Ngày 09 tháng 3 năm 2023Ravie Lakshmanan Thông tin tình báo về mối đe dọa / Phần mềm độc hại
Các lỗ hổng bảo mật trong các chương trình máy tính từ xa như Sunlogin và AweSun đang bị các tác nhân đe dọa khai thác để triển khai phần mềm độc hại PlugX.
Trung tâm ứng phó khẩn cấp bảo mật AhnLab (ASEC), trong một phân tích mới, cho biết nó đánh dấu việc tiếp tục lạm dụng các lỗ hổng để cung cấp nhiều loại trọng tải trên các hệ thống bị xâm nhập.
Điều này bao gồm khung sau khai thác Sliver, công cụ khai thác tiền điện tử XMRig, Gh0st RAT và phần mềm tống tiền Paradise. PlugX là phần bổ sung mới nhất cho danh sách này.
Phần mềm độc hại mô-đun này đã được các tác nhân đe dọa có trụ sở tại Trung Quốc sử dụng rộng rãi, với các tính năng mới liên tục được bổ sung để giúp thực hiện kiểm soát hệ thống và đánh cắp thông tin.
Trong các cuộc tấn công được ASEC quan sát thấy, việc khai thác thành công các lỗ hổng được theo sau bởi việc thực thi lệnh PowerShell truy xuất tệp thực thi và tệp DLL từ máy chủ từ xa.
Tệp thực thi này là một Dịch vụ máy chủ HTTP hợp pháp từ công ty an ninh mạng ESET, được sử dụng để tải tệp DLL bằng một kỹ thuật gọi là tải bên DLL và cuối cùng chạy tải trọng PlugX trong bộ nhớ.
“Các nhà khai thác PlugX sử dụng nhiều tệp nhị phân đáng tin cậy, dễ bị tấn công bởi DLL Side-Loading, bao gồm nhiều tệp thực thi chống vi-rút”, Security Joes lưu ý trong một báo cáo vào tháng 9 năm 2022. “Điều này đã được chứng minh là có hiệu quả trong khi lây nhiễm cho nạn nhân.”
Cửa hậu cũng đáng chú ý vì khả năng bắt đầu các dịch vụ tùy ý, tải xuống và thực thi các tệp từ nguồn bên ngoài cũng như loại bỏ các plugin có thể thu thập dữ liệu và lan truyền bằng Giao thức Máy tính Từ xa (RDP).
“Các tính năng mới đang được thêm vào [PlugX] ASEC cho biết: “Khi cửa hậu PlugX được cài đặt, các tác nhân đe dọa có thể giành quyền kiểm soát hệ thống bị nhiễm mà người dùng không hề hay biết”.
