Adobe 發(fā)布了六個補丁，解決了 Adobe Illustrator、InDesign、InCopy、Bridge、Robohelp 和 Animate 中的 46 個 CVE。最大的更新屬于Illustrator，總共解決了 17 個 CVE。如果受影響的系統(tǒng)打開特制文件，這些錯誤中最嚴(yán)重的可能會允許執(zhí)行代碼。其中許多錯誤屬于越界 (OOB) 寫入類別。Adobe Bridge的更新修復(fù)了 12 個錯誤，其中 11 個被評為嚴(yán)重。InCopy的補丁修復(fù)了八個嚴(yán)重級別的錯誤，所有這些錯誤都可能導(dǎo)致任意代碼執(zhí)行。同樣，InDesign補丁修復(fù)了七個嚴(yán)重的任意代碼執(zhí)行錯誤。對于 InDesign 和 InCopy，錯誤是 OOB 讀取、OOB 寫入、堆溢出和釋放后使用 (UAF) 漏洞的混合。Animate補丁修復(fù)的唯一錯誤也是嚴(yán)重級別的 OOB 寫入，可能導(dǎo)致任意代碼執(zhí)行。最后，Robohelp補丁修復(fù)了一個因授權(quán)不當(dāng)導(dǎo)致的中等級別的提權(quán)漏洞。

Adobe 本月修復(fù)的所有錯誤均未列為公開已知或在發(fā)布時受到主動攻擊。Adobe 將這些更新歸類為優(yōu)先級 3。

我們 2022 年 5 月的全球威脅指數(shù)顯示，Emotet 是一種先進的、自我傳播的模塊化木馬，仍然是影響全球 8% 組織的最流行的惡意軟件，由于多次廣泛的活動，比上個月略有增加。

Emotet 是一種敏捷的惡意軟件，由于其不被發(fā)現(xiàn)的能力而被證明是有利可圖的。它的持久性也使得一旦設(shè)備被感染就很難被移除，使其成為網(wǎng)絡(luò)犯罪分子武器庫中的完美工具。它最初是一種銀行木馬，通常通過網(wǎng)絡(luò)釣魚電子郵件分發(fā)，并且能夠提供其他惡意軟件，從而增強其造成廣泛破壞的能力。

本月，Snake Keylogger 在該指數(shù)中長期缺席后躍升至第 8 位。Snake 的主要功能是記錄用戶擊鍵并將收集到的數(shù)據(jù)傳輸給威脅參與者。它通常通過包含帶有惡意宏的 docx 或 xlsx 附件的電子郵件傳播，但是本月研究人員報告說 Snake Keylogger 已通過 PDF 文件傳播。這可能部分是由于微軟在 Office 中默認阻止互聯(lián)網(wǎng)宏，這意味著網(wǎng)絡(luò)犯罪分子必須變得更有創(chuàng)造力，探索新的文件類型，例如 PDF。事實證明，這種傳播惡意軟件的罕見方式非常有效，因為有些人認為 PDF 本質(zhì)上比其他文件類型更安全。

正如最近的 Snake Keylogger 活動所表明的那樣，我們在網(wǎng)上所做的一切都會使我們面臨網(wǎng)絡(luò)攻擊的風(fēng)險，打開 PDF 文檔也不例外。病毒和惡意可執(zhí)行代碼可能潛伏在多媒體內(nèi)容和鏈接中，一旦用戶打開 PDF，惡意軟件攻擊（在本例中為 Snake Keylogger）就可以攻擊。因此，就像我們會質(zhì)疑 docx 或 xlsx 電子郵件附件的合法性一樣，我們也必須對 PDF 采取同樣的謹(jǐn)慎態(tài)度。在當(dāng)今的環(huán)境中，對于組織而言，擁有一個強大的電子郵件安全解決方案來隔離和檢查附件，從一開始就防止任何惡意文件進入網(wǎng)絡(luò)，變得前所未有的重要。

我們的研究還顯示，“Web 服務(wù)器惡意 URL 目錄遍歷”是最常被利用的漏洞，影響了全球 46% 的組織，緊隨其后的是“Apache Log4j 遠程代碼執(zhí)行”，其全球影響為 46%?！禬eb Server Exposed Git Repository Information Disclosure》以 45% 的全球影響位居第三。教育和研究部門仍然是全球網(wǎng)絡(luò)犯罪分子最有針對性的行業(yè)。?

