سوء استفاده هکر‌ها از نقایص نرم‌افزار دسکتاپ از راه دور برای استقرار بد‌افزار PlugX

آسیب پذیری های امنیتی در برنامه های دسکتاپ راه دور مانند Sunlogin و AweSun توسط عوامل تهدید برای استقرار بدافزار PlugX مورد سوء استفاده قرار می گیرند.

مرکز پاسخگویی اضطراری امنیتی AhnLab (ASEC)، در تحلیلی جدید، اعلام کرد که ادامه سوء استفاده از نقص ها برای ارائه انواع محموله ها در سیستم های در معرض خطر را نشان می دهد.

این شامل چارچوب پس از بهره برداری Sliver، استخراج کننده ارز دیجیتال XMRig، Gh0st RAT و باج افزار Paradise است. PlugX آخرین مورد اضافه شده به این لیست است.

 

بدافزار modular به طور گسترده توسط عوامل تهدید مستقر در چین مورد استفاده قرار گرفته است و ویژگی‌های جدیدی به طور مداوم برای کمک به انجام کنترل سیستم و سرقت اطلاعات اضافه شده است.

در حملات مشاهده شده توسط ASEC، بهره برداری موفقیت آمیز از نقص ها با اجرای یک فرمان PowerShell که یک فایل اجرایی و یک فایل DLL را از یک سرور راه دور بازیابی می کند، دنبال می شود.

 

 

این فایل اجرایی یک سرویس سرور HTTP قانونی از شرکت امنیت سایبری ESET است که برای بارگیری فایل DLL با استفاده از تکنیکی به نام بارگذاری جانبی DLL و در نهایت اجرای بارگذاری PlugX در حافظه استفاده می شود.

سکیوریتی جوز در گزارشی در سپتامبر ۲۰۲۲ اشاره کرد: «اپراتورهای PlugX از تنوع بالایی از باینری‌های قابل اعتماد استفاده می‌کنند، از جمله برنامه‌های اجرایی ضد ویروس متعدد که در برابر بارگذاری جانبی DLL آسیب‌پذیر هستند. ثابت شده است که این در هنگام آلوده کردن قربانیان مؤثر است.»

درب پشتی همچنین به دلیل توانایی خود در راه اندازی سرویس های دلخواه، دانلود و اجرای فایل ها از یک منبع خارجی، و رها کردن پلاگین هایی که می توانند داده ها را جمع آوری کرده و با استفاده از پروتکل دسکتاپ از راه دور (RDP) منتشر کنند، قابل توجه است.

ASEC گفت: «ویژگی‌های جدید حتی تا به امروز به [PlugX] اضافه می‌شوند، زیرا همچنان شاهد استفاده مداوم از آن در حملات هستیم. هنگامی که درب پشتی، PlugX، نصب می شود، عوامل تهدید می توانند کنترل سیستم آلوده را بدون اطلاع کاربر به دست آورند.

پست‌های مشابه

Leave a Comment