Злоумышленники используют известные недостатки в программном обеспечении Sunlogin для развертывания системы управления и контроля Sliver (C2) для выполнения действий после эксплуатации.
Выводы поступили от Центра реагирования на чрезвычайные ситуации AhnLab Security (ASEC), который обнаружил, что уязвимости безопасности в Sunlogin, программе удаленного рабочего стола, разработанной в Китае, используются для развертывания широкого спектра полезных нагрузок.
«Злоумышленники использовали не только бэкдор Sliver, но и вредоносное ПО BYOVD (Bring Your Own Vulnerable Driver) для вывода из строя продуктов безопасности и установки обратных оболочек», — заявили исследователи.
Цепочки атак начинаются с эксплуатации двух ошибок удаленного выполнения кода в версиях Sunlogin до версии 11.0.0.33 (CNVD-2022-03672 и CNVD-2022-10270) с последующей доставкой Sliver или других вредоносных программ, таких как Gh0st RAT и XMRig crypto. майнер монет.
В одном случае злоумышленник использовал недостатки Sunlogin для установки сценария PowerShell, который, в свою очередь, использует метод BYOVD для вывода из строя программного обеспечения безопасности, установленного в системе, и сброса обратной оболочки с помощью Powercat.
Метод BYOVD злоупотребляет законным, но уязвимым драйвером Windows, mhyprot2.sys, который подписан действительным сертификатом, чтобы получить повышенные разрешения и завершить антивирусные процессы.
Здесь стоит отметить, что античит-драйвер для видеоигры Genshin Impact ранее использовался в качестве предшественника для развертывания программ-вымогателей, как сообщает Trend Micro.
«Не подтверждено, было ли это сделано одним и тем же злоумышленником, но через несколько часов журнал показывает, что бэкдор Sliver был установлен в той же системе с помощью эксплуатации уязвимости Sunlogin RCE», — заявили исследователи.
Выводы получены, когда злоумышленники используют Sliver, законный инструмент тестирования на проникновение на основе Go, в качестве альтернативы Cobalt Strike и Metasploit.
«Sliver предлагает необходимые пошаговые функции, такие как кража информации об учетной записи, перемещение по внутренней сети и захват внутренней сети компаний, точно так же, как Cobalt Strike», — заключили исследователи.
Нашли эту статью интересной? Подпишитесь на нас в Twitter и LinkedIn, чтобы читать больше эксклюзивного контента, который мы публикуем.
Выводы поступили от Центра реагирования на чрезвычайные ситуации AhnLab Security (ASEC), который обнаружил, что уязвимости безопасности в Sunlogin, программе удаленного рабочего стола, разработанной в Китае, используются для развертывания широкого спектра полезных нагрузок.
«Злоумышленники использовали не только бэкдор Sliver, но и вредоносное ПО BYOVD (Bring Your Own Vulnerable Driver) для вывода из строя продуктов безопасности и установки обратных оболочек», — заявили исследователи.
Цепочки атак начинаются с эксплуатации двух ошибок удаленного выполнения кода в версиях Sunlogin до версии 11.0.0.33 (CNVD-2022-03672 и CNVD-2022-10270) с последующей доставкой Sliver или других вредоносных программ, таких как Gh0st RAT и XMRig crypto. майнер монет.
В одном случае злоумышленник использовал недостатки Sunlogin для установки сценария PowerShell, который, в свою очередь, использует метод BYOVD для вывода из строя программного обеспечения безопасности, установленного в системе, и сброса обратной оболочки с помощью Powercat.
Метод BYOVD злоупотребляет законным, но уязвимым драйвером Windows, mhyprot2.sys, который подписан действительным сертификатом, чтобы получить повышенные разрешения и завершить антивирусные процессы.
Здесь стоит отметить, что античит-драйвер для видеоигры Genshin Impact ранее использовался в качестве предшественника для развертывания программ-вымогателей, как сообщает Trend Micro.
«Не подтверждено, было ли это сделано одним и тем же злоумышленником, но через несколько часов журнал показывает, что бэкдор Sliver был установлен в той же системе с помощью эксплуатации уязвимости Sunlogin RCE», — заявили исследователи.
Выводы получены, когда злоумышленники используют Sliver, законный инструмент тестирования на проникновение на основе Go, в качестве альтернативы Cobalt Strike и Metasploit.
«Sliver предлагает необходимые пошаговые функции, такие как кража информации об учетной записи, перемещение по внутренней сети и захват внутренней сети компаний, точно так же, как Cobalt Strike», — заключили исследователи.
Нашли эту статью интересной? Подпишитесь на нас в Twitter и LinkedIn, чтобы читать больше эксклюзивного контента, который мы публикуем.