黑客利用远程桌面软件漏洞部署PlugX恶意软件

远程桌面程序（如Sunlogin和AweSun）中的安全漏洞正被威胁行为者用来部署PlugX恶意软件。

AhnLab安全紧急响应中心 (ASEC) 在一项新的分析中表示，这标志着继续滥用这些漏洞在受感染的系统上提供各种有效载荷。

这包括Sliver 后期开发框架、XMRig 加密货币矿工、Gh0st RAT和Paradise勒索软件。PlugX是该列表中的最新成员。

模块化恶意软件已被中国的威胁行为者广泛使用，并不断添加新功能以帮助执行系统控制和信息窃取。

在ASEC观察到的攻击中，成功利用这些缺陷之后会执行从远程服务器检索可执行文件和DLL文件的PowerShell命令。

该可执行文件是来自网络安全公司ESET的合法HTTP服务器服务，用于通过称为DLL侧加载的技术加载DLL文件，并最终在内存中运行PlugX有效负载。

Security Joes在2022年9月的一份报告中指出：“PlugX运营商使用多种易受DLL侧加载攻击的受信任二进制文件，包括大量防病毒可执行文件。 ”“这已被证明在感染受害者时是有效的。”

该后门还以其启动任意服务、从外部源下载和执行文件以及使用远程桌面协议(RDP)获取数据和传播的插件的能力而著称。

ASEC 说：“直到今天，新功能仍在添加到 [PlugX]，因为它继续在攻击中得到稳定使用。”“安装后门PlugX后，威胁行为者可以在用户不知情的情况下控制受感染的系统。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4846.html