Adobe 發布了六個補丁，解決了 Adobe Illustrator、InDesign、InCopy、Bridge、Robohelp 和 Animate 中的 46 個 CVE。最大的更新屬于Illustrator，總共解決了 17 個 CVE。如果受影響的系統打開特制文件，這些錯誤中最嚴重的可能會允許執行代碼。其中許多錯誤屬于越界 (OOB) 寫入類別。Adobe Bridge的更新修復了 12 個錯誤，其中 11 個被評為嚴重。InCopy的補丁修復了八個嚴重級別的錯誤，所有這些錯誤都可能導致任意代碼執行。同樣，InDesign補丁修復了七個嚴重的任意代碼執行錯誤。對于 InDesign 和 InCopy，錯誤是 OOB 讀取、OOB 寫入、堆溢出和釋放后使用 (UAF) 漏洞的混合。Animate補丁修復的唯一錯誤也是嚴重級別的 OOB 寫入，可能導致任意代碼執行。最后，Robohelp補丁修復了一個因授權不當導致的中等級別的提權漏洞。

Adobe 本月修復的所有錯誤均未列為公開已知或在發布時受到主動攻擊。Adobe 將這些更新歸類為優先級 3。

我們 2022 年 5 月的全球威脅指數顯示，Emotet 是一種先進的、自我傳播的模塊化木馬，仍然是影響全球 8% 組織的最流行的惡意軟件，由于多次廣泛的活動，比上個月略有增加。

Emotet 是一種敏捷的惡意軟件，由于其不被發現的能力而被證明是有利可圖的。它的持久性也使得一旦設備被感染就很難被移除，使其成為網絡犯罪分子武器庫中的完美工具。它最初是一種銀行木馬，通常通過網絡釣魚電子郵件分發，并且能夠提供其他惡意軟件，從而增強其造成廣泛破壞的能力。

本月，Snake Keylogger 在該指數中長期缺席后躍升至第 8 位。Snake 的主要功能是記錄用戶擊鍵并將收集到的數據傳輸給威脅參與者。它通常通過包含帶有惡意宏的 docx 或 xlsx 附件的電子郵件傳播，但是本月研究人員報告說 Snake Keylogger 已通過 PDF 文件傳播。這可能部分是由于微軟在 Office 中默認阻止互聯網宏，這意味著網絡犯罪分子必須變得更有創造力，探索新的文件類型，例如 PDF。事實證明，這種傳播惡意軟件的罕見方式非常有效，因為有些人認為 PDF 本質上比其他文件類型更安全。

正如最近的 Snake Keylogger 活動所表明的那樣，我們在網上所做的一切都會使我們面臨網絡攻擊的風險，打開 PDF 文檔也不例外。病毒和惡意可執行代碼可能潛伏在多媒體內容和鏈接中，一旦用戶打開 PDF，惡意軟件攻擊（在本例中為 Snake Keylogger）就可以攻擊。因此，就像我們會質疑 docx 或 xlsx 電子郵件附件的合法性一樣，我們也必須對 PDF 采取同樣的謹慎態度。在當今的環境中，對于組織而言，擁有一個強大的電子郵件安全解決方案來隔離和檢查附件，從一開始就防止任何惡意文件進入網絡，變得前所未有的重要。

我們的研究還顯示，“Web 服務器惡意 URL 目錄遍歷”是最常被利用的漏洞，影響了全球 46% 的組織，緊隨其后的是“Apache Log4j 遠程代碼執行”，其全球影響為 46%。《Web Server Exposed Git Repository Information Disclosure》以 45% 的全球影響位居第三。教育和研究部門仍然是全球網絡犯罪分子最有針對性的行業。?

