黑客正在利用遠程桌面軟件漏洞部署 PlugX 惡意軟件

The Hacker News 網站披露，威脅攻擊者正在利用 Sunlogin 和 AweSun 等遠程桌面程序上存在的安全漏洞，部署 PlugX 惡意軟件。

值得注意的是，AhnLab 安全應急響應中心（ASEC）曾在一份分析文件中指出，威脅攻擊者利用漏洞安裝了包括 Sliver 后開發框架、XMRig 加密貨幣礦工、Gh0st RAT 和 Paradise 勒索軟件等多種惡意負載，現在 PlugX 成為了名單上的“新成員”。

現階段，模塊化惡意軟件被威脅攻擊者廣泛使用，并不斷添加新功能，以幫助其控制受害者系統控制并盜取信息。

從 ASEC 觀察到的攻擊活動中可以看出，一旦攻擊者成功利用漏洞，立刻執行 PowerShell 命令，從遠程服務器檢索可執行文件和 DLL 文件。

這些可執行文件是網絡安全公司 ESET 的合法 HTTP 服務器服務，主要用于通過 DLL 側加載技術加載 DLL 文件，并最終在內存中運行 PlugX 惡意軟件有效負載。

2022 年 9 月，Security Joes 在一份報告中強調，PlugX 惡意軟件背后的運營商使用大量易受 DLL 側加載攻擊的受信任二進制文件，其中包括許多防病毒可執行文件。此外，PlugX 惡意軟件還以其啟動任意服務、從外部源下載和執行文件以及刪除可以使用遠程桌面協議（RDP）獲取數據和傳播插件的能力而聞名。

最后，ASEC 表示即使在當下，PlugX 惡意軟件仍在增加新功能。一旦安裝了惡意軟件 PlugX 時，威脅攻擊者便可在用戶不知情的情況下控制受感染的系統。