今年4月份，對于微軟來說漏洞修復完成量還是蠻高的，又一次破百了。微軟4月份的Patch Tuesday更新解決了其軟件產(chǎn)品組合中的總共 128 個安全漏洞，包括 Windows、Defender、Office、ExchangeServer、Visual Studio 和 PrintSpooler 等。

4 月份，Adobe 發(fā)布了四次更新，解決了Acrobat 和 Reader、Photoshop、After Effects 和 Adobe Commerce 中的 70 個 CVE。Acrobat 和 Reader的更新是迄今為止最大的一次，解決了 62 個 CVE。

根據(jù)CheckPoint相關信息，Emotet繼續(xù)作為惡意軟件占據(jù)統(tǒng)治地位，影響了全球10%的組織，是2月份的兩倍，Emotet一直在鞏固其作為霸主地位，這種情況進一步鞏固加深，因為許多激進的電子郵件活動一直在傳播僵尸網(wǎng)絡。這些電子郵件被發(fā)送給世界各地的受害者，其中一個使用主題“buonapasqua，復活節(jié)快樂”的示例，但電子郵件中附加的是用于傳遞Emotet 的惡意 XLS 文件。

本月，作為鍵盤記錄器和信息竊取程序的高級遠程訪問木馬(RAT) Agent Tesla是第二大惡意軟件，在上個月排名第四，其崛起是由于幾個新的惡意垃圾郵件活動通過全球惡意 xlsx/pdf 文件傳遞 RAT。其中不乏一些活動利用俄羅斯/烏克蘭戰(zhàn)爭來引誘受害者。

近年來，技術已經(jīng)發(fā)展到這樣一個地步，網(wǎng)絡犯罪分子越來越不得不依靠人類的信任才能進入公司網(wǎng)絡。本月，各安全機構監(jiān)測到 Apache Log4j 再次成為最常被利用的漏洞。即使在去年年底談論過這個漏洞之后，在最初發(fā)現(xiàn)數(shù)月后，仍然會造成傷害。組織需要立即采取行動以防止攻擊發(fā)生。

4月份還透露，教育/研究仍然是全球受攻擊最多的行業(yè)，其次是政府/軍事和互聯(lián)網(wǎng)服務提供商/托管服務提供商(ISP/MSP)。Web Server Exposed Git Repository InformationDisclosure現(xiàn)在是第二大最常利用的漏洞，影響全球抽樣 26% 的組織，而Apache Log4j 遠程代碼執(zhí)行位居榜首，影響了全球監(jiān)測抽樣33% 的組織。HTTP Headers RemoteCode Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756)以 26% 的全球監(jiān)測抽樣，位居第三。

2022年3月“十惡不赦”

*箭頭表示與上個月相比排名的變化。

本月，Emotet仍然是榜首的惡意軟件，對全球監(jiān)測抽樣 10% 的組織產(chǎn)生影響，其次是 Agent Tesla 和 XMRig，各有 2% 的全球監(jiān)測抽樣組織受到影響。

1.? Emotet – Emotet是一種先進的、自我傳播的模塊化木馬。Emotet 曾經(jīng)被用作銀行木馬，最近被用作其他惡意軟件或惡意活動的分發(fā)者，使用多種方法來維護持久性和規(guī)避技術以避免檢測。此外，還可以通過包含惡意附件或鏈接的網(wǎng)絡釣魚垃圾郵件進行傳播。

2.↑ Agent Tesla – Agent Tesla 是一種高級RAT，可用作鍵盤記錄器和信息竊取器，能夠監(jiān)控和收集受害者的鍵盤輸入、系統(tǒng)鍵盤、截屏以及將憑據(jù)泄露到安裝在受害者機器上的各種軟件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端)。

3.↑ XMRig– XMRig 是一款開源CPU 挖掘軟件，用于門羅幣加密貨幣的挖掘過程，于 2017 年 5 月首次出現(xiàn)。

4.↓ Glupteba –Glupteba 是一個后門，逐漸成熟為僵尸網(wǎng)絡。到 2019 年，包括一個通過公共比特幣列表的 C&C 地址更新機制、一個完整的瀏覽器竊取功能和一個路由器漏洞利用程序。

5.↑ Ramnit – Ramnit 是一種銀行木馬，可竊取銀行憑證、FTP 密碼、會話 cookie 和個人數(shù)據(jù)。

6.↑ Mirai – Mirai 僵尸網(wǎng)絡于2016 年 9 月首次浮出水面，是一種臭名昭著的物聯(lián)網(wǎng)(IoT) 惡意軟件，跟蹤易受攻擊的物聯(lián)網(wǎng)設備，例如網(wǎng)絡攝像頭、調制解調器和路由器，并將它們變成機器人。僵尸網(wǎng)絡被其運營商用來進行大規(guī)模的分布式拒絕服務(DDoS) 攻擊。

7.↑ Phorpiex – Phorpiex 是一個僵尸網(wǎng)絡(又名 Trik)，自 2010 年以來一直存在，并在其鼎盛時期控制了超過一百萬個受感染的主機，以通過垃圾郵件活動分發(fā)其他惡意軟件系列以及助長大規(guī)模垃圾郵件和性勒索活動而聞名。

