微軟7月份的周二發布了更新，以解決其軟件中總共132 個新的安全漏洞，其中包括 6 個據稱已被廣泛利用的零日漏洞。在 132 個漏洞中，有 9 個漏洞被評為“嚴重”，122 個漏洞的嚴重程度被評為“重要”，還有 1 個漏洞的嚴重程度評級為“無”。除此之外，這家科技巨頭上月底還修復了其基于 Chromium 的 Edge 瀏覽器中的八個缺陷。

回顧過去一個月，6月份依然是精彩紛呈。

Qbot 最初于 2008 年作為銀行木馬出現，經過不斷的發展，獲得了額外的功能，用于竊取密碼、電子郵件和信用卡詳細信息。它通常通過垃圾郵件傳播，并采用反虛擬機、反調試和反沙箱方法等各種技術來阻礙分析并避免檢測。目前，其主要作用是充當其他惡意軟件的加載程序并在目標組織中建立存在，作為勒索軟件組織運營商的墊腳石。

與此同時，研究人員發現了一種多產的移動惡意軟件，迄今為止已累計下載 4.21 億次。上個月，木馬軟件開發工具包 (SDK) SpinOk 首次躋身移動惡意軟件家族之首。該惡意軟件被許多流行的應用程序用于營銷目的，已滲透到非常流行的應用程序和游戲中，其中一些可以在 Google Play 商店中找到。SpinOk 惡意軟件能夠從設備竊取敏感信息并監控剪貼板活動，對用戶隱私和安全構成嚴重威脅，凸顯了采取主動措施保護個人數據和移動設備的必要性。它還清楚地提醒我們軟件供應鏈攻擊的破壞性潛力。

上個月還發起了大規模勒索軟件活動，影響了全球組織。2023 年 5 月，Progress Software Corporation 披露了MOVEit Transfer 和 MOVEit Cloud 中的一個漏洞(CVE-2023-34362)，該漏洞可能允許未經授權的環境訪問。盡管該漏洞在 48 小時內得到了修復，但與俄羅斯附屬勒索軟件組織 Clop 相關的網絡犯罪分子還是利用了該漏洞，對 MOVEit 用戶發起了供應鏈攻擊。迄今為止，事件發生后，包括七所美國大學在內的 108 個組織已被公開列出，并獲得了成百上千條記錄。

MOVEit 漏洞證明 2023 年已經成為勒索軟件的重要一年。像 Clop 這樣的知名組織并沒有采取戰術感染單個目標，而是通過利用專業環境中廣泛使用的軟件來提高其行動效率。這意味著他們可以在一次攻擊中接觸到數百名受害者，這強調了公司實施多層網絡安全策略并在漏洞披露時優先修補的重要性。

“Web 服務器惡意 URL 目錄遍歷”是上個月最常被利用的漏洞，影響了全球 51% 的組織，其次是“Apache Log4j 遠程代碼執行”，影響了全球 46% 的組織。“HTTP 標頭遠程執行代碼”是第三大最常用的漏洞，全球影響率為 44%。

2023年6月“十惡不赦”

*箭頭表示與上個月相比的排名變化。

Qbot是上個月最流行的惡意軟件，影響了全球 7% 的組織，其次是Formbook，影響了全球 4%，Emotet影響了全球 3%。

? Qbot – Qbot 又稱 Qakbot 是一種多用途惡意軟件，首次出現于 2008 年。它旨在竊取用戶的憑據、記錄擊鍵、竊取瀏覽器的 cookie、監視銀行活動以及部署其他惡意軟件。Qbot 通常通過垃圾郵件進行分發，它采用多種反虛擬機、反調試和反沙箱技術來阻礙分析和逃避檢測。

? Formbook – Formbook 是一種針對 Windows 操作系統的信息竊取程序，于 2016 年首次被發現。由于其強大的規避技術和相對較低的價格，它在地下黑客論壇中以惡意軟件即服務 (MaaS) 的形式進行銷售。FormBook 從各種 Web 瀏覽器獲取憑據、收集屏幕截圖、監視和記錄擊鍵，并可以根據其 C&C 的命令下載和執行文件。

↑ Emotet – Emotet 是一種先進的、自我傳播的模塊化木馬。Emotet 曾經被用作銀行木馬，最近已成為其他惡意軟件或惡意活動的傳播者。它使用多種方法來維持持久性和逃避技術來避免檢測。此外，它還可以通過包含惡意附件或鏈接的網絡釣魚垃圾郵件進行傳播。

? GuLoader – Guloader 是一款自 2019 年 12 月以來廣泛使用的下載器。當它首次出現時，GuLoader 用于下載 Parallax RAT，但已應用于其他遠程訪問木馬和信息竊取程序，例如 Netwire、FormBook 和 Agent Tesla 。

↑ XMRig – XMRig 是用于挖掘 Monero 加密貨幣的開源 CPU 挖掘軟件。威脅行為者經常濫用這種開源軟件，將其集成到他們的惡意軟件中，在受害者的設備上進行非法挖礦。

↓ AgentTesla – AgentTesla 是一種高級 RAT，充當鍵盤記錄器和信息竊取程序，能夠監視和收集受害者的鍵盤輸入、系統鍵盤、截取屏幕截圖以及竊取受害者計算機上安裝的各種軟件的憑據（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）。

^ Remcos – Remcos 是一種于 2016 年首次出現的 RAT。Remcos 通過惡意 Microsoft Office 文檔進行傳播，這些文檔附加在垃圾郵件中，旨在繞過 Microsoft Windows 的 UAC 安全性并以高級權限執行惡意軟件。

