Новости Китайская программа Sunlogin Remote Control активно применяется хакерами для проведения BYOVD-атак

[NewsMaker]

Уязвимости программного обеспечения используют для постэксплуатации Sliver и отключения антивирусных систем.​

---

---

Новая хакерская кампания использует уязвимости программы удалённого доступа Sunlogin для развертывания инструментария постэксплуатации Sliver и проведения Для просмотра ссылки Войди или Зарегистрируйся -атак для отключения антивирусных продуктов.

Sliver — это инструментарий для постэксплуатации, созданный BishopFox, который злоумышленники начали использовать в качестве альтернативы Для просмотра ссылки Войди или Зарегистрируйся прошлым летом. Они используют его для сетевого наблюдения, выполнения команд, загрузки DLL, создания сеансов, манипулирования процессами и т.п.

Для просмотра ссылки Войди или Зарегистрируйся Центра реагирования на чрезвычайные ситуации безопасности AhnLab ( Для просмотра ссылки Войди или Зарегистрируйся ), недавно выявленные атаки были нацелены на две уязвимости, обнаруженные в прошлом году в программном обеспечении для удалённого доступа Sunlogin.

Злоумышленники используют эти уязвимости для компрометации устройства, а затем выполняют сценарии полезных нагрузок , таких как Sliver, Gh0st RAT или XMRig Monero.

---

---

Команды, поддерживаемые Sliver Атака начинается с использования уязвимостей CNVD-2022-10270 / CNVD-2022-03672, актуальных в Sunlogin версии 11.0.0.33 и более ранних версий. Злоумышленники используют уязвимости для выполнения Для просмотра ссылки Войди или Зарегистрируйся сценария PowerShell и отключают антивирусные системы перед развертыванием бэкдоров.

Скрипт декодирует переносимый исполняемый файл .NET и загружает его в память. Этот исполняемый файл представляет собой модифицированную версию инструмента с открытым исходным кодом Mhyprot2DrvControl, созданного для использование уязвимых драйверов Windows.

Mhyprot2DrvControl эксплуатирует mhyprot2.sys, античит-драйвер с цифровой подписью китайской игры Genshin Impact. Этот драйвер, по наблюдениям Для просмотра ссылки Войди или Зарегистрируйся , использовался для атак вымогателей с прошлого года.

«Разработчик Mhyprot2DrvControl предоставил множество функций, которые можно использовать с повышенными привилегиями mhyprot2.sys. Среди них, например, функция, позволяющая принудительно завершать процессы антивирусных программ, что весьма полезно для разработки вредоносного ПО», — объясняют в своём отчёте специалисты ASEC.

Вторая часть сценария PowerShell загружает Powercat из внешнего источника и использует его для запуска обратной оболочки, которая подключается к C2-серверу, предоставляя злоумышленнику удаленный доступ к взломанному устройству.

В некоторых случаях за атаками следовала установка имплантата Sliver («acl.exe»). Также злоумышленники устанавливали Gh0st RAT для удаленного управления файлами, регистрации ключей, удаленного выполнения команд и возможности Для просмотра ссылки Войди или Зарегистрируйся данных.

Корпорация Microsoft рекомендует администраторам Windows включить список блокировки уязвимых драйверов для защиты от атак BYOVD. Как это сделать, подробно описано в Для просмотра ссылки Войди или Зарегистрируйся службы поддержки редмондской корпорации.