外媒:黑客利用向日葵軟件漏洞部署遠控木馬
安全內參2月8日消息,外媒黑客新聞報道稱,惡意黑客正在利用向日葵(Sunlogin)軟件的已知漏洞來部署Silver C2框架,以實施后續入侵活動。
這一安全事件調查由韓國安全公司AhnLab的安全應急響應中心(ASEC)發布。該中心發現,中國遠程桌面控制軟件向日葵的安全漏洞已遭到利用,攻擊者正借此部署各種惡意載荷。
研究人員表示,“惡意黑客不僅使用了Silver后門,還使用了BYOVD(自帶易受攻擊驅動程序)來破壞安全產品并安裝反向shell。”
攻擊者首先利用向日葵v11.0.0.33及更早版本中的兩個遠程代碼執行漏洞(CNVD-2022-03672 和 CNVD-2022-10270)打開局面,然后借此傳播Silver或其他惡意軟件,例如Gh0st RAT和XMRig加密貨幣采礦程序。
在相關案例中,惡意黑客據稱利用向日葵漏洞安裝了PowerShell腳本,該腳本又利用BYOVD技術使得系統中已安裝的安全軟件失效,最后使用Powercat投放了反向shell。
BYOVD技術濫用了合法但卻易受攻擊的Windows驅動程序mhyprot2.sys。該驅動程序經過有效證書的簽名,可獲得更高權限并終止反病毒進程。
值得注意的是,趨勢科技此前曾經披露過,有攻擊者利用原神沖擊(Genshin Impact)游戲的反作弊驅動程序(包括mhyprot2.sys)部署勒索軟件。
研究人員指出,“目前還不確定,這次是否出自同一批惡意黑客之手,但幾個小時之后,日志顯示被攻擊系統確實由于向日葵遠程代碼執行漏洞而被裝上了Silver后門。”
從調查結果來看,這批黑客打算利用由Go語言編寫的合法滲透測試工具Silver,替代以往的Cobalt Strike和Metasploit。
研究人員總結道,“Silver提供必要的分步功能,例如賬戶信息竊取、內部網絡橫移以及企業內網越界,跟Cobalt Strike非常相似。”