↑ Nanocore – NanoCore 是一種針對 Windows 操作系統用戶的遠程訪問木馬，于 2013 年首次在野外發現。所有版本的 RAT 都包含基本插件和功能，例如屏幕捕獲、加密貨幣挖掘、遠程控制桌面和網絡攝像頭會話盜竊。

↓ Lokibot – LokiBot 于 2016 年 2 月首次被發現，是一種商品信息竊取程序，具有適用于 Windows 和 Android 操作系統的版本。它從各種應用程序、Web 瀏覽器、電子郵件客戶端、PuTTY 等 IT 管理工具中收集憑據。LokiBot 在黑客論壇上出售，據信其源代碼已被泄露，從而導致出現了眾多變種。自 2017 年底以來，LokiBot 的某些 Android 版本除了信息竊取功能外還包含勒索軟件功能。

↓ NJRat – NJRat 是一種遠程訪問木馬，主要針對中東的政府機構和組織。該木馬于 2012 年首次出現，具有多種功能：捕獲擊鍵、訪問受害者的攝像頭、竊取瀏覽器中存儲的憑據、上傳和下載文件、執行進程和文件操作以及查看受害者的桌面。NJRat 通過網絡釣魚攻擊和偷渡式下載感染受害者，并在命令與控制服務器軟件的支持下通過受感染的 USB 密鑰或網絡驅動器進行傳播。

全球受攻擊最多的行業Top 3

上個月，教育/研究仍然位居全球最受開發行業的首位，其次是政府/軍事和醫療保健。

1. 教育/研究
2. 政府/軍隊
3. 衛生保健

 最常被利用的漏洞

上個月，“Web 服務器惡意 URL 目錄遍歷”是最常被利用的漏洞，影響了全球51%的組織，其次是“Apache Log4j 遠程代碼執行”，影響了全球46%的組織。“HTTP 標頭遠程執行代碼”是第三大最常用的漏洞，全球影響率為44%。

1. ? Web 服務器惡意 URL 目錄遍歷 –不同 Web 服務器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務器中的輸入驗證錯誤導致的，該錯誤未正確清理目錄遍歷模式的 URI。成功利用此漏洞允許未經身份驗證的遠程攻擊者披露或訪問易受攻擊的服務器上的任意文件。
2. ? Apache Log4j 遠程執行代碼 (CVE-2021-44228) – Apache Log4j 中存在遠程代碼執行漏洞。成功利用此漏洞可能允許遠程攻擊者在受影響的系統上執行任意代碼。
3. ? HTTP 標頭遠程代碼執行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） – HTTP 標頭允許客戶端和服務器通過 HTTP 請求傳遞附加信息。遠程攻擊者可能使用易受攻擊的 HTTP 標頭在受害計算機上運行任意代碼。
4. ↑ Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561) – Dasan GPON 路由器中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并對受影響的系統進行未經授權的訪問。
5. ↓ MVPower CCTV DVR 遠程執行代碼 (CVE-2016-20016) - MVPower CCTV DVR 中存在遠程執行代碼漏洞。成功利用此漏洞可能允許遠程攻擊者在受影響的系統上執行任意代碼。
6. ↑ F5 BIG-IP 遠程代碼執行 (CVE-2021-22986) – F5 BIG-IP 設備中存在遠程代碼執行漏洞。成功利用此漏洞可能允許遠程攻擊者在受影響的系統上執行任意代碼。
7. ↑ PHP 復活節彩蛋信息泄露 (CVE-2015-2051) – PHP 頁面中報告了一個信息泄露漏洞。該漏洞是由于不正確的 Web 服務器配置造成的。遠程攻擊者可以通過向受影響的 PHP 頁面發送特制 URL 來利用此漏洞。
8. ? HTTP 命令注入（CVE-2021-43936、CVE-2022-24086） – 已報告 HTTP 命令注入漏洞。遠程攻擊者可以通過向受害者發送特制請求來利用此問題。成功利用該漏洞將允許攻擊者在目標計算機上執行任意代碼。
9. ↑ WordPress portable-phpMyAdmin 插件身份驗證繞過 (CVE-2012-5469) – WordPress portable-phpMyAdmin 插件中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并對受影響的系統進行未經授權的訪問。
10. ↓ OpenSSL TLS DTLS 心跳信息泄露（CVE-2014-0160、CVE-2014-0346） - 該漏洞又名 Heartbleed，是由于處理 TLS/DTLS 心跳數據包時出現錯誤造成的。攻擊者可以利用此漏洞泄露所連接的客戶端或服務器的內存內容。

移動惡意軟件Top 3

上個月，SpinOk在最流行的移動惡意軟件中排名第一，其次是Anubis和AhMyth。

1. SpinOk – SpinOk 是一個作為間諜軟件運行的 Android 軟件模塊。它收集有關設備上存儲的文件的信息，并能夠將它們傳輸給惡意威脅參與者。截至 5 月 23 日，該惡意模塊存在于 100 多個 Android 應用程序中，下載量超過 4.21 億次。
2. Anubis – Anubis 是一種專為 Android 手機設計的銀行木馬惡意軟件。自最初檢測到以來，它已獲得了額外的功能，包括遠程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能和各種勒索軟件功能。Google 商店中數百個不同的應用程序已檢測到該病毒。
3. AhMyth – AhMyth 是 2017 年發現的遠程訪問木馬 (RAT)。它通過 Android 應用程序分發，可在應用程序商店和各種網站上找到。當用戶安裝這些受感染的應用程序之一時，惡意軟件可以從設備收集敏感信息并執行鍵盤記錄、截圖、發送短信和激活攝像頭等操作，這些操作通常用于竊取敏感信息。