2022年5月“十惡不赦”

*箭頭表示與上個月相比排名的變化。

本月，Emotet 仍然是最受歡迎的惡意軟件，全球影響率為 8%，其次是 Formbook，影響率為 2%，AgentTesla 影響全球 2% 的組織。

1. ? Emotet – Emotet 是一種先進的、自我傳播的模塊化木馬。Emotet 曾經被用作銀行木馬，但最近被用作其他惡意軟件或惡意活動的分發者。它使用多種方法來維護持久性和規避技術以避免檢測。此外，它還可以通過包含惡意附件或鏈接的網絡釣魚垃圾郵件進行傳播。
2. ? Formbook – Formbook 是針對 Windows 操作系統的信息竊取程序，于 2016 年首次被發現。由于其強大的規避技術和相對較低的價格，它在地下黑客論壇中以惡意軟件即服務 (MaaS) 的形式銷售。FormBook 從各種 Web 瀏覽器中獲取憑據，收集屏幕截圖、監控和記錄擊鍵，并可以根據其 C&C 的命令下載和執行文件。
3. ? Agent Tesla – Agent Tesla 是一種高級 RAT，可用作鍵盤記錄器和信息竊取器，能夠監控和收集受害者的鍵盤輸入、系統鍵盤、截屏以及將憑據泄露到安裝在受害者機器上的各種軟件 (包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook。）
4. ↑ Lokibot – LokiBot 于 2016 年 2 月首次被發現，是一種商品信息竊取器，具有 Windows 和 Android 操作系統版本。它從各種應用程序、Web 瀏覽器、電子郵件客戶端和 IT 管理工具（如 PuTTY）中獲取憑據。LokiBot 在黑客論壇上出售，據信其源代碼已泄露，因此出現了許多變種。自 2017 年底以來，一些 Android 版本的 LokiBot 除了信息竊取功能外，還包括勒索軟件功能。
5. ↓ XMRig – XMRig 是一款開源 CPU 挖掘軟件，用于挖掘 Monero 加密貨幣。威脅者經常濫用這種開源軟件，將其集成到他們的惡意軟件中，在受害者的設備上進行非法挖掘。
6. ? Glupteba – Glupteba 是一個后門，逐漸成熟為僵尸網絡。到 2019 年，它包括一個通過公共比特幣列表的 C&C 地址更新機制、一個完整的瀏覽器竊取功能和一個路由器漏洞利用程序。
7. ? Ramnit – Ramnit 是一種模塊化銀行木馬，于 2010 年首次發現。Ramnit 竊取 Web 會話信息，使其運營商能夠竊取受害者使用的所有服務的賬戶憑據，包括銀行賬戶、公司和社交網絡賬戶。該木馬使用硬編碼域以及由 DGA（域生成算法）生成的域來聯系 C&C 服務器并下載其他模塊。
8. ↑ SnakeKeylogger- Snake 是一個模塊化的 .NET 鍵盤記錄器和憑據竊取器，于 2020 年 11 月下旬首次被發現；它的主要功能是記錄用戶擊鍵并將收集到的數據傳輸給威脅參與者。Snake 感染對用戶的隱私和在線安全構成重大威脅，因為該惡意軟件可以竊取幾乎所有類型的敏感信息，并且是一種特別具有規避性和持久性的鍵盤記錄器。
9. ↓ Phorpiex – Phorpiex 是一個僵尸網絡（又名 Trik），自 2010 年以來就已經出現，并在其高峰期控制了超過 100 萬臺受感染的主機。它以通過垃圾郵件活動分發其他惡意軟件系列以及助長大規模垃圾郵件和性勒索活動而聞名。
10. ? Remcos- Remcos 是 2016 年首次出現在野外的 RAT。Remcos 通過附加到垃圾郵件的惡意 Microsoft Office 文檔進行傳播，旨在繞過 Microsoft Windows UAC 安全并以高級權限執行惡意軟件。

全球受攻擊最多的行業

本月教育/研究是全球受攻擊最多的行業，其次是政府/軍事和互聯網服務提供商和托管服務提供商 (ISP & MSP)。

1. 教育與研究
2. 政府和軍隊
3. 互聯網服務提供商和托管服務提供商 (ISP & MSP)

5月份漏洞Top10?

