黑客利用远程桌面软件漏洞部署PlugX恶意软件

远程桌面程序(如Sunlogin和AweSun)中的安全漏洞正被威胁行为者用来部署PlugX恶意软件。
AhnLab安全紧急响应中心 (ASEC) 在一项新的分析中表示,这标志着继续滥用这些漏洞在受感染的系统上提供各种有效载荷。
这包括Sliver 后期开发框架、XMRig 加密货币矿工、Gh0st RAT和Paradise勒索软件。PlugX是该列表中的最新成员。
模块化恶意软件已被中国的威胁行为者广泛使用,并不断添加新功能以帮助执行系统控制和信息窃取。
在ASEC观察到的攻击中,成功利用这些缺陷之后会执行从远程服务器检索可执行文件和DLL文件的PowerShell命令。

该可执行文件是来自网络安全公司ESET的合法HTTP服务器服务,用于通过称为DLL侧加载的技术加载DLL文件,并最终在内存中运行PlugX有效负载。
Security Joes在2022年9月的一份报告中指出:“PlugX运营商使用多种易受DLL侧加载攻击的受信任二进制文件,包括大量防病毒可执行文件。 ”“这已被证明在感染受害者时是有效的。”
该后门还以其启动任意服务、从外部源下载和执行文件以及使用远程桌面协议(RDP)获取数据和传播的插件的能力而著称。
ASEC 说:“直到今天,新功能仍在添加到 [PlugX],因为它继续在攻击中得到稳定使用。”“安装后门PlugX后,威胁行为者可以在用户不知情的情况下控制受感染的系统。”
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4846.html