黑客利用向日葵軟件漏洞部署遠控木馬

發(fā)布時間 2023-02-08
外媒黑客新聞報道稱,惡意黑客正在利用向日葵(Sunlogin)軟件的已知漏洞來部署Silver C2框架,以實施后續(xù)入侵活動。
這一安全事件調(diào)查由韓國安全公司AhnLab的安全應(yīng)急響應(yīng)中心(ASEC)發(fā)布。該中心發(fā)現(xiàn),中國遠程桌面控制軟件向日葵的安全漏洞已遭到利用,攻擊者正借此部署各種惡意載荷。
研究人員表示,“惡意黑客不僅使用了Silver后門,還使用了BYOVD(自帶易受攻擊驅(qū)動程序)來破壞安全產(chǎn)品并安裝反向shell?!惫粽呤紫壤孟蛉湛鹶11.0.0.33及更早版本中的兩個遠程代碼執(zhí)行漏洞(CNVD-2022-03672 和 CNVD-2022-10270)打開局面,然后借此傳播Silver或其他惡意軟件,例如Gh0st RAT和XMRig加密貨幣采礦程序。
在相關(guān)案例中,惡意黑客據(jù)稱利用向日葵漏洞安裝了PowerShell腳本,該腳本又利用BYOVD技術(shù)使得系統(tǒng)中已安裝的安全軟件失效,最后使用Powercat投放了反向shell。BYOVD技術(shù)濫用了合法但卻易受攻擊的Windows驅(qū)動程序mhyprot2.sys。該驅(qū)動程序經(jīng)過有效證書的簽名,可獲得更高權(quán)限并終止反病毒進程。

1675837201_63e33f1166d212298d00b.png


值得注意的是,趨勢科技此前曾經(jīng)披露過,有攻擊者利用原神(Genshin Impact)游戲的反作弊驅(qū)動程序(包括mhyprot2.sys)部署勒索軟件。


研究人員指出,“目前還不確定,這次是否出自同一批惡意黑客之手,但幾個小時之后,日志顯示被攻擊系統(tǒng)確實由于向日葵遠程代碼執(zhí)行漏洞而被裝上了Silver后門?!睆恼{(diào)查結(jié)果來看,這批黑客打算利用由Go語言編寫的合法滲透測試工具Silver,替代以往的Cobalt Strike和Metasploit。
研究人員總結(jié)道,“Silver提供必要的分步功能,例如賬戶信息竊取、內(nèi)部網(wǎng)絡(luò)橫移以及企業(yè)內(nèi)網(wǎng)越界,跟Cobalt Strike非常相似?!?/section>