本月，“Web 服務器惡意 URL 目錄遍歷”是最常被利用的漏洞，影響了全球 46% 的組織，緊隨其后的是“Apache Log4j 遠程代碼執行”，其全球影響率為 46%。《Web Server Exposed Git Repository Information Disclosure》以 45% 的全球影響位居第三。

1. ↑ Web 服務器惡意 URL 目錄遍歷 (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260)-那里在不同的 Web 服務器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務器中的輸入驗證錯誤未正確清理目錄遍歷模式的 URI。成功利用允許未經身份驗證的遠程攻擊者泄露或訪問易受攻擊的服務器上的任意文件。
2. ? Apache Log4j 遠程代碼執行 (CVE-2021-44228) – Apache Log4j 中存在遠程代碼執行漏洞。成功利用此漏洞可能允許遠程攻擊者在受影響的系統上執行任意代碼。
3. ↓ Web Server Exposed Git Repository Information Disclosure – Git Repository 中報告了一個信息泄露漏洞。成功利用此漏洞可能會無意中泄露帳戶信息。
4. ↑ HTTP 標頭遠程代碼執行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） ——HTTP 標頭允許客戶端和服務器通過 HTTP 請求傳遞附加信息。遠程攻擊者可能使用易受攻擊的 HTTP 標頭在受害者機器上運行任意代碼。
5. ↑ MVPower DVR 遠程代碼執行– MVPower DVR 設備中存在遠程代碼執行漏洞。遠程攻擊者可以利用此弱點通過精心制作的請求在受影響的路由器中執行任意代碼。
6. ↓ Apache Struts ParametersInterceptor ClassLoader Security Bypass (CVE-2014-0094,CVE-2014-0112,CVE-2014-0113,CVE-2014-0114) – Apache Struts 中存在安全繞過漏洞。該漏洞是由于對 ParametersInterceptor 處理的數據的驗證不充分，從而允許操縱 ClassLoader。遠程攻擊者可以通過在請求中提供類參數來利用此漏洞。
7. ↑ WordPress 便攜式 phpMyAdmin 插件身份驗證繞過 (CVE-2012-5469) – WordPress 便攜式 phpMyAdmin 插件中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并未經授權訪問受影響的系統。
8. ↑ Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561) - Dasan GPON 路由器中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并未經授權訪問受影響的系統。
9. ↑ PHP 復活節彩蛋信息披露- PHP 頁面中報告了一個信息披露漏洞。該漏洞是由于 Web 服務器配置不正確造成的。遠程攻擊者可以通過向受影響的 PHP 頁面發送特制 URL 來利用此漏洞。
10. ↑ Apache HTTP Server 目錄遍歷 (CVE-2021-41773) - Apache HTTP Server 中存在目錄遍歷漏洞。成功利用此漏洞可能允許攻擊者訪問受影響系統上的任意文件。

頂級移動惡意軟件

本月AlienBot是最流行的移動惡意軟件，其次是FluBot和xHelper。

1. AlienBot – AlienBot 惡意軟件系列是用于 Android 設備的惡意軟件即服務 (MaaS)，它允許遠程攻擊者首先將惡意代碼注入合法的金融應用程序。攻擊者獲得對受害者帳戶的訪問權限，并最終完全控制他們的設備。
2. FluBot – FluBot 是一種通過網絡釣魚短信 (Smishing) 分發的 Android 惡意軟件，最常冒充物流配送品牌。一旦用戶單擊消息中的鏈接，他們就會被重定向到下載包含 FluBot 的虛假應用程序。安裝后，該惡意軟件具有獲取憑據并支持 Smishing 操作本身的各種功能，包括上傳聯系人列表以及向其他電話號碼發送 SMS 消息。
3. xHelper – 自 2019 年 3 月以來在野外出現的惡意應用程序，用于下載其他惡意應用程序和顯示廣告。該應用程序能夠對用戶隱藏自己并在卸載的情況下重新安裝自己。