外媒：黑客利用向日葵軟件漏洞部署遠控木馬

韓國安全公司稱，向日葵遠控軟件v11.0.0.33及更早版本的兩個遠程代碼執行漏洞遭到利用。

2月8日消息，外媒黑客新聞報道稱，惡意黑客正在利用向日葵(Sunlogin)軟件的已知漏洞來部署Silver C2框架，以實施后續入侵活動。

這一安全事件調查由韓國安全公司AhnLab的安全應急響應中心(ASEC)發布。該中心發現，中國遠程桌面控制軟件向日葵的安全漏洞已遭到利用，攻擊者正借此部署各種惡意載荷。

研究人員表示，“惡意黑客不僅使用了Silver后門，還使用了BYOVD(自帶易受攻擊驅動程序)來破壞安全產品并安裝反向shell。”

攻擊者首先利用向日葵v11.0.0.33及更早版本中的兩個遠程代碼執行漏洞(CNVD-2022-03672 和 CNVD-2022-10270)打開局面，然后借此傳播Silver或其他惡意軟件，例如Gh0st RAT和XMRig加密貨幣采礦程序。

在相關案例中，惡意黑客據稱利用向日葵漏洞安裝了PowerShell腳本，該腳本又利用BYOVD技術使得系統中已安裝的安全軟件失效，最后使用Powercat投放了反向shell。

BYOVD技術濫用了合法但卻易受攻擊的Windows驅動程序mhyprot2.sys。該驅動程序經過有效證書的簽名，可獲得更高權限并終止反病毒進程。

值得注意的是，趨勢科技此前曾經披露過，有攻擊者利用原神沖擊(Genshin Impact)游戲的反作弊驅動程序(包括mhyprot2.sys)部署勒索軟件。

研究人員指出，“目前還不確定，這次是否出自同一批惡意黑客之手，但幾個小時之后，日志顯示被攻擊系統確實由于向日葵遠程代碼執行漏洞而被裝上了Silver后門。”

從調查結果來看，這批黑客打算利用由Go語言編寫的合法滲透測試工具Silver，替代以往的Cobalt Strike和Metasploit。

研究人員總結道，“Silver提供必要的分步功能，例如賬戶信息竊取、內部網絡橫移以及企業內網越界，跟Cobalt Strike非常相似。”

參考資料：thehackernews.com

來源：安全內參