8.↑ Remcos – Remcos 是 2016 年首次出現(xiàn)在野外的 RAT。Remcos 通過附加到垃圾郵件的惡意 Microsoft Office 文檔進行傳播，旨在繞過 MicrosoftWindows UAC 安全并以高級權限執(zhí)行惡意軟件。

9.↑ Tofsee – Tofsee 是一個針對Windows 平臺的 Trickler。此惡意軟件嘗試在目標系統(tǒng)上下載并執(zhí)行其他惡意文件，可能會下載圖像文件并將其顯示給用戶，以隱藏其真實目的。

10. ↑ Nanocore- Nanocore 是一種 RAT，于 2013 年首次在野外觀察到，并針對 Windows 操作系統(tǒng)用戶。所有版本的 RAT 都具有基本插件和功能，例如屏幕捕獲、加密貨幣挖掘、桌面遠程控制和網(wǎng)絡攝像頭會話盜竊。

全球受攻擊最多的行業(yè)

本月，教育/研究是全球受攻擊最多的行業(yè)，其次是政府/軍事和ISP/MSP。

1.教育/研究

2.政府/軍隊

3.ISP/MSP

3月份漏洞Top10

本月ApacheLog4j 遠程代碼執(zhí)行是最常被利用的漏洞，影響了全球監(jiān)測抽樣 33% 的組織，其次是Web 服務器暴露的 Git 存儲庫信息泄露，從第一位跌至第二位，影響了全球監(jiān)測抽樣 26% 的組織。HTTP Headers Remote Code Execution在被利用最多的漏洞列表中仍然位列第三，全球監(jiān)測抽樣影響率為 26%。

1.↑ Apache Log4j 遠程代碼執(zhí)行(CVE-2021-44228) – Apache Log4j 中存在遠程代碼執(zhí)行漏洞，成功利用此漏洞可能允許遠程攻擊者在受影響的系統(tǒng)上執(zhí)行任意代碼。

2.↓ Web Server Exposed Git RepositoryInformation Disclosure – Git Repository 中報告一個信息泄露漏洞，成功利用此漏洞可能會無意中泄露賬戶信息。

3.? HTTP 標頭遠程代碼執(zhí)行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) ——HTTP 標頭允許客戶端和服務器通過 HTTP 請求傳遞附加信息，遠程攻擊者可能使用易受攻擊的 HTTP 標頭在受害機器上運行任意代碼。

4.↑ Web 服務器惡意URL 目錄遍歷(CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) –那里在不同的 Web 服務器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務器中的輸入驗證錯誤未正確清理目錄遍歷模式的 URI，成功利用允許未經(jīng)身份驗證的遠程攻擊者泄露或訪問易受攻擊的服務器上的任意文件。

5.↓ MVPower DVR 遠程代碼執(zhí)行– MVPower DVR 設備中存在遠程代碼執(zhí)行漏洞，遠程攻擊者可以利用此弱點通過精心制作的請求在受影響的路由器中執(zhí)行任意代碼。

6.↑ D-LINK 多產(chǎn)品遠程代碼執(zhí)行 (CVE-2015-2051) - 多個D-Link 產(chǎn)品中報告了遠程代碼執(zhí)行漏洞。成功利用可能導致在易受攻擊的設備上執(zhí)行任意代碼。

7.↓ PHP Easter Egg Information Disclosure – PHP 頁面中報告了一個信息泄露漏洞，是由于 Web 服務器配置不正確造成的，遠程攻擊者可以通過向受影響的 PHP 頁面發(fā)送特制URL來利用此漏洞。

8.? Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561) – Dasan GPON 路由器中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并未經(jīng)授權訪問受影響的系統(tǒng)。

9.↑ Linux 系統(tǒng)文件信息泄露(CVE-2018-3948、CVE-2018-3948、CVE-2022-23119) ——Linux 操作系統(tǒng)包含帶有敏感信息的系統(tǒng)文件。如果配置不正確，遠程攻擊者可以查看此類文件的信息。

10. ? PHPUnit 命令注入(CVE-2017-9841) – PHPUnit 中存在命令注入漏洞。成功利用此漏洞將允許遠程攻擊者在受影響的系統(tǒng)中執(zhí)行任意命令。

頂級移動惡意軟件

本月AlienBot是最流行的移動惡意軟件，其次是xHelper和FluBot。

1.AlienBot – AlienBot 惡意軟件系列是用于 Android 設備的惡意軟件即服務 (MaaS)，允許遠程攻擊者首先將惡意代碼注入合法的金融應用程序。攻擊者獲得對受害者賬戶的訪問權限，并最終完全控制他們的設備。

2.xHelper - 自 2019 年3 月以來在野外出現(xiàn)的惡意應用程序，用于下載其他惡意應用程序和顯示廣告，能夠對用戶隱藏自身并在卸載時重新安裝。

3.FluBot – FluBot 是一種通過網(wǎng)絡釣魚短信 ( Smishing ) 分發(fā)的 Android 惡意軟件，最常冒充物流配送品牌。一旦用戶單擊消息中的鏈接，就會被重定向到下載包含 FluBot 的虛假應用程序。安裝后，惡意軟件具有多種功能來獲取憑據(jù)并支持 Smishing 操作本身，包括上傳聯(lián)系人列表以及向其他電話號碼發(fā)送 SMS 消息。