2022年4月份恶意软件之“十恶不赦”排行榜

安全
本月Emotet仍然是最流行的恶意软件,影响全球 6% 的组织,紧随其后的是Formbook,影响了 3% 的组织和AgentTesla,全球影响为 2%。

5月份,Adobe针对Adobe CloudFusion、InCopy、Framemaker、InDesign 和 Adobe Character Animator中的18个CVE,其中九个是严重级别的错误,可能导致代码执行,主要是由于越界(OOB)写入漏洞。InDesign的补丁解决了三个可能导致代码执行的严重错误。其中两个是由于OOB写入,而一个是OOB读取。InCopy的补丁还修复了三个严重级别的代码执行错误。在这种情况下,是两个OOB写入加上一个释放后使用(UAF)。补丁为字符Animator修复了一个关键级别的OOB 写入代码执行错误。最后,ColdFusion补丁更正了一个重要级别的反射跨站点脚本 (XSS) 错误。

图片

2022 年 5 月的 Microsoft 补丁

5月份,微软发布了74个新补丁,解决了Microsoft Windows和Windows组件、.NET和Visual Studio、Microsoft Edge(基于Chromium)、Microsoft Exchange Server、Office和Office组件、Windows Hyper-V、Windows身份验证方法、BitLocker中的CVE、Windows群集共享卷(CSV)、远程桌面客户端、Windows网络文件系统、NTFS和Windows点对点隧道协议。74个CVE漏洞中,7个被评为严重,66个被评为重要,1个被评为低严重性,与过去5月的发行量相比,比2021年5月多19个,比2019年5月少5个,整个2020年每个月都有点反常,因此不具备可比性。

Emotet是一种先进的、自我传播的模块化木马,仍然是影响全球检测抽样6%组织的最流行的恶意软件。尽管如此,列表中的所有其他恶意软件都出现了变化。Tofsee和Nanocore已经出局,取而代之的是Formbook和Lokibot,它们现在分别是第二和第六流行的恶意软件。

Emotet在3月份的得分较高(10%)主要是由于特定的复活节主题诈骗,但本月的下降也可以解释为微软决定禁用与Office文件相关的特定宏,从而影响Emotet通常的交付方式。其实有报道Emotet有一种新的交付方式;使用包含OneDrive

URL的网络钓鱼电子邮件。Emotet在成功绕过机器保护后有很多用途。由于其复杂的传播和同化技术,Emotet还在暗网论坛上向网络犯罪分子提供其他恶意软件,包括银行木马、勒索软件、僵尸网络等。因此,一旦Emotet发现漏洞,后果可能会有所不同,具体取决于哪个恶意软件是在破坏被破坏后交付。

在索引的其他地方,信息窃取者Lokibot在一次高影响力的垃圾邮件活动通过看起来像合法发票的xlsx文件传递恶意软件后,重新进入了第六位。这一点,再加上Formbook的兴起,对其他恶意软件的排名产生了连锁反应,例如,高级远程访问木马(RAT)AgentTesla从第二位跌至第三位。

3月底,在JavaSpring框架(称为Spring4Shell)中发现了严重漏洞,从那时起,许多威胁参与者利用该威胁传播了本月第九大流行的恶意软件Mirai。尽管Spring4Shell尚未进入前十名的漏洞列表,但值得注意的是,仅在第一个月,全球检测抽样超过35%的组织已经受到此威胁的影响,因此我们预计它会在接下来的列表中上升个月。

本月,教育/研究仍然是全球网络犯罪分子最有针对性的行业。Web 服务器公开的 Git 存储库信息Disclosure 是利用最多的漏洞,影响了全球监测抽样46%的组织,紧随其后的是“Apache Log4j 远程代码执行。Apache Struts ParametersInterceptor ClassLoader Security Bypass指数飙升,现在以 45% 的全球监测抽样影响力位居第三。

图片

2022年4月"十恶不赦"

