Adobe 發(fā)布了六個(gè)補(bǔ)丁，解決了 Adobe Illustrator、InDesign、InCopy、Bridge、Robohelp 和 Animate 中的 46 個(gè) CVE。最大的更新屬于Illustrator，總共解決了 17 個(gè) CVE。如果受影響的系統(tǒng)打開(kāi)特制文件，這些錯(cuò)誤中最嚴(yán)重的可能會(huì)允許執(zhí)行代碼。其中許多錯(cuò)誤屬于越界 (OOB) 寫(xiě)入類(lèi)別。Adobe Bridge的更新修復(fù)了 12 個(gè)錯(cuò)誤，其中 11 個(gè)被評(píng)為嚴(yán)重。InCopy的補(bǔ)丁修復(fù)了八個(gè)嚴(yán)重級(jí)別的錯(cuò)誤，所有這些錯(cuò)誤都可能導(dǎo)致任意代碼執(zhí)行。同樣，InDesign補(bǔ)丁修復(fù)了七個(gè)嚴(yán)重的任意代碼執(zhí)行錯(cuò)誤。對(duì)于 InDesign 和 InCopy，錯(cuò)誤是 OOB 讀取、OOB 寫(xiě)入、堆溢出和釋放后使用 (UAF) 漏洞的混合。Animate補(bǔ)丁修復(fù)的唯一錯(cuò)誤也是嚴(yán)重級(jí)別的 OOB 寫(xiě)入，可能導(dǎo)致任意代碼執(zhí)行。最后，Robohelp補(bǔ)丁修復(fù)了一個(gè)因授權(quán)不當(dāng)導(dǎo)致的中等級(jí)別的提權(quán)漏洞。

Adobe 本月修復(fù)的所有錯(cuò)誤均未列為公開(kāi)已知或在發(fā)布時(shí)受到主動(dòng)攻擊。Adobe 將這些更新歸類(lèi)為優(yōu)先級(jí) 3。

我們 2022 年 5 月的全球威脅指數(shù)顯示，Emotet 是一種先進(jìn)的、自我傳播的模塊化木馬，仍然是影響全球 8% 組織的最流行的惡意軟件，由于多次廣泛的活動(dòng)，比上個(gè)月略有增加。

Emotet 是一種敏捷的惡意軟件，由于其不被發(fā)現(xiàn)的能力而被證明是有利可圖的。它的持久性也使得一旦設(shè)備被感染就很難被移除，使其成為網(wǎng)絡(luò)犯罪分子武器庫(kù)中的完美工具。它最初是一種銀行木馬，通常通過(guò)網(wǎng)絡(luò)釣魚(yú)電子郵件分發(fā)，并且能夠提供其他惡意軟件，從而增強(qiáng)其造成廣泛破壞的能力。

本月，Snake Keylogger 在該指數(shù)中長(zhǎng)期缺席后躍升至第 8 位。Snake 的主要功能是記錄用戶(hù)擊鍵并將收集到的數(shù)據(jù)傳輸給威脅參與者。它通常通過(guò)包含帶有惡意宏的 docx 或 xlsx 附件的電子郵件傳播，但是本月研究人員報(bào)告說(shuō) Snake Keylogger 已通過(guò) PDF 文件傳播。這可能部分是由于微軟在 Office 中默認(rèn)阻止互聯(lián)網(wǎng)宏，這意味著網(wǎng)絡(luò)犯罪分子必須變得更有創(chuàng)造力，探索新的文件類(lèi)型，例如 PDF。事實(shí)證明，這種傳播惡意軟件的罕見(jiàn)方式非常有效，因?yàn)橛行┤苏J(rèn)為 PDF 本質(zhì)上比其他文件類(lèi)型更安全。

