)被評(píng)為嚴(yán)重，66個(gè)被評(píng)為重要，1個(gè)被評(píng)為低嚴(yán)重性，與過(guò)去5月的發(fā)行量相比，比2021年5月多19個(gè)，比2019年5月少5個(gè)，整個(gè)2020年每個(gè)月都有點(diǎn)反常，因此不具備可比性。

Emotet是一種先進(jìn)的、自我傳播的模塊化木馬，仍然是影響全球檢測(cè)抽樣6%組織的最流行的惡意軟件。盡管如此，列表中的所有其他惡意軟件都出現(xiàn)了變化。Tofsee和Nanocore已經(jīng)出局，取而代之的是Formbook和Lokibot，它們現(xiàn)在分別是第二和第六流行的惡意軟件。

Emotet在3月份的得分較高（10%）主要是由于特定的復(fù)活節(jié)主題詐騙，但本月的下降也可以解釋為微軟決定禁用與Office文件相關(guān)的特定宏，從而影響Emotet通常的交付方式。其實(shí)有報(bào)道Emotet有一種新的交付方式;使用包含OneDrive

URL的網(wǎng)絡(luò)釣魚(yú)電子郵件。Emotet在成功繞過(guò)機(jī)器保護(hù)后有很多用途。由于其復(fù)雜的傳播和同化技術(shù)，Emotet還在暗網(wǎng)論壇上向網(wǎng)絡(luò)犯罪分子提供其他惡意軟件，包括銀行木馬、勒索軟件、僵尸網(wǎng)絡(luò)等。因此，一旦Emotet發(fā)現(xiàn)漏洞，后果可能會(huì)有所不同，具體取決于哪個(gè)惡意軟件是在破壞被破壞后交付。

在索引的其他地方，信息竊取者Lokibot在一次高影響力的垃圾郵件活動(dòng)通過(guò)看起來(lái)像合法發(fā)票的xlsx文件傳遞惡意軟件后，重新進(jìn)入了第六位。這一點(diǎn)，再加上Formbook的興起，對(duì)其他惡意軟件的排名產(chǎn)生了連鎖反應(yīng)，例如，高級(jí)遠(yuǎn)程訪問(wèn)木馬（RAT）AgentTesla從第二位跌至第三位。

3月底，在JavaSpring框架（稱為Spring4Shell）中發(fā)現(xiàn)了嚴(yán)重漏洞，從那時(shí)起，許多威脅參與者利用該威脅傳播了本月第九大流行的惡意軟件Mirai。盡管Spring4Shell尚未進(jìn)入前十名的漏洞列表，但值得注意的是，僅在第一個(gè)月，全球檢測(cè)抽樣超過(guò)35%的組織已經(jīng)受到此威脅的影響，因此我們預(yù)計(jì)它會(huì)在接下來(lái)的列表中上升個(gè)月。

本月，教育/研究仍然是全球網(wǎng)絡(luò)犯罪分子最有針對(duì)性的行業(yè)。Web 服務(wù)器公開(kāi)的 Git 存儲(chǔ)庫(kù)信息Disclosure 是利用最多的漏洞，影響了全球監(jiān)測(cè)抽樣46%的組織，緊隨其后的是“Apache Log4j 遠(yuǎn)程代碼執(zhí)行。Apache Struts ParametersInterceptor ClassLoader Security Bypass指數(shù)飆升，現(xiàn)在以 45% 的全球監(jiān)測(cè)抽樣影響力位居第三。

2022年4月"十惡不赦"

*箭頭表示與上個(gè)月相比排名的變化。

本月Emotet仍然是最流行的惡意軟件，影響全球 6% 的組織，緊隨其后的是Formbook，影響了 3% 的組織和AgentTesla，全球影響為2%。

1.Emotet ?–Emotet是一種先進(jìn)的、自我傳播的模塊化木馬。Emotet曾經(jīng)被用作銀行木馬，但最近被用作其他惡意軟件或惡意活動(dòng)的分發(fā)者。它使用多種方法來(lái)維護(hù)持久性和規(guī)避技術(shù)以避免檢測(cè)。此外，它還可以通過(guò)包含惡意附件或鏈接的網(wǎng)絡(luò)釣魚(yú)垃圾郵件進(jìn)行傳播。

2.↑Formbook–Formbook是針對(duì)Windows操作系統(tǒng)的信息竊取程序，于2016年首次被發(fā)現(xiàn)。由于其強(qiáng)大的規(guī)避技術(shù)和相對(duì)較低的價(jià)格，它在地下黑客論壇中以惡意軟件即服務(wù)（MaaS）的形式銷售。FormBook從各種Web瀏覽器中獲取憑據(jù)，收集屏幕截圖、監(jiān)視器和記錄擊鍵，并可以根據(jù)其C&C的命令下載和執(zhí)行文件。

3.↓特工特斯拉–代理人Tesla是一種高級(jí)RAT，可用作鍵盤(pán)記錄器和信息竊取程序，能夠監(jiān)控和收集受害者的鍵盤(pán)輸入、系統(tǒng)鍵盤(pán)、截屏以及將憑據(jù)泄露到安裝在受害者機(jī)器上的各種軟件（包括Google Chrome、Mozilla Firefox 和Microsoft Outlook。)

