导 读
网络安全研究人员发现了一个广告软件模块,该模块旨在阻止广告和恶意网站,同时秘密卸载内核驱动程序组件,使攻击者能够在 Windows 主机上提升权限运行任意代码。
根据 ESET 的最新发现,这种被称为 HotPage 的恶意软件的名称取自同名安装程序(“HotPage.exe”),ESET 于 2023 年底发现了该恶意软件。
ESET 研究员 Romain Dumont在今天发布的技术分析报告(https://www.welivesecurity.com/en/eset-research/hotpage-story-signed-vulnerable-ad-injecting-driver/)中表示,安装程序“部署了一个能够将代码注入远程进程的驱动程序,以及两个能够拦截和篡改浏览器网络流量的库”。
“该恶意软件可以修改或替换所请求页面的内容,将用户重定向到另一个页面,或根据某些条件在新选项卡中打开新页面。”
除了利用其浏览器流量拦截和过滤功能来显示与游戏相关的广告之外,它还旨在收集和泄露系统信息到与一家名为湖北盾网网络科技有限公司的中国公司相关联的远程服务器。
这是通过驱动程序实现的,其主要目的是将库注入浏览器应用程序并改变其执行流程以更改正在访问的 URL 或确保新 Web 浏览器实例的主页重定向到配置中指定的 URL。
不仅如此,由于该驱动程序没有任何访问控制列表 ( ACL ),因此拥有非特权帐户的攻击者可以利用它来提升权限并以 NT AUTHORITYSystem 帐户身份运行代码。
Dumont 表示:“该内核组件无意中为其他威胁打开了大门,使其能够以 Windows 操作系统中可用的最高权限级别(即系统帐户)运行代码。由于对该内核组件的访问限制不当,任何进程都可以与其通信,并利用其代码注入功能来攻击任何未受保护的进程。”
安装程序工作流程
简化的驱动程序逻辑
虽然安装程序分发的具体方法尚不清楚,但ESET收集的证据表明,它被宣传为网吧安全解决方案,旨在通过阻止广告来改善用户的浏览体验。
嵌入式驱动程序值得注意的是它是由微软签名的。据信这家中国公司已经通过了微软的驱动程序代码签名要求,并成功获得了扩展验证 (EV) 证书。自 2024 年 5 月 1 日起,它已从Windows Server 目录中删除。
内核模式驱动程序需要经过数字签名才能由 Windows 操作系统加载,这是微软建立的重要防御层,旨在防止可能被武器化以破坏安全控制并干扰系统进程的恶意驱动程序。
思科 Talos去年 7 月透露了攻击者如何利用微软 Windows 策略漏洞来伪造内核模式驱动程序的签名。
ESET研究员说:“对这种看上去相当普通的恶意软件的分析再次证明,广告软件开发人员仍然愿意付出更多努力来实现他们的目标。”
“不仅如此,他们还开发了一个内核组件,其中包含大量操纵进程的技术,而且他们还满足了微软的要求,为其驱动程序组件获得了代码签名证书。”
新闻链接:
https://thehackernews.com/2024/07/alert-hotpage-adware-disguised-as-ad.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
亲胡塞组织利用 Android 间谍软件攻击也门援助组织
https://thehackernews.com/2024/07/pro-houthi-group-targets-yemen-aid.html
伊朗APT组织 MuddyWater 近期攻击活动中部署了新的 BugSleep 后门
https://research.checkpoint.com/2024/new-bugsleep-backdoor-deployed-in-recent-muddywater-campaigns/
网络研究人员称,自去年 10 月 7 日以来,针对以色列组织的攻击“增加了一倍以上”
https://therecord.media/attacks-israeli-orgs-double
朝鲜黑客更新 BeaverTail 恶意软件,以 MacOS 用户为目标
https://thehackernews.com/2024/07/north-korean-hackers-update-beavertail.html
TAG-100:未知黑客组织利用开源工具进行疑似网络间谍攻击活动
https://thehackernews.com/2024/07/tag-100-new-threat-actor-uses-open.html
一般威胁事件
General Threat Incidents
CrowdStrikeFalcon 更新不当导致全球重大 IT 中断
https://www.pcmag.com/news/massive-microsoft-outage-bricks-computers-halts-flights-worldwide
澳大利亚数字处方服务提供商 MediSecure 遭受勒索软件攻击,1290 万人信息泄露
https://securityaffairs.com/165932/security/medisecure-databreach-12-9m-individuals.html
官员称田纳西州孟菲斯市因网络钓鱼诈骗损失 77.3 万美元
https://www.fox13memphis.com/news/city-of-memphis-lost-773k-in-phishing-scam-officials-say/article_c9836196-4449-11ef-a184-e7ec757b5bc6.html
警报:伪装成广告拦截器的 HotPage 广告软件会安装恶意内核驱动程序