正如最近的 Snake Keylogger 活動(dòng)所表明的那樣，我們?cè)诰W(wǎng)上所做的一切都會(huì)使我們面臨網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)，打開(kāi) PDF 文檔也不例外。病毒和惡意可執(zhí)行代碼可能潛伏在多媒體內(nèi)容和鏈接中，一旦用戶(hù)打開(kāi) PDF，惡意軟件攻擊（在本例中為 Snake Keylogger）就可以攻擊。因此，就像我們會(huì)質(zhì)疑 docx 或 xlsx 電子郵件附件的合法性一樣，我們也必須對(duì) PDF 采取同樣的謹(jǐn)慎態(tài)度。在當(dāng)今的環(huán)境中，對(duì)于組織而言，擁有一個(gè)強(qiáng)大的電子郵件安全解決方案來(lái)隔離和檢查附件，從一開(kāi)始就防止任何惡意文件進(jìn)入網(wǎng)絡(luò)，變得前所未有的重要。

我們的研究還顯示，“Web 服務(wù)器惡意 URL 目錄遍歷”是最常被利用的漏洞，影響了全球 46% 的組織，緊隨其后的是“Apache Log4j 遠(yuǎn)程代碼執(zhí)行”，其全球影響為 46%?！禬eb Server Exposed Git Repository Information Disclosure》以 45% 的全球影響位居第三。教育和研究部門(mén)仍然是全球網(wǎng)絡(luò)犯罪分子最有針對(duì)性的行業(yè)。?

2022年5月“十惡不赦”

*箭頭表示與上個(gè)月相比排名的變化。

本月，Emotet 仍然是最受歡迎的惡意軟件，全球影響率為 8%，其次是 Formbook，影響率為 2%，AgentTesla 影響全球 2% 的組織。

1. ? Emotet – Emotet 是一種先進(jìn)的、自我傳播的模塊化木馬。Emotet 曾經(jīng)被用作銀行木馬，但最近被用作其他惡意軟件或惡意活動(dòng)的分發(fā)者。它使用多種方法來(lái)維護(hù)持久性和規(guī)避技術(shù)以避免檢測(cè)。此外，它還可以通過(guò)包含惡意附件或鏈接的網(wǎng)絡(luò)釣魚(yú)垃圾郵件進(jìn)行傳播。
2. ? Formbook – Formbook 是針對(duì) Windows 操作系統(tǒng)的信息竊取程序，于 2016 年首次被發(fā)現(xiàn)。由于其強(qiáng)大的規(guī)避技術(shù)和相對(duì)較低的價(jià)格，它在地下黑客論壇中以惡意軟件即服務(wù) (MaaS) 的形式銷(xiāo)售。FormBook 從各種 Web 瀏覽器中獲取憑據(jù)，收集屏幕截圖、監(jiān)控和記錄擊鍵，并可以根據(jù)其 C&C 的命令下載和執(zhí)行文件。
3. ? Agent Tesla – Agent Tesla 是一種高級(jí) RAT，可用作鍵盤(pán)記錄器和信息竊取器，能夠監(jiān)控和收集受害者的鍵盤(pán)輸入、系統(tǒng)鍵盤(pán)、截屏以及將憑據(jù)泄露到安裝在受害者機(jī)器上的各種軟件 (包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook。）