2022年5月“十惡不赦”

*箭頭表示與上個月相比排名的變化。

本月，Emotet 仍然是最受歡迎的惡意軟件，全球影響率為 8%，其次是 Formbook，影響率為 2%，AgentTesla 影響全球 2% 的組織。

1. ? Emotet – Emotet 是一種先進的、自我傳播的模塊化木馬。Emotet 曾經(jīng)被用作銀行木馬，但最近被用作其他惡意軟件或惡意活動的分發(fā)者。它使用多種方法來維護持久性和規(guī)避技術(shù)以避免檢測。此外，它還可以通過包含惡意附件或鏈接的網(wǎng)絡(luò)釣魚垃圾郵件進行傳播。
2. ? Formbook – Formbook 是針對 Windows 操作系統(tǒng)的信息竊取程序，于 2016 年首次被發(fā)現(xiàn)。由于其強大的規(guī)避技術(shù)和相對較低的價格，它在地下黑客論壇中以惡意軟件即服務(wù) (MaaS) 的形式銷售。FormBook 從各種 Web 瀏覽器中獲取憑據(jù)，收集屏幕截圖、監(jiān)控和記錄擊鍵，并可以根據(jù)其 C&C 的命令下載和執(zhí)行文件。
3. ? Agent Tesla – Agent Tesla 是一種高級 RAT，可用作鍵盤記錄器和信息竊取器，能夠監(jiān)控和收集受害者的鍵盤輸入、系統(tǒng)鍵盤、截屏以及將憑據(jù)泄露到安裝在受害者機器上的各種軟件 (包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook。）
4. ↑ Lokibot – LokiBot 于 2016 年 2 月首次被發(fā)現(xiàn)，是一種商品信息竊取器，具有 Windows 和 Android 操作系統(tǒng)版本。它從各種應(yīng)用程序、Web 瀏覽器、電子郵件客戶端和 IT 管理工具（如 PuTTY）中獲取憑據(jù)。LokiBot 在黑客論壇上出售，據(jù)信其源代碼已泄露，因此出現(xiàn)了許多變種。自 2017 年底以來，一些 Android 版本的 LokiBot 除了信息竊取功能外，還包括勒索軟件功能。
5. ↓ XMRig – XMRig 是一款開源 CPU 挖掘軟件，用于挖掘 Monero 加密貨幣。威脅者經(jīng)常濫用這種開源軟件，將其集成到他們的惡意軟件中，在受害者的設(shè)備上進行非法挖掘。
6. ? Glupteba – Glupteba 是一個后門，逐漸成熟為僵尸網(wǎng)絡(luò)。到 2019 年，它包括一個通過公共比特幣列表的 C&C 地址更新機制、一個完整的瀏覽器竊取功能和一個路由器漏洞利用程序。
7. ? Ramnit – Ramnit 是一種模塊化銀行木馬，于 2010 年首次發(fā)現(xiàn)。Ramnit 竊取 Web 會話信息，使其運營商能夠竊取受害者使用的所有服務(wù)的賬戶憑據(jù)，包括銀行賬戶、公司和社交網(wǎng)絡(luò)賬戶。該木馬使用硬編碼域以及由 DGA（域生成算法）生成的域來聯(lián)系 C&C 服務(wù)器并下載其他模塊。
8. ↑ SnakeKeylogger- Snake 是一個模塊化的 .NET 鍵盤記錄器和憑據(jù)竊取器，于 2020 年 11 月下旬首次被發(fā)現(xiàn)；它的主要功能是記錄用戶擊鍵并將收集到的數(shù)據(jù)傳輸給威脅參與者。Snake 感染對用戶的隱私和在線安全構(gòu)成重大威脅，因為該惡意軟件可以竊取幾乎所有類型的敏感信息，并且是一種特別具有規(guī)避性和持久性的鍵盤記錄器。
9. ↓ Phorpiex – Phorpiex 是一個僵尸網(wǎng)絡(luò)（又名 Trik），自 2010 年以來就已經(jīng)出現(xiàn)，并在其高峰期控制了超過 100 萬臺受感染的主機。它以通過垃圾郵件活動分發(fā)其他惡意軟件系列以及助長大規(guī)模垃圾郵件和性勒索活動而聞名。
10. ? Remcos- Remcos 是 2016 年首次出現(xiàn)在野外的 RAT。Remcos 通過附加到垃圾郵件的惡意 Microsoft Office 文檔進行傳播，旨在繞過 Microsoft Windows UAC 安全并以高級權(quán)限執(zhí)行惡意軟件。

全球受攻擊最多的行業(yè)

本月教育/研究是全球受攻擊最多的行業(yè)，其次是政府/軍事和互聯(lián)網(wǎng)服務(wù)提供商和托管服務(wù)提供商 (ISP & MSP)。

1. 教育與研究
2. 政府和軍隊
3. 互聯(lián)網(wǎng)服務(wù)提供商和托管服務(wù)提供商 (ISP & MSP)

5月份漏洞Top10?

