HackerNews网站披露,AhnLab安全应急响应中心发现个别网络攻击者正在利用Cosmos的安全漏洞部署SliverC2框架,以进行后续的“入侵攻击”活动。
安全研究人员强调,网络攻击者不仅使用了Sliver侧门,还部署了BYOVD(自带易受攻击的驱动程序)恶意软件,意图危害安全产品并安装反向shell。
整个攻击链中向日葵远程控制软件教程,攻击者首先利用Cosmos v11.0.0.33及更早版本中的两个远程代码执行漏洞CNVD-2022-03672和CNVD-2022-10270获取权限,然后传输Sliver或其他恶意加密货币挖矿软件像 Gh0stRAT 和 XMRig。
攻击者将 Sunflower 的安全漏洞“武器化”
在一个案例中,研究人员发现攻击者涉嫌“武器化”Cosmos 漏洞。 首先,利用 Cosmos 软件漏洞安装了 PowerShell 脚本。 该脚本使用BYOVD技术来禁用系统中安装的安全软件。 最后使用Powercat进行反向shell攻击。
注意:BYOVD 技术滥用合法但易受攻击的 Windows 驱动程序 mhyprot2.sys(该驱动程序使用有效证书签名)来获取提升的权限并停止系统防病毒进程。
值得注意的是,趋势科技此前透露,原神游戏的反作弊驱动程序也被用来部署威胁软件。 研究人员指出,目前尚未证实这两起袭击事件是否为同一伙袭击者所为。 后续日志显示,攻击者通过Cosmos RCE漏洞在受害者系统上安装了Sliver侧门。
这一发现证实,威胁行为者正计划使用 Sliver(一种基于 Go 语言的合法渗透测试工具)作为 CobaltStrike 和 metasploit 的替代品。 最后,研究人员强调向日葵远程控制软件教程,Sliver 提供了账户信息泄露、内网穿越、企业外网跨境等与 CobaltStrike 类似的功能。
目前尚无个别用户受到影响的消息,但小天还是建议大家提高网络安全意识。 如果您对网络安全感兴趣,想要进一步提升自己,可以联系小天或者扫描二维码进行咨询~
参考链接:
