2022年5月份恶意软件之“十恶不赦”排行榜

Adobe 发布了六个补丁，解决了 Adobe Illustrator、InDesign、InCopy、Bridge、Robohelp 和 Animate 中的 46 个 CVE。最大的更新属于Illustrator，总共解决了 17 个 CVE。如果受影响的系统打开特制文件，这些错误中最严重的可能会允许执行代码。其中许多错误属于越界 (OOB) 写入类别。Adobe Bridge的更新修复了 12 个错误，其中 11 个被评为严重。InCopy的补丁修复了八个严重级别的错误，所有这些错误都可能导致任意代码执行。同样，InDesign补丁修复了七个严重的任意代码执行错误。对于 InDesign 和 InCopy，错误是 OOB 读取、OOB 写入、堆溢出和释放后使用 (UAF) 漏洞的混合。Animate补丁修复的唯一错误也是严重级别的 OOB 写入，可能导致任意代码执行。最后，Robohelp补丁修复了一个因授权不当导致的中等级别的提权漏洞。

Adobe 本月修复的所有错误均未列为公开已知或在发布时受到主动攻击。Adobe 将这些更新归类为优先级 3。

我们 2022 年 5 月的全球威胁指数显示，Emotet 是一种先进的、自我传播的模块化木马，仍然是影响全球 8% 组织的最流行的恶意软件，由于多次广泛的活动，比上个月略有增加。

Emotet 是一种敏捷的恶意软件，由于其不被发现的能力而被证明是有利可图的。它的持久性也使得一旦设备被感染就很难被移除，使其成为网络犯罪分子武器库中的完美工具。它最初是一种银行木马，通常通过网络钓鱼电子邮件分发，并且能够提供其他恶意软件，从而增强其造成广泛破坏的能力。

本月，Snake Keylogger 在该指数中长期缺席后跃升至第 8 位。Snake 的主要功能是记录用户击键并将收集到的数据传输给威胁参与者。它通常通过包含带有恶意宏的 docx 或 xlsx 附件的电子邮件传播，但是本月研究人员报告说 Snake Keylogger 已通过 PDF 文件传播。这可能部分是由于微软在 Office 中默认阻止互联网宏，这意味着网络犯罪分子必须变得更有创造力，探索新的文件类型，例如 PDF。事实证明，这种传播恶意软件的罕见方式非常有效，因为有些人认为 PDF 本质上比其他文件类型更安全。

正如最近的 Snake Keylogger 活动所表明的那样，我们在网上所做的一切都会使我们面临网络攻击的风险，打开 PDF 文档也不例外。病毒和恶意可执行代码可能潜伏在多媒体内容和链接中，一旦用户打开 PDF，恶意软件攻击（在本例中为 Snake Keylogger）就可以攻击。因此，就像我们会质疑 docx 或 xlsx 电子邮件附件的合法性一样，我们也必须对 PDF 采取同样的谨慎态度。在当今的环境中，对于组织而言，拥有一个强大的电子邮件安全解决方案来隔离和检查附件，从一开始就防止任何恶意文件进入网络，变得前所未有的重要。

我们的研究还显示，“Web 服务器恶意 URL 目录遍历”是最常被利用的漏洞，影响了全球 46% 的组织，紧随其后的是“Apache Log4j 远程代码执行”，其全球影响为 46%。《Web Server Exposed Git Repository Information Disclosure》以 45% 的全球影响位居第三。教育和研究部门仍然是全球网络犯罪分子最有针对性的行业。​

2022年5月“十恶不赦”

*箭头表示与上个月相比排名的变化。

本月，Emotet 仍然是最受欢迎的恶意软件，全球影响率为 8%，其次是 Formbook，影响率为 2%，AgentTesla 影响全球 2% 的组织。

1. ↔ Emotet – Emotet 是一种先进的、自我传播的模块化木马。Emotet 曾经被用作银行木马，但最近被用作其他恶意软件或恶意活动的分发者。它使用多种方法来维护持久性和规避技术以避免检测。此外，它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。
2. ↔ Formbook – Formbook 是针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格，它在地下黑客论坛中以恶意软件即服务 (MaaS) 的形式销售。FormBook 从各种 Web 浏览器中获取凭据，收集屏幕截图、监控和记录击键，并可以根据其 C&C 的命令下载和执行文件。
3. ↔ Agent Tesla – Agent Tesla 是一种高级 RAT，可用作键盘记录器和信息窃取器，能够监控和收集受害者的键盘输入、系统键盘、截屏以及将凭据泄露到安装在受害者机器上的各种软件 (包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook。）
4. ↑ Lokibot – LokiBot 于 2016 年 2 月首次被发现，是一种商品信息窃取器，具有 Windows 和 Android 操作系统版本。它从各种应用程序、Web 浏览器、电子邮件客户端和 IT 管理工具（如 PuTTY）中获取凭据。LokiBot 在黑客论坛上出售，据信其源代码已泄露，因此出现了许多变种。自 2017 年底以来，一些 Android 版本的 LokiBot 除了信息窃取功能外，还包括勒索软件功能。
5. ↓ XMRig – XMRig 是一款开源 CPU 挖掘软件，用于挖掘 Monero 加密货币。威胁者经常滥用这种开源软件，将其集成到他们的恶意软件中，在受害者的设备上进行非法挖掘。
6. ↔ Glupteba – Glupteba 是一个后门，逐渐成熟为僵尸网络。到 2019 年，它包括一个通过公共比特币列表的 C&C 地址更新机制、一个完整的浏览器窃取功能和一个路由器漏洞利用程序。
7. ↔ Ramnit – Ramnit 是一种模块化银行木马，于 2010 年首次发现。Ramnit 窃取 Web 会话信息，使其运营商能够窃取受害者使用的所有服务的账户凭据，包括银行账户、公司和社交网络账户。该木马使用硬编码域以及由 DGA（域生成算法）生成的域来联系 C&C 服务器并下载其他模块。
8. ↑ SnakeKeylogger- Snake 是一个模块化的 .NET 键盘记录器和凭据窃取器，于 2020 年 11 月下旬首次被发现；它的主要功能是记录用户击键并将收集到的数据传输给威胁参与者。Snake 感染对用户的隐私和在线安全构成重大威胁，因为该恶意软件可以窃取几乎所有类型的敏感信息，并且是一种特别具有规避性和持久性的键盘记录器。
9. ↓ Phorpiex – Phorpiex 是一个僵尸网络（又名 Trik），自 2010 年以来就已经出现，并在其高峰期控制了超过 100 万台受感染的主机。它以通过垃圾邮件活动分发其他恶意软件系列以及助长大规模垃圾邮件和性勒索活动而闻名。
10. ↔ Remcos- Remcos 是 2016 年首次出现在野外的 RAT。Remcos 通过附加到垃圾邮件的恶意 Microsoft Office 文档进行传播，旨在绕过 Microsoft Windows UAC 安全并以高级权限执行恶意软件。

全球受攻击最多的行业

本月教育/研究是全球受攻击最多的行业，其次是政府/军事和互联网服务提供商和托管服务提供商 (ISP & MSP)。

1. 教育与研究
2. 政府和军队
3. 互联网服务提供商和托管服务提供商 (ISP & MSP)

5月份漏洞Top10​

本月，“Web 服务器恶意 URL 目录遍历”是最常被利用的漏洞，影响了全球 46% 的组织，紧随其后的是“Apache Log4j 远程代码执行”，其全球影响率为 46%。《Web Server Exposed Git Repository Information Disclosure》以 45% 的全球影响位居第三。

1. ↑ Web 服务器恶意 URL 目录遍历 (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260)-那里在不同的 Web 服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误未正确清理目录遍历模式的 URI。成功利用允许未经身份验证的远程攻击者泄露或访问易受攻击的服务器上的任意文件。
2. ↔ Apache Log4j 远程代码执行 (CVE-2021-44228) – Apache Log4j 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
3. ↓ Web Server Exposed Git Repository Information Disclosure – Git Repository 中报告了一个信息泄露漏洞。成功利用此漏洞可能会无意中泄露帐户信息。
4. ↑ HTTP 标头远程代码执行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） ——HTTP 标头允许客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能使用易受攻击的 HTTP 标头在受害者机器上运行任意代码。
5. ↑ MVPower DVR 远程代码执行– MVPower DVR 设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心制作的请求在受影响的路由器中执行任意代码。
6. ↓ Apache Struts ParametersInterceptor ClassLoader Security Bypass (CVE-2014-0094,CVE-2014-0112,CVE-2014-0113,CVE-2014-0114) – Apache Struts 中存在安全绕过漏洞。该漏洞是由于对 ParametersInterceptor 处理的数据的验证不充分，从而允许操纵 ClassLoader。远程攻击者可以通过在请求中提供类参数来利用此漏洞。
7. ↑ WordPress 便携式 phpMyAdmin 插件身份验证绕过 (CVE-2012-5469) – WordPress 便携式 phpMyAdmin 插件中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并未经授权访问受影响的系统。
8. ↑ Dasan GPON 路由器身份验证绕过 (CVE-2018-10561) - Dasan GPON 路由器中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并未经授权访问受影响的系统。
9. ↑ PHP 复活节彩蛋信息披露- PHP 页面中报告了一个信息披露漏洞。该漏洞是由于 Web 服务器配置不正确造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。
10. ↑ Apache HTTP Server 目录遍历 (CVE-2021-41773) - Apache HTTP Server 中存在目录遍历漏洞。成功利用此漏洞可能允许攻击者访问受影响系统上的任意文件。

顶级移动恶意软件

本月AlienBot是最流行的移动恶意软件，其次是FluBot和xHelper。

1. AlienBot – AlienBot 恶意软件系列是用于 Android 设备的恶意软件即服务 (MaaS)，它允许远程攻击者首先将恶意代码注入合法的金融应用程序。攻击者获得对受害者帐户的访问权限，并最终完全控制他们的设备。
2. FluBot – FluBot 是一种通过网络钓鱼短信 (Smishing) 分发的 Android 恶意软件，最常冒充物流配送品牌。一旦用户单击消息中的链接，他们就会被重定向到下载包含 FluBot 的虚假应用程序。安装后，该恶意软件具有获取凭据并支持 Smishing 操作本身的各种功能，包括上传联系人列表以及向其他电话号码发送 SMS 消息。
3. xHelper – 自 2019 年 3 月以来在野外出现的恶意应用程序，用于下载其他恶意应用程序和显示广告。该应用程序能够对用户隐藏自己并在卸载的情况下重新安装自己。