利用中文程序漏洞传播的PlugX恶意软件

研究人员观察到威胁行为者利用中国远程控制程序Sunlogin和Awesun中的漏洞部署PlugX恶意软件。

ASEC（AhnLab 安全应急响应中心）的研究人员观察到威胁行为者通过利用中国远程控制软件Sunlogin和Awesun中的漏洞来部署PlugX恶意软件。

Sunlogin RCE漏洞(CNVD-2022-10270/CNVD-2022-03672) 自漏洞利用代码被披露以来已知被威胁参与者利用。过去，该问题曾被用于攻击以交付Sliver C2、XMRig CoinMiner和Gh0st RAT。

“相同的威胁参与者对Sunlogin和AweSun进行了 RCE 漏洞利用，以安装Sliver C2。”。

PlugX后门自2008年以来已被多个与中国有关的APT组织使用，包括Mustang Panda、Winnti和APT41

在ASEC观察到的攻击中，一旦利用了该漏洞，威胁行为者就会执行PowerShell命令来创建一个名为esetservice.exe的文件。

esetservice.exe实际上是安全公司 ESET 制作的合法HTTP服务器服务程序。除esetservice.exe，攻击者还下载了一个名为http_dll.dll的文件。

http_dll.dll在经典的DLL侧载攻击中被放置在同一目录中时由esetservice.exe调用。

DLL充当PlugX恶意软件的加载程序，数据文件包含实际编码的恶意软件。

专家指出，新功能正在被添加到PlugX恶意软件中，威胁行为者利用它来获得对受感染系统的完全控制。攻击者使用后门进行范围广泛的恶意活动，包括记录关键输入、截取屏幕截图和安装其他恶意软件。

“因此，用户必须将他们安装的软件更新到最新版本，以先发制人地防止漏洞利用。此外，应将V3更新到最新版本，以防止恶意软件感染。”。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4879.html