威胁参与者正在利用 Sunlogin 软件中的已知缺陷来部署 Sliver 命令和控制 (C2) 框架来执行攻击后活动。
调查结果来自AhnLab安全应急响应中心(ASEC),该中心发现,在中国开发的远程桌面程序Sunlogin的安全漏洞正被滥用于部署各种有效载荷。“威胁行为者不仅使用Sliver后门,而且还使用BYOVD(自带易受攻击的驱动程序)恶意软件使安全产品丧失能力并安装反向外壳,”研究人员说。
攻击链首先利用 v11.0.0.33 之前的 Sunlogin 版本(CNVD-2022-03672 和 CNVD-2022-10270)中的两个远程代码执行错误,然后提供银子或其他恶意软件,例如 Gh0st RAT 和 XMRig 加密硬币矿工。
在一个实例中,据说威胁行为者已经将Sunlogin漏洞武器化,以安装PowerShell脚本,该脚本反过来又采用BYOVD技术使系统中安装的安全软件失效,并使用Powercat丢弃反向外壳。
BYOVD 方法滥用合法但易受攻击的 Windows 驱动程序 mhyprot2.sys,该驱动程序使用有效证书进行签名,以获取提升的权限并终止防病毒进程。
值得注意的是,正如趋势科技所披露的那样,Genshin Impact 视频游戏的反作弊驱动程序以前被用作勒索软件部署的先驱。
研究人员说:“目前还无法确认它是否由同一个威胁行为者完成,但几个小时后,日志显示通过Sunlogin RCE漏洞利用在同一系统上安装了Sliver后门。
调查结果显示,威胁行为者正在采用基于Go的合法渗透测试工具Sliver作为Cobalt Strike和Metasploit的替代品。“Sliver提供了所需的分步功能,如帐户信息盗窃,内部网络移动以及超越公司内部网络,就像Cobalt Strike一样,”研究人员总结道。
原文始发于微信公众号(黑猫安全):黑客利用向日葵中的漏洞部署银子 C2 框架
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论