【安全圈】黑客正在利用远程桌面软件漏洞部署 PlugX 恶意软件
【安全圈】黑客正在利用远程桌面软件漏洞部署 PlugX 恶意软件
安全圈 2023-03-12 19:00
关键词
恶意软件
The Hacker News 网站披露,威胁攻击者正在利用 Sunlogin 和 AweSun 等远程桌面程序上存在的安全漏洞,部署 PlugX 恶意软件。
值得注意的是,AhnLab 安全应急响应中心(ASEC)曾在一份分析文件中指出,威胁攻击者利用漏洞安装了包括 Sliver 后开发框架、XMRig 加密货币矿工、Gh0st RAT 和 Paradise 勒索软件等多种恶意负载,现在 PlugX 成为了名单上的“新成员”。
现阶段,模块化恶意软件被威胁攻击者广泛使用,并不断添加新功能,以帮助其控制受害者系统控制并盗取信息。
从 ASEC 观察到的攻击活动中可以看出,一旦攻击者成功利用漏洞,立刻执行 PowerShell 命令,从远程服务器检索可执行文件和 DLL 文件。
这些可执行文件是网络安全公司 ESET 的合法 HTTP 服务器服务,主要用于通过 DLL 侧加载技术加载 DLL 文件,并最终在内存中运行 PlugX 恶意软件有效负载。
2022 年 9 月,Security Joes 在一份报告中强调,PlugX 恶意软件背后的运营商使用大量易受 DLL 侧加载攻击的受信任二进制文件,其中包括许多防病毒可执行文件。此外,PlugX 恶意软件还以其启动任意服务、从外部源下载和执行文件以及删除可以使用远程桌面协议(RDP)获取数据和传播插件的能力而闻名。
最后,ASEC 表示即使在当下,PlugX 恶意软件仍在增加新功能。一旦安装了恶意软件 PlugX 时,威胁攻击者便可在用户不知情的情况下控制受感染的系统。
END
阅读推荐
【安全圈】可绕过 UAC,微软 Win10 / Win11 系统中发现高危漏洞:可安装执行恶意软件
【安全圈】已对 Linux 服务器发起攻击,针对 Win10 / Win11 的勒索软件 IceFire 出现新变种
【安全圈】被指与谷歌形成“双头垄断”,苹果辩称英国监管机构已无权发起调查
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!