*箭头表示与上个月相比排名的变化。

本月Emotet仍然是最流行的恶意软件,影响全球 6% 的组织,紧随其后的是Formbook,影响了 3% 的组织和AgentTesla,全球影响为2%。

1.Emotet ↔–Emotet是一种先进的、自我传播的模块化木马。Emotet曾经被用作银行木马,但最近被用作其他恶意软件或恶意活动的分发者。它使用多种方法来维护持久性和规避技术以避免检测。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。

2.↑Formbook–Formbook是针对Windows操作系统的信息窃取程序,于2016年首次被发现。由于其强大的规避技术和相对较低的价格,它在地下黑客论坛中以恶意软件即服务(MaaS)的形式销售。FormBook从各种Web浏览器中获取凭据,收集屏幕截图、监视器和记录击键,并可以根据其C&C的命令下载和执行文件。

3.↓特工特斯拉–代理人Tesla是一种高级RAT,可用作键盘记录器和信息窃取程序,能够监控和收集受害者的键盘输入、系统键盘、截屏以及将凭据泄露到安装在受害者机器上的各种软件(包括Google Chrome、Mozilla Firefox 和Microsoft Outlook。)

4.↓XMRig–XMRig是用于挖掘Monero加密货币的开源CPU挖掘软件。威胁者经常滥用这种开源软件,将其集成到他们的恶意软件中,对受害者的设备进行非法挖掘。

5.↓Glupteba–Glupteba是一个后门,逐渐成熟为僵尸网络。到2019年,包括一个通过公共比特币列表的 C&C 地址更新机制、一个完整的浏览器窃取功能和一个路由器漏洞利用程序。

6.↑洛基博特 – 洛基博特 Lokibot于2016年2月首次被发现,LokiBot是一种商品信息窃取器,具有Windows和Android操作系统版本。它从各种应用程序、Web浏览器、电子邮件客户端、IT管理工具(如PuTTY等)中获取凭据。LokiBot在黑客论坛上出售,据信其源代码已泄露,因此出现了许多变种。自2017年底以来,一些Android版本的LokiBot除了信息窃取功能外,还包括勒索软件功能。

7.↓Ramnit–Ramnit是一种模块化银行木马,于2010年首次发现。Ramnit窃取Web会话信息,使其运营商能够窃取受害者使用的所有服务的账户凭据,包括银行账户、公司和社交网络账户。该木马使用硬编码域以及由DGA(域生成算法)生成的域来联系C&C服务器并下载其他模块。

8.↓Phorpiex–Phorpiex是一个僵尸网络(又名Trik),自2010年以来一直存在,并在其高峰期控制了超过一百万个受感染的主机。以通过垃圾邮件活动分发其他恶意软件系列以及助长大规模垃圾邮件和性勒索活动而闻名。

9.↓Mirai–Mirai是一种臭名昭著的物联网(IoT)恶意软件,它跟踪易受攻击的物联网设备,例如网络摄像头、调制解调器和路由器,并将它们变成机器人。僵尸网络被其运营商用来进行大规模的分布式拒绝服务(DDoS)攻击。Mirai僵尸网络于2016年9月首次浮出水面,并因一些大规模攻击而迅速成为头条新闻,包括用于使整个利比里亚国家下线的大规模DDoS攻击,以及针对互联网基础设施公司Dyn的DDoS攻击,后者提供了很大一部分美国互联网的基础设施。

10.↑Remcos–Remcos是2016年首次出现在野外的RAT。Remcos通过附加到垃圾邮件的恶意Microsoft Office文档进行传播,旨在绕过Microsoft Windows的UAC安全性并以高级权限执行恶意软件。

图片

全球受攻击最多的行业

本月教育和研究是全球受到攻击最多的行业,其次是政府和军事以及互联网服务提供商和托管服务提供商(ISP&MSP)。

  • 教育与研究
  • 政府和军队
  • 互联网服务提供商和托管服务提供商(ISP&MSP)。

4月份漏洞Top10

本月Web Server Exposed Git Repository InformationDisclosure 是被利用最多的漏洞,影响了全球46%的组织,紧随其后的是Apache Log4j 远程代码执行,全球影响率为46%。Apache Struts ParametersInterceptor ClassLoader Security
Bypass现在在被利用的漏洞列表中排名第三,全球影响率为45%。