4.↓XMRig–XMRig是用于挖掘Monero加密貨幣的開(kāi)源CPU挖掘軟件。威脅者經(jīng)常濫用這種開(kāi)源軟件，將其集成到他們的惡意軟件中，對(duì)受害者的設(shè)備進(jìn)行非法挖掘。

5.↓Glupteba–Glupteba是一個(gè)后門(mén)，逐漸成熟為僵尸網(wǎng)絡(luò)。到2019年，包括一個(gè)通過(guò)公共比特幣列表的 C&C 地址更新機(jī)制、一個(gè)完整的瀏覽器竊取功能和一個(gè)路由器漏洞利用程序。

6.↑洛基博特 – 洛基博特 Lokibot于2016年2月首次被發(fā)現(xiàn)，LokiBot是一種商品信息竊取器，具有Windows和Android操作系統(tǒng)版本。它從各種應(yīng)用程序、Web瀏覽器、電子郵件客戶端、IT管理工具（如PuTTY等）中獲取憑據(jù)。LokiBot在黑客論壇上出售，據(jù)信其源代碼已泄露，因此出現(xiàn)了許多變種。自2017年底以來(lái)，一些Android版本的LokiBot除了信息竊取功能外，還包括勒索軟件功能。

7.↓Ramnit–Ramnit是一種模塊化銀行木馬，于2010年首次發(fā)現(xiàn)。Ramnit竊取Web會(huì)話信息，使其運(yùn)營(yíng)商能夠竊取受害者使用的所有服務(wù)的賬戶憑據(jù)，包括銀行賬戶、公司和社交網(wǎng)絡(luò)賬戶。該木馬使用硬編碼域以及由DGA（域生成算法）生成的域來(lái)聯(lián)系C&C服務(wù)器并下載其他模塊。

8.↓Phorpiex–Phorpiex是一個(gè)僵尸網(wǎng)絡(luò)（又名Trik），自2010年以來(lái)一直存在，并在其高峰期控制了超過(guò)一百萬(wàn)個(gè)受感染的主機(jī)。以通過(guò)垃圾郵件活動(dòng)分發(fā)其他惡意軟件系列以及助長(zhǎng)大規(guī)模垃圾郵件和性勒索活動(dòng)而聞名。

9.↓Mirai–Mirai是一種臭名昭著的物聯(lián)網(wǎng)（IoT）惡意軟件，它跟蹤易受攻擊的物聯(lián)網(wǎng)設(shè)備，例如網(wǎng)絡(luò)攝像頭、調(diào)制解調(diào)器和路由器，并將它們變成機(jī)器人。僵尸網(wǎng)絡(luò)被其運(yùn)營(yíng)商用來(lái)進(jìn)行大規(guī)模的分布式拒絕服務(wù)（DDoS）攻擊。Mirai僵尸網(wǎng)絡(luò)于2016年9月首次浮出水面，并因一些大規(guī)模攻擊而迅速成為頭條新聞，包括用于使整個(gè)利比里亞國(guó)家下線的大規(guī)模DDoS攻擊，以及針對(duì)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施公司Dyn的DDoS攻擊，后者提供了很大一部分美國(guó)互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施。

10.↑Remcos–Remcos是2016年首次出現(xiàn)在野外的RAT。Remcos通過(guò)附加到垃圾郵件的惡意Microsoft Office文檔進(jìn)行傳播，旨在繞過(guò)Microsoft Windows的UAC安全性并以高級(jí)權(quán)限執(zhí)行惡意軟件。

全球受攻擊最多的行業(yè)

本月教育和研究是全球受到攻擊最多的行業(yè)，其次是政府和軍事以及互聯(lián)網(wǎng)服務(wù)提供商和托管服務(wù)提供商（ISP&MSP）。

• 教育與研究
• 政府和軍隊(duì)
• 互聯(lián)網(wǎng)服務(wù)提供商和托管服務(wù)提供商（ISP&MSP）。

4月份漏洞Top10

本月Web Server Exposed Git Repository InformationDisclosure 是被利用最多的漏洞，影響了全球46%的組織，緊隨其后的是Apache Log4j 遠(yuǎn)程代碼執(zhí)行，全球影響率為46%。Apache Struts ParametersInterceptor ClassLoader Security
Bypass現(xiàn)在在被利用的漏洞列表中排名第三，全球影響率為45%。

1.↑Web服務(wù)器公開(kāi) Git 存儲(chǔ)庫(kù)信息泄露——Git Repository中報(bào)告了一個(gè)信息泄露漏洞。成功利用此漏洞可能會(huì)無(wú)意中泄露賬戶信息。

2.↓ Apache Log4j 遠(yuǎn)程代碼執(zhí)行 （CVE-2021-44228） ——Apache Log4j中存在遠(yuǎn)程代碼執(zhí)行漏洞。成功利用此漏洞可能允許遠(yuǎn)程攻擊者在受影響的系統(tǒng)上執(zhí)行任意代碼。

