5月份，Adobe針對Adobe CloudFusion、InCopy、Framemaker、InDesign 和 Adobe Character Animator中的18個CVE，其中九個是嚴重級別的錯誤，可能導致代碼執行，主要是由于越界（OOB）寫入漏洞。InDesign的補丁解決了三個可能導致代碼執行的嚴重錯誤。其中兩個是由于OOB寫入，而一個是OOB讀取。InCopy的補丁還修復了三個嚴重級別的代碼執行錯誤。在這種情況下，是兩個OOB寫入加上一個釋放后使用（UAF）。補丁為字符Animator修復了一個關鍵級別的OOB 寫入代碼執行錯誤。最后，ColdFusion補丁更正了一個重要級別的反射跨站點腳本 （XSS） 錯誤。

2022 年 5 月的 Microsoft 補丁

5月份，微軟發布了74個新補丁，解決了Microsoft Windows和Windows組件、.NET和Visual Studio、Microsoft Edge（基于Chromium）、Microsoft Exchange Server、Office和Office組件、Windows Hyper-V、Windows身份驗證方法、BitLocker中的CVE、Windows群集共享卷（CSV）、遠程桌面客戶端、Windows網絡文件系統、NTFS和Windows點對點隧道協議。74個CVE漏洞中，7個被評為嚴重，66個被評為重要，1個被評為低嚴重性，與過去5月的發行量相比，比2021年5月多19個，比2019年5月少5個，整個2020年每個月都有點反常，因此不具備可比性。

Emotet是一種先進的、自我傳播的模塊化木馬，仍然是影響全球檢測抽樣6%組織的最流行的惡意軟件。盡管如此，列表中的所有其他惡意軟件都出現了變化。Tofsee和Nanocore已經出局，取而代之的是Formbook和Lokibot，它們現在分別是第二和第六流行的惡意軟件。

Emotet在3月份的得分較高（10%）主要是由于特定的復活節主題詐騙，但本月的下降也可以解釋為微軟決定禁用與Office文件相關的特定宏，從而影響Emotet通常的交付方式。其實有報道Emotet有一種新的交付方式;使用包含OneDrive

URL的網絡釣魚電子郵件。Emotet在成功繞過機器保護后有很多用途。由于其復雜的傳播和同化技術，Emotet還在暗網論壇上向網絡犯罪分子提供其他惡意軟件，包括銀行木馬、勒索軟件、僵尸網絡等。因此，一旦Emotet發現漏洞，后果可能會有所不同，具體取決于哪個惡意軟件是在破壞被破壞后交付。

在索引的其他地方，信息竊取者Lokibot在一次高影響力的垃圾郵件活動通過看起來像合法發票的xlsx文件傳遞惡意軟件后，重新進入了第六位。這一點，再加上Formbook的興起，對其他惡意軟件的排名產生了連鎖反應，例如，高級遠程訪問木馬（RAT）AgentTesla從第二位跌至第三位。

3月底，在JavaSpring框架（稱為Spring4Shell）中發現了嚴重漏洞，從那時起，許多威脅參與者利用該威脅傳播了本月第九大流行的惡意軟件Mirai。盡管Spring4Shell尚未進入前十名的漏洞列表，但值得注意的是，僅在第一個月，全球檢測抽樣超過35%的組織已經受到此威脅的影響，因此我們預計它會在接下來的列表中上升個月。

本月，教育/研究仍然是全球網絡犯罪分子最有針對性的行業。Web 服務器公開的 Git 存儲庫信息Disclosure 是利用最多的漏洞，影響了全球監測抽樣46%的組織，緊隨其后的是“Apache Log4j 遠程代碼執行。Apache Struts ParametersInterceptor ClassLoader Security Bypass指數飆升，現在以 45% 的全球監測抽樣影響力位居第三。

2022年4月"十惡不赦"

*箭頭表示與上個月相比排名的變化。

本月Emotet仍然是最流行的惡意軟件，影響全球 6% 的組織，緊隨其后的是Formbook，影響了 3% 的組織和AgentTesla，全球影響為2%。

1.Emotet ?–Emotet是一種先進的、自我傳播的模塊化木馬。Emotet曾經被用作銀行木馬，但最近被用作其他惡意軟件或惡意活動的分發者。它使用多種方法來維護持久性和規避技術以避免檢測。此外，它還可以通過包含惡意附件或鏈接的網絡釣魚垃圾郵件進行傳播。

2.↑Formbook–Formbook是針對Windows操作系統的信息竊取程序，于2016年首次被發現。由于其強大的規避技術和相對較低的價格，它在地下黑客論壇中以惡意軟件即服務（MaaS）的形式銷售。FormBook從各種Web瀏覽器中獲取憑據，收集屏幕截圖、監視器和記錄擊鍵，并可以根據其C&C的命令下載和執行文件。

3.↓特工特斯拉–代理人Tesla是一種高級RAT，可用作鍵盤記錄器和信息竊取程序，能夠監控和收集受害者的鍵盤輸入、系統鍵盤、截屏以及將憑據泄露到安裝在受害者機器上的各種軟件（包括Google Chrome、Mozilla Firefox 和Microsoft Outlook。)

4.↓XMRig–XMRig是用于挖掘Monero加密貨幣的開源CPU挖掘軟件。威脅者經常濫用這種開源軟件，將其集成到他們的惡意軟件中，對受害者的設備進行非法挖掘。

5.↓Glupteba–Glupteba是一個后門，逐漸成熟為僵尸網絡。到2019年，包括一個通過公共比特幣列表的 C&C 地址更新機制、一個完整的瀏覽器竊取功能和一個路由器漏洞利用程序。

6.↑洛基博特 – 洛基博特 Lokibot于2016年2月首次被發現，LokiBot是一種商品信息竊取器，具有Windows和Android操作系統版本。它從各種應用程序、Web瀏覽器、電子郵件客戶端、IT管理工具（如PuTTY等）中獲取憑據。LokiBot在黑客論壇上出售，據信其源代碼已泄露，因此出現了許多變種。自2017年底以來，一些Android版本的LokiBot除了信息竊取功能外，還包括勒索軟件功能。

7.↓Ramnit–Ramnit是一種模塊化銀行木馬，于2010年首次發現。Ramnit竊取Web會話信息，使其運營商能夠竊取受害者使用的所有服務的賬戶憑據，包括銀行賬戶、公司和社交網絡賬戶。該木馬使用硬編碼域以及由DGA（域生成算法）生成的域來聯系C&C服務器并下載其他模塊。

8.↓Phorpiex–Phorpiex是一個僵尸網絡（又名Trik），自2010年以來一直存在，并在其高峰期控制了超過一百萬個受感染的主機。以通過垃圾郵件活動分發其他惡意軟件系列以及助長大規模垃圾郵件和性勒索活動而聞名。

9.↓Mirai–Mirai是一種臭名昭著的物聯網（IoT）惡意軟件，它跟蹤易受攻擊的物聯網設備，例如網絡攝像頭、調制解調器和路由器，并將它們變成機器人。僵尸網絡被其運營商用來進行大規模的分布式拒絕服務（DDoS）攻擊。Mirai僵尸網絡于2016年9月首次浮出水面，并因一些大規模攻擊而迅速成為頭條新聞，包括用于使整個利比里亞國家下線的大規模DDoS攻擊，以及針對互聯網基礎設施公司Dyn的DDoS攻擊，后者提供了很大一部分美國互聯網的基礎設施。

10.↑Remcos–Remcos是2016年首次出現在野外的RAT。Remcos通過附加到垃圾郵件的惡意Microsoft Office文檔進行傳播，旨在繞過Microsoft Windows的UAC安全性并以高級權限執行惡意軟件。

全球受攻擊最多的行業

本月教育和研究是全球受到攻擊最多的行業，其次是政府和軍事以及互聯網服務提供商和托管服務提供商（ISP&MSP）。

• 教育與研究
• 政府和軍隊
• 互聯網服務提供商和托管服務提供商（ISP&MSP）。

4月份漏洞Top10

本月Web Server Exposed Git Repository InformationDisclosure 是被利用最多的漏洞，影響了全球46%的組織，緊隨其后的是Apache Log4j 遠程代碼執行，全球影響率為46%。Apache Struts ParametersInterceptor ClassLoader Security
Bypass現在在被利用的漏洞列表中排名第三，全球影響率為45%。

1.↑Web服務器公開 Git 存儲庫信息泄露——Git Repository中報告了一個信息泄露漏洞。成功利用此漏洞可能會無意中泄露賬戶信息。

2.↓ Apache Log4j 遠程代碼執行 （CVE-2021-44228） ——Apache Log4j中存在遠程代碼執行漏洞。成功利用此漏洞可能允許遠程攻擊者在受影響的系統上執行任意代碼。

3.↑Apache Struts ParametersInterceptor ClassLoader Security Bypass（CVE-2014-0094，CVE-2014-0112，CVE-2014-0113，CVE-2014-0114） ——Apache Struts中存在安全繞過漏洞。該漏洞是由于對 ParametersInterceptor 處理的數據的驗證不充分，從而允許操縱類加載器。遠程攻擊者可以通過在請求中提供類參數來利用此漏洞。

4. ? Web 服務器惡意 URL 目錄遍歷（CVE-2010-4598，CVE-2011-2474，CVE-2014-0130，CVE-2014-0780，CVE-2015-0666，CVE-2015-4068，CVE-2015-7254，CVE-2016-4523，CVE-2016-8530，CVE-2017-11512，CVE-2018-3948，CVE-2018-3949，CVE-2019-18952，CVE-2020-5410，CVE-2020-8260）——那里在不同的 Web 服務器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務器中的輸入驗證錯誤未正確清理目錄遍歷模式的URI。成功利用允許未經身份驗證的遠程攻擊者泄露或訪問易受攻擊的服務器上的任意文件。

5.↓HTTP標頭遠程代碼執行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756）——HTTP標頭允許客戶端和服務器通過 HTTP 請求傳遞附加信息。遠程攻擊者可能使用易受攻擊的 HTTP 標頭在受害機器上運行任意代碼。

6.↑通過HTTP進行命令注入——報告了通過HTTP的命令注入漏洞。遠程攻擊者可以通過向受害者發送特制請求來利用此問題。成功的利用將允許攻擊者在目標機器上執行任意代碼。

7.↓MVPower DVR 遠程代碼執行——MVPowerDVR設備中存在遠程代碼執行漏洞。遠程攻擊者可以利用此弱點通過精心制作的請求在受影響的路由器中執行任意代碼。

8.↑WordPress 便攜式 phpMyAdmin 插件身份驗證繞過 （CVE-2012-5469） ——WordPress便攜式phpMyAdmin插件中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并未經授權訪問受影響的系統。

9.↓Dasan GPON 路由器繞過身份驗證 （CVE-2018-10561） ——Dasan GPON路由器中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并未經授權訪問受影響的系統。

10.↓復活節彩蛋信息披露——PHP頁面中報告了一個信息泄露漏洞。該漏洞是由于Web服務器配置不正確造成的。遠程攻擊者可以通過向受影響的PHP頁面發送特制 URL 來利用此漏洞。

頂級移動惡意軟件

本月AlienBot是最流行的移動惡意軟件，其次是FluBot和xHelper。

1.AlienBot——AlienBot 惡意軟件系列是用于 Android 設備的惡意軟件即服務（MaaS），它允許遠程攻擊者首先將惡意代碼注入合法的金融應用程序。攻擊者獲得對受害者賬戶的訪問權限，并最終完全控制他們的設備。

2.FluBot——FluBot 是一種通過網絡釣魚短信 （Smishing） 分發的 Android 惡意軟件，最常冒充物流配送品牌。一旦用戶單擊消息中的鏈接，他們就會被重定向到下載包含 FluBot 的虛假應用程序。安裝后，該惡意軟件具有獲取憑據并支持Smishing 操作本身的各種功能，包括上傳聯系人列表以及向其他電話號碼發送 SMS 消息。

3.xHelper——自2019年3月以來在野外出現的惡意應用程序，用于下載其他惡意應用程序和顯示廣告。該應用程序能夠對用戶隱藏自身并在被卸載時重新安裝自身。