4. ↑ Lokibot – LokiBot 于 2016 年 2 月首次被發(fā)現(xiàn)，是一種商品信息竊取器，具有 Windows 和 Android 操作系統(tǒng)版本。它從各種應(yīng)用程序、Web 瀏覽器、電子郵件客戶(hù)端和 IT 管理工具（如 PuTTY）中獲取憑據(jù)。LokiBot 在黑客論壇上出售，據(jù)信其源代碼已泄露，因此出現(xiàn)了許多變種。自 2017 年底以來(lái)，一些 Android 版本的 LokiBot 除了信息竊取功能外，還包括勒索軟件功能。
5. ↓ XMRig – XMRig 是一款開(kāi)源 CPU 挖掘軟件，用于挖掘 Monero 加密貨幣。威脅者經(jīng)常濫用這種開(kāi)源軟件，將其集成到他們的惡意軟件中，在受害者的設(shè)備上進(jìn)行非法挖掘。
6. ? Glupteba – Glupteba 是一個(gè)后門(mén)，逐漸成熟為僵尸網(wǎng)絡(luò)。到 2019 年，它包括一個(gè)通過(guò)公共比特幣列表的 C&C 地址更新機(jī)制、一個(gè)完整的瀏覽器竊取功能和一個(gè)路由器漏洞利用程序。
7. ? Ramnit – Ramnit 是一種模塊化銀行木馬，于 2010 年首次發(fā)現(xiàn)。Ramnit 竊取 Web 會(huì)話(huà)信息，使其運(yùn)營(yíng)商能夠竊取受害者使用的所有服務(wù)的賬戶(hù)憑據(jù)，包括銀行賬戶(hù)、公司和社交網(wǎng)絡(luò)賬戶(hù)。該木馬使用硬編碼域以及由 DGA（域生成算法）生成的域來(lái)聯(lián)系 C&C 服務(wù)器并下載其他模塊。
8. ↑ SnakeKeylogger- Snake 是一個(gè)模塊化的 .NET 鍵盤(pán)記錄器和憑據(jù)竊取器，于 2020 年 11 月下旬首次被發(fā)現(xiàn)；它的主要功能是記錄用戶(hù)擊鍵并將收集到的數(shù)據(jù)傳輸給威脅參與者。Snake 感染對(duì)用戶(hù)的隱私和在線(xiàn)安全構(gòu)成重大威脅，因?yàn)樵搻阂廛浖梢愿`取幾乎所有類(lèi)型的敏感信息，并且是一種特別具有規(guī)避性和持久性的鍵盤(pán)記錄器。
9. ↓ Phorpiex – Phorpiex 是一個(gè)僵尸網(wǎng)絡(luò)（又名 Trik），自 2010 年以來(lái)就已經(jīng)出現(xiàn)，并在其高峰期控制了超過(guò) 100 萬(wàn)臺(tái)受感染的主機(jī)。它以通過(guò)垃圾郵件活動(dòng)分發(fā)其他惡意軟件系列以及助長(zhǎng)大規(guī)模垃圾郵件和性勒索活動(dòng)而聞名。
10. ? Remcos- Remcos 是 2016 年首次出現(xiàn)在野外的 RAT。Remcos 通過(guò)附加到垃圾郵件的惡意 Microsoft Office 文檔進(jìn)行傳播，旨在繞過(guò) Microsoft Windows UAC 安全并以高級(jí)權(quán)限執(zhí)行惡意軟件。

