利用中文程序漏洞传播的PlugX恶意软件
研究人员观察到威胁行为者利用中国远程控制程序Sunlogin和Awesun中的漏洞部署PlugX恶意软件。
ASEC(AhnLab 安全应急响应中心)的研究人员观察到威胁行为者通过利用中国远程控制软件Sunlogin和Awesun中的漏洞来部署PlugX恶意软件。
Sunlogin RCE漏洞(CNVD-2022-10270/CNVD-2022-03672) 自漏洞利用代码被披露以来已知被威胁参与者利用。过去,该问题曾被用于攻击以交付Sliver C2、XMRig CoinMiner和Gh0st RAT。
“相同的威胁参与者对Sunlogin和AweSun进行了 RCE 漏洞利用,以安装Sliver C2。”。
PlugX后门自2008年以来已被多个与中国有关的APT组织使用,包括Mustang Panda、Winnti和APT41
在ASEC观察到的攻击中,一旦利用了该漏洞,威胁行为者就会执行PowerShell命令来创建一个名为esetservice.exe的文件。
esetservice.exe实际上是安全公司 ESET 制作的合法HTTP服务器服务程序。除esetservice.exe,攻击者还下载了一个名为http_dll.dll的文件。
http_dll.dll在经典的DLL侧载攻击中被放置在同一目录中时由esetservice.exe调用。

DLL充当PlugX恶意软件的加载程序,数据文件包含实际编码的恶意软件。
专家指出,新功能正在被添加到PlugX恶意软件中,威胁行为者利用它来获得对受感染系统的完全控制。攻击者使用后门进行范围广泛的恶意活动,包括记录关键输入、截取屏幕截图和安装其他恶意软件。
“因此,用户必须将他们安装的软件更新到最新版本,以先发制人地防止漏洞利用。此外,应将V3更新到最新版本,以防止恶意软件感染。”。
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4879.html