本月，“Web 服務(wù)器惡意 URL 目錄遍歷”是最常被利用的漏洞，影響了全球 46% 的組織，緊隨其后的是“Apache Log4j 遠程代碼執(zhí)行”，其全球影響率為 46%?！禬eb Server Exposed Git Repository Information Disclosure》以 45% 的全球影響位居第三。

1. ↑ Web 服務(wù)器惡意 URL 目錄遍歷 (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260)-那里在不同的 Web 服務(wù)器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務(wù)器中的輸入驗證錯誤未正確清理目錄遍歷模式的 URI。成功利用允許未經(jīng)身份驗證的遠程攻擊者泄露或訪問易受攻擊的服務(wù)器上的任意文件。
2. ? Apache Log4j 遠程代碼執(zhí)行 (CVE-2021-44228) – Apache Log4j 中存在遠程代碼執(zhí)行漏洞。成功利用此漏洞可能允許遠程攻擊者在受影響的系統(tǒng)上執(zhí)行任意代碼。
3. ↓ Web Server Exposed Git Repository Information Disclosure – Git Repository 中報告了一個信息泄露漏洞。成功利用此漏洞可能會無意中泄露帳戶信息。
4. ↑ HTTP 標(biāo)頭遠程代碼執(zhí)行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） ——HTTP 標(biāo)頭允許客戶端和服務(wù)器通過 HTTP 請求傳遞附加信息。遠程攻擊者可能使用易受攻擊的 HTTP 標(biāo)頭在受害者機器上運行任意代碼。
5. ↑ MVPower DVR 遠程代碼執(zhí)行– MVPower DVR 設(shè)備中存在遠程代碼執(zhí)行漏洞。遠程攻擊者可以利用此弱點通過精心制作的請求在受影響的路由器中執(zhí)行任意代碼。
6. ↓ Apache Struts ParametersInterceptor ClassLoader Security Bypass (CVE-2014-0094,CVE-2014-0112,CVE-2014-0113,CVE-2014-0114) – Apache Struts 中存在安全繞過漏洞。該漏洞是由于對 ParametersInterceptor 處理的數(shù)據(jù)的驗證不充分，從而允許操縱 ClassLoader。遠程攻擊者可以通過在請求中提供類參數(shù)來利用此漏洞。
7. ↑ WordPress 便攜式 phpMyAdmin 插件身份驗證繞過 (CVE-2012-5469) – WordPress 便攜式 phpMyAdmin 插件中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并未經(jīng)授權(quán)訪問受影響的系統(tǒng)。
8. ↑ Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561) - Dasan GPON 路由器中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并未經(jīng)授權(quán)訪問受影響的系統(tǒng)。
9. ↑ PHP 復(fù)活節(jié)彩蛋信息披露- PHP 頁面中報告了一個信息披露漏洞。該漏洞是由于 Web 服務(wù)器配置不正確造成的。遠程攻擊者可以通過向受影響的 PHP 頁面發(fā)送特制 URL 來利用此漏洞。
10. ↑ Apache HTTP Server 目錄遍歷 (CVE-2021-41773) - Apache HTTP Server 中存在目錄遍歷漏洞。成功利用此漏洞可能允許攻擊者訪問受影響系統(tǒng)上的任意文件。

頂級移動惡意軟件

本月AlienBot是最流行的移動惡意軟件，其次是FluBot和xHelper。

1. AlienBot – AlienBot 惡意軟件系列是用于 Android 設(shè)備的惡意軟件即服務(wù) (MaaS)，它允許遠程攻擊者首先將惡意代碼注入合法的金融應(yīng)用程序。攻擊者獲得對受害者帳戶的訪問權(quán)限，并最終完全控制他們的設(shè)備。
2. FluBot – FluBot 是一種通過網(wǎng)絡(luò)釣魚短信 (Smishing) 分發(fā)的 Android 惡意軟件，最常冒充物流配送品牌。一旦用戶單擊消息中的鏈接，他們就會被重定向到下載包含 FluBot 的虛假應(yīng)用程序。安裝后，該惡意軟件具有獲取憑據(jù)并支持 Smishing 操作本身的各種功能，包括上傳聯(lián)系人列表以及向其他電話號碼發(fā)送 SMS 消息。
3. xHelper – 自 2019 年 3 月以來在野外出現(xiàn)的惡意應(yīng)用程序，用于下載其他惡意應(yīng)用程序和顯示廣告。該應(yīng)用程序能夠?qū)τ脩綦[藏自己并在卸載的情況下重新安裝自己。