https://thehackernews.com/2024/07/alert-hotpage-adware-disguised-as-ad.html
攻击者将恶意负载隐藏在看似合法的Python 包
https://cybersecuritynews.com/malware-via-jpeg-files/
趋势科技发现 Play 勒索软件组织部署一种针对 ESXi 环境的新 Linux 勒索变种
https://www.trendmicro.com/en_us/research/24/g/new-play-ransomware-linux-variant-targets-esxi-shows-ties-with-p.html
船舶经销商 MarineMax 表示,最近勒索软件攻击造成的数据泄露影响了超过 123,000 人
https://www.securityweek.com/marinemax-notifying-123000-of-data-breach-following-ransomware-attack/
专家揭秘“麒麟”勒索软件的复杂攻击手段
https://www.infosecurity-magazine.com/news/qilin-ransomwares-tactics-unveiled/
Revolver Rabbit 团伙注册了 500,000 个域名用于恶意软件活动
https://www.bleepingcomputer.com/news/security/revolver-rabbit-gang-registers-500-000-domains-for-malware-campaigns/
攻击者滥用 URL 保护服务来隐藏电子邮件中的钓鱼链接
https://www.csoonline.com/article/2519035/attackers-abuse-url-protection-services-to-hide-phishing-links-in-emails.html
苹果就 iPhone 网络钓鱼和间谍软件攻击发出新警告
https://etedge-insights.com/technology/cyber-security/apple-issues-new-warning-on-iphone-phishing-and-spyware-attacks/
90% 的网络攻击都是由于人类的弱点而发生的
https://telecomreseller.com/2024/07/17/9-out-of-10-cyberattacks/
Drive-by Download攻击成为 FakeBat 恶意软件的传播媒介
https://securityboulevard.com/2024/07/drive-by-download-attacks-become-distribution-medium-for-fakebat-malware/
漏洞事件
Vulnerability Incidents
Ivanti 发布针对高危端点管理器漏洞的修补程序
https://www.securityweek.com/ivanti-issues-hotfix-for-high-severity-endpoint-manager-vulnerability/
CISA 警告攻击者正在积极利用三个新漏洞
https://natlawreview.com/article/cisa-warns-three-new-vulnerabilities-actively-exploited-threat-actors
SolarWinds 修补访问权限管理器软件中的 8 个严重缺陷
https://thehackernews.com/2024/07/solarwinds-patches-11-critical-flaws-in.html
Adobe Commerce 漏洞(CVE-2024-34102,CVSS 评分为 9.8)近期遭野外利用
https://www.securityweek.com/recent-adobe-commerce-vulnerability-exploited-in-wild/
SAP AI Core 漏洞允许服务接管、客户数据访问
https://www.securityweek.com/sap-ai-core-vulnerabilities-allowed-service-takeover-customer-data-access/
思科修补安全电子邮件网关 SSM 中的多个严重漏洞
https://www.securityweek.com/cisco-patches-critical-vulnerabilities-in-secure-email-gateway-ssm/
SAP AI Core 漏洞导致客户数据遭受网络攻击
https://thehackernews.com/2024/07/sap-ai-core-vulnerabilities-expose.html
Port Shadow攻击允许 VPN 流量拦截和重定向
https://www.securityweek.com/port-shadow-attack-allows-vpn-traffic-interception-redirection/
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):伪装成广告拦截器的 HotPage 广告软件会安装恶意内核驱动程序
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论