3.↑Apache Struts ParametersInterceptor ClassLoader Security Bypass（CVE-2014-0094，CVE-2014-0112，CVE-2014-0113，CVE-2014-0114） ——Apache Struts中存在安全繞過(guò)漏洞。該漏洞是由于對(duì) ParametersInterceptor 處理的數(shù)據(jù)的驗(yàn)證不充分，從而允許操縱類加載器。遠(yuǎn)程攻擊者可以通過(guò)在請(qǐng)求中提供類參數(shù)來(lái)利用此漏洞。

4. ? Web 服務(wù)器惡意 URL 目錄遍歷（CVE-2010-4598，CVE-2011-2474，CVE-2014-0130，CVE-2014-0780，CVE-2015-0666，CVE-2015-4068，CVE-2015-7254，CVE-2016-4523，CVE-2016-8530，CVE-2017-11512，CVE-2018-3948，CVE-2018-3949，CVE-2019-18952，CVE-2020-5410，CVE-2020-8260）——那里在不同的 Web 服務(wù)器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務(wù)器中的輸入驗(yàn)證錯(cuò)誤未正確清理目錄遍歷模式的URI。成功利用允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者泄露或訪問(wèn)易受攻擊的服務(wù)器上的任意文件。

5.↓HTTP標(biāo)頭遠(yuǎn)程代碼執(zhí)行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756）——HTTP標(biāo)頭允許客戶端和服務(wù)器通過(guò) HTTP 請(qǐng)求傳遞附加信息。遠(yuǎn)程攻擊者可能使用易受攻擊的 HTTP 標(biāo)頭在受害機(jī)器上運(yùn)行任意代碼。

6.↑通過(guò)HTTP進(jìn)行命令注入——報(bào)告了通過(guò)HTTP的命令注入漏洞。遠(yuǎn)程攻擊者可以通過(guò)向受害者發(fā)送特制請(qǐng)求來(lái)利用此問(wèn)題。成功的利用將允許攻擊者在目標(biāo)機(jī)器上執(zhí)行任意代碼。

7.↓MVPower DVR 遠(yuǎn)程代碼執(zhí)行——MVPowerDVR設(shè)備中存在遠(yuǎn)程代碼執(zhí)行漏洞。遠(yuǎn)程攻擊者可以利用此弱點(diǎn)通過(guò)精心制作的請(qǐng)求在受影響的路由器中執(zhí)行任意代碼。

8.↑WordPress 便攜式 phpMyAdmin 插件身份驗(yàn)證繞過(guò) （CVE-2012-5469） ——WordPress便攜式phpMyAdmin插件中存在身份驗(yàn)證繞過(guò)漏洞。成功利用此漏洞將允許遠(yuǎn)程攻擊者獲取敏感信息并未經(jīng)授權(quán)訪問(wèn)受影響的系統(tǒng)。

9.↓Dasan GPON 路由器繞過(guò)身份驗(yàn)證 （CVE-2018-10561） ——Dasan GPON路由器中存在身份驗(yàn)證繞過(guò)漏洞。成功利用此漏洞將允許遠(yuǎn)程攻擊者獲取敏感信息并未經(jīng)授權(quán)訪問(wèn)受影響的系統(tǒng)。

10.↓復(fù)活節(jié)彩蛋信息披露——PHP頁(yè)面中報(bào)告了一個(gè)信息泄露漏洞。該漏洞是由于Web服務(wù)器配置不正確造成的。遠(yuǎn)程攻擊者可以通過(guò)向受影響的PHP頁(yè)面發(fā)送特制 URL 來(lái)利用此漏洞。

頂級(jí)移動(dòng)惡意軟件

本月AlienBot是最流行的移動(dòng)惡意軟件，其次是FluBot和xHelper。

1.AlienBot——AlienBot 惡意軟件系列是用于 Android 設(shè)備的惡意軟件即服務(wù)（MaaS），它允許遠(yuǎn)程攻擊者首先將惡意代碼注入合法的金融應(yīng)用程序。攻擊者獲得對(duì)受害者賬戶的訪問(wèn)權(quán)限，并最終完全控制他們的設(shè)備。

2.FluBot——FluBot 是一種通過(guò)網(wǎng)絡(luò)釣魚(yú)短信 （Smishing） 分發(fā)的 Android 惡意軟件，最常冒充物流配送品牌。一旦用戶單擊消息中的鏈接，他們就會(huì)被重定向到下載包含 FluBot 的虛假應(yīng)用程序。安裝后，該惡意軟件具有獲取憑據(jù)并支持Smishing 操作本身的各種功能，包括上傳聯(lián)系人列表以及向其他電話號(hào)碼發(fā)送 SMS 消息。

3.xHelper——自2019年3月以來(lái)在野外出現(xiàn)的惡意應(yīng)用程序，用于下載其他惡意應(yīng)用程序和顯示廣告。該應(yīng)用程序能夠?qū)τ脩綦[藏自身并在被卸載時(shí)重新安裝自身。