全球受攻擊最多的行業(yè)

本月教育/研究是全球受攻擊最多的行業(yè)，其次是政府/軍事和互聯(lián)網(wǎng)服務(wù)提供商和托管服務(wù)提供商 (ISP & MSP)。

1. 教育與研究
2. 政府和軍隊(duì)
3. 互聯(lián)網(wǎng)服務(wù)提供商和托管服務(wù)提供商 (ISP & MSP)

5月份漏洞Top10?

本月，“Web 服務(wù)器惡意 URL 目錄遍歷”是最常被利用的漏洞，影響了全球 46% 的組織，緊隨其后的是“Apache Log4j 遠(yuǎn)程代碼執(zhí)行”，其全球影響率為 46%?！禬eb Server Exposed Git Repository Information Disclosure》以 45% 的全球影響位居第三。

1. ↑ Web 服務(wù)器惡意 URL 目錄遍歷 (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260)-那里在不同的 Web 服務(wù)器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務(wù)器中的輸入驗(yàn)證錯(cuò)誤未正確清理目錄遍歷模式的 URI。成功利用允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者泄露或訪(fǎng)問(wèn)易受攻擊的服務(wù)器上的任意文件。
2. ? Apache Log4j 遠(yuǎn)程代碼執(zhí)行 (CVE-2021-44228) – Apache Log4j 中存在遠(yuǎn)程代碼執(zhí)行漏洞。成功利用此漏洞可能允許遠(yuǎn)程攻擊者在受影響的系統(tǒng)上執(zhí)行任意代碼。
3. ↓ Web Server Exposed Git Repository Information Disclosure – Git Repository 中報(bào)告了一個(gè)信息泄露漏洞。成功利用此漏洞可能會(huì)無(wú)意中泄露帳戶(hù)信息。
4. ↑ HTTP 標(biāo)頭遠(yuǎn)程代碼執(zhí)行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） ——HTTP 標(biāo)頭允許客戶(hù)端和服務(wù)器通過(guò) HTTP 請(qǐng)求傳遞附加信息。遠(yuǎn)程攻擊者可能使用易受攻擊的 HTTP 標(biāo)頭在受害者機(jī)器上運(yùn)行任意代碼。
5. ↑ MVPower DVR 遠(yuǎn)程代碼執(zhí)行– MVPower DVR 設(shè)備中存在遠(yuǎn)程代碼執(zhí)行漏洞。遠(yuǎn)程攻擊者可以利用此弱點(diǎn)通過(guò)精心制作的請(qǐng)求在受影響的路由器中執(zhí)行任意代碼。
6. ↓ Apache Struts ParametersInterceptor ClassLoader Security Bypass (CVE-2014-0094,CVE-2014-0112,CVE-2014-0113,CVE-2014-0114) – Apache Struts 中存在安全繞過(guò)漏洞。該漏洞是由于對(duì) ParametersInterceptor 處理的數(shù)據(jù)的驗(yàn)證不充分，從而允許操縱 ClassLoader。遠(yuǎn)程攻擊者可以通過(guò)在請(qǐng)求中提供類(lèi)參數(shù)來(lái)利用此漏洞。
7. ↑ WordPress 便攜式 phpMyAdmin 插件身份驗(yàn)證繞過(guò) (CVE-2012-5469) – WordPress 便攜式 phpMyAdmin 插件中存在身份驗(yàn)證繞過(guò)漏洞。成功利用此漏洞將允許遠(yuǎn)程攻擊者獲取敏感信息并未經(jīng)授權(quán)訪(fǎng)問(wèn)受影響的系統(tǒng)。
8. ↑ Dasan GPON 路由器身份驗(yàn)證繞過(guò) (CVE-2018-10561) - Dasan GPON 路由器中存在身份驗(yàn)證繞過(guò)漏洞。成功利用此漏洞將允許遠(yuǎn)程攻擊者獲取敏感信息并未經(jīng)授權(quán)訪(fǎng)問(wèn)受影響的系統(tǒng)。
9. ↑ PHP 復(fù)活節(jié)彩蛋信息披露- PHP 頁(yè)面中報(bào)告了一個(gè)信息披露漏洞。該漏洞是由于 Web 服務(wù)器配置不正確造成的。遠(yuǎn)程攻擊者可以通過(guò)向受影響的 PHP 頁(yè)面發(fā)送特制 URL 來(lái)利用此漏洞。
10. ↑ Apache HTTP Server 目錄遍歷 (CVE-2021-41773) - Apache HTTP Server 中存在目錄遍歷漏洞。成功利用此漏洞可能允許攻擊者訪(fǎng)問(wèn)受影響系統(tǒng)上的任意文件。

頂級(jí)移動(dòng)惡意軟件

本月AlienBot是最流行的移動(dòng)惡意軟件，其次是FluBot和xHelper。

1. AlienBot – AlienBot 惡意軟件系列是用于 Android 設(shè)備的惡意軟件即服務(wù) (MaaS)，它允許遠(yuǎn)程攻擊者首先將惡意代碼注入合法的金融應(yīng)用程序。攻擊者獲得對(duì)受害者帳戶(hù)的訪(fǎng)問(wèn)權(quán)限，并最終完全控制他們的設(shè)備。
2. FluBot – FluBot 是一種通過(guò)網(wǎng)絡(luò)釣魚(yú)短信 (Smishing) 分發(fā)的 Android 惡意軟件，最常冒充物流配送品牌。一旦用戶(hù)單擊消息中的鏈接，他們就會(huì)被重定向到下載包含 FluBot 的虛假應(yīng)用程序。安裝后，該惡意軟件具有獲取憑據(jù)并支持 Smishing 操作本身的各種功能，包括上傳聯(lián)系人列表以及向其他電話(huà)號(hào)碼發(fā)送 SMS 消息。
3. xHelper – 自 2019 年 3 月以來(lái)在野外出現(xiàn)的惡意應(yīng)用程序，用于下載其他惡意應(yīng)用程序和顯示廣告。該應(yīng)用程序能夠?qū)τ脩?hù)隱藏自己并在卸載的情況下重新安裝自己。