1.↑Web服务器公开 Git 存储库信息泄露——Git Repository中报告了一个信息泄露漏洞。成功利用此漏洞可能会无意中泄露账户信息。

2.↓ Apache Log4j 远程代码执行 (CVE-2021-44228) ——Apache Log4j中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。

3.↑Apache Struts ParametersInterceptor ClassLoader Security Bypass(CVE-2014-0094,CVE-2014-0112,CVE-2014-0113,CVE-2014-0114) ——Apache Struts中存在安全绕过漏洞。该漏洞是由于对 ParametersInterceptor 处理的数据的验证不充分,从而允许操纵类加载器。远程攻击者可以通过在请求中提供类参数来利用此漏洞。

4. ↔ Web 服务器恶意 URL 目录遍历(CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260)——那里在不同的 Web 服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误未正确清理目录遍历模式的URI。成功利用允许未经身份验证的远程攻击者泄露或访问易受攻击的服务器上的任意文件。

5.↓HTTP标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756)——HTTP标头允许客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能使用易受攻击的 HTTP 标头在受害机器上运行任意代码。

6.↑通过HTTP进行命令注入——报告了通过HTTP的命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功的利用将允许攻击者在目标机器上执行任意代码。

7.↓MVPower DVR 远程代码执行——MVPowerDVR设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心制作的请求在受影响的路由器中执行任意代码。

8.↑WordPress 便携式 phpMyAdmin 插件身份验证绕过 (CVE-2012-5469) ——WordPress便携式phpMyAdmin插件中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并未经授权访问受影响的系统。

9.↓Dasan GPON 路由器绕过身份验证 (CVE-2018-10561) ——Dasan GPON路由器中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并未经授权访问受影响的系统。

10.↓复活节彩蛋信息披露——PHP页面中报告了一个信息泄露漏洞。该漏洞是由于Web服务器配置不正确造成的。远程攻击者可以通过向受影响的PHP页面发送特制 URL 来利用此漏洞。

顶级移动恶意软件

本月AlienBot是最流行的移动恶意软件,其次是FluBot和xHelper。

1.AlienBot——AlienBot 恶意软件系列是用于 Android 设备的恶意软件即服务(MaaS),它允许远程攻击者首先将恶意代码注入合法的金融应用程序。攻击者获得对受害者账户的访问权限,并最终完全控制他们的设备。

2.FluBot——FluBot 是一种通过网络钓鱼短信 (Smishing) 分发的 Android 恶意软件,最常冒充物流配送品牌。一旦用户单击消息中的链接,他们就会被重定向到下载包含 FluBot 的虚假应用程序。安装后,该恶意软件具有获取凭据并支持Smishing 操作本身的各种功能,包括上传联系人列表以及向其他电话号码发送 SMS 消息。

3.xHelper——自2019年3月以来在野外出现的恶意应用程序,用于下载其他恶意应用程序和显示广告。该应用程序能够对用户隐藏自身并在被卸载时重新安装自身。

责任编辑:赵宁宁 来源: 祺印说信安
相关推荐

2022-09-20 06:57:37

Emotet恶意软件

2022-02-28 00:09:32

软件移动

2022-03-21 07:03:21

恶意软件漏洞

2022-12-30 00:10:11

2023-02-12 00:17:23

2022-07-05 00:01:51

威胁指数木马恶意软件

2022-05-04 00:03:17

恶意软件漏洞

2022-11-15 07:43:13

2023-05-27 00:33:12

2021-11-22 12:12:29

恶意软件黑客网络攻击

2022-01-28 07:03:56

恶意软件攻击者网络

2023-07-31 00:13:21

2023-03-17 00:04:56

2023-04-24 21:09:06

2023-03-12 00:16:36

2024-10-14 08:06:47

2023-06-18 23:16:54

2024-03-04 00:03:00

2021-12-29 00:04:56

恶意软件

2023-09-28 00:06:16

点赞
收藏

51CTO技术栈公众号