影響Windows 和 macOS平臺，黑客利用 Adobe CF 漏洞部署惡意軟件

FortiGuard 實驗室的網絡安全研究人員發現了幾個影響 Windows 和 Mac 設備的 Adobe ColdFusion 漏洞。

• 遠程攻擊者可利用Adobe ColdFusion 2021中的驗證前RCE漏洞，獲取受影響系統的控制權力。
• Adobe 已發布安全補丁來解決這些漏洞，但攻擊者仍在利用這些漏洞。
• 攻擊活動涉及多個階段，包括探測、反向外殼和部署惡意軟件。
• 目前已發現四種不同的惡意軟件：XMRig Miner、Satan DDoS/Lucifer、RudeMiner 和 BillGates/Setag 后門。
• 建議用戶及時升級系統并部署保護機制，以挫敗正在進行的攻擊。

由于 Adobe ColdFusion 存在漏洞，Windows 和 macOS 平臺的眾多用戶目前都面臨風險。該軟件套件是網絡應用程序開發的熱門選擇，最近由于遠程攻擊者發現并利用了認證前遠程代碼執行（RCE）漏洞而受到攻擊。這些漏洞使攻擊者有能力奪取受影響系統的控制權，從而將危險系數提升到了嚴重級別。

這些攻擊的核心目標是 Adobe ColdFusion 2021 中的 WDDX 反序列化過程。雖然Adobe迅速回應了安全更新（APSB23-40、APSB23-41和APSB23-47），但FortiGuard實驗室仍觀察到持續的攻擊嘗試。

從對攻擊模式的分析，研究人員發現了威脅行為者執行的一個過程。他們使用 "interactsh "等工具發起探測活動，以測試漏洞利用的有效性。觀察到這些活動涉及多個域，包括 mooo-ngcom、redteamtf 和 h4ck4funxyz。探測階段讓攻擊者深入了解了潛在漏洞，并為更多的惡意行動的做好鋪墊。

攻擊活動的復雜性還體現在反向外殼的使用上。通過對有效載荷進行 Base64 編碼，攻擊者試圖在未經授權的情況下訪問受害者系統，從而實現遠程控制。

值得注意的是，分析揭示了一種多管齊下的方法，包括部署各種惡意軟件變種。攻擊是從不同的 IP 地址發起的，這引起了人們對該活動影響范圍之廣的擔憂。惡意軟件有效載荷以 Base64 編碼，在解碼前隱藏了其真實性質。研究人員發現了四種不同的惡意軟件：XMRig Miner、Satan DDoS/Lucifer、RudeMiner 和 BillGates/Setag 后門。

XMRig Miner 主要與 Monero 加密貨幣挖礦有關，被用來劫持系統處理能力。通過利用 6.20.0 版本，攻擊者設法利用被入侵的系統獲取經濟利益。

Lucifer是一個混合型機器人，結合了加密劫持和分布式拒絕服務（DDoS）功能，是一個強大的實體。該惡意軟件變種不僅展示了其挖礦能力，還展示了其在指揮和控制操作、通過漏洞傳播以及復雜的 DDoS 攻擊方面的能力。

與 "Lucifer "相連的 RudeMiner 攜帶著以前的 DDoS 攻擊遺產。它在當前威脅環境中的參與表明了它的持久性和適應性，使其成為一個重大隱患。

BillGates/Setag 后門之前與 Confluence 服務器漏洞有關，在此背景下再次出現。表明它具有多方面的能力，包括系統劫持、C2 通信和多種攻擊方法，其中包括基于 SYN、UDP、ICMP 和 HTTP 的攻擊。

盡管有安全補丁可用，但攻擊的持續不斷，也突顯了采取行動的緊迫性。我們強烈建議用戶及時升級系統并部署保護機制，包括防病毒服務、IPS 簽名、網絡過濾和 IP 信譽跟蹤，以遏制持續不斷的攻擊。