微软警示:利用公开ASP.NET密钥的ViewState代码注入攻击肆虐
发布时间 2025-02-071. 微软警示:利用公开ASP.NET密钥的ViewState代码注入攻击肆虐
2月6日,微软发出警告,指出攻击者正在利用在线找到的静态 ASP.NET 机器密钥,在 ViewState 代码注入攻击中部署恶意软件。一些开发人员不慎在软件中使用了从代码文档和存储库平台上找到的 ASP.NET 密钥,这些密钥本应用于保护 ViewState 免遭篡改和信息泄露。然而,攻击者却利用这些公开来源的密钥,通过附加精心设计的消息认证代码 (MAC) 创建恶意 ViewState,并在目标服务器上执行,实现远程代码执行和恶意负载部署。微软已发现超过 3,000 个公开披露的密钥可用于此类攻击,这些密钥存在于多个代码存储库中,带来高风险。为应对此威胁,微软建议开发人员安全生成机器密钥,避免使用默认或在线找到的密钥,并升级应用程序以启用反恶意软件扫描接口 (AMSI) 功能。同时,微软分享了删除或替换 ASP.NET 键的详细步骤,并从公共文档中删除了密钥示例。微软警告称,如果公开密钥被利用,轮换密钥可能不足以解决问题,建议对网络服务器进行全面调查,并在识别出公开密钥的情况下考虑重新格式化并离线重新安装。
https://www.bleepingcomputer.com/news/security/microsoft-says-attackers-use-exposed-aspnet-keys-to-deploy-malware/
2. Kimsuky黑客组织采用定制RDP Wrapper和代理工具实施隐秘攻击
2月6日,朝鲜黑客组织Kimsuky近期在攻击中采用了定制的RDP Wrapper和代理工具,直接访问受感染机器,这标志着其策略的转变。据AhnLab安全情报中心(ASEC)观察,Kimsuky不再仅依赖如PebbleDash等后门工具,而是使用了多种定制的远程访问手段。最新的攻击链始于一封包含恶意快捷方式(.LNK)文件附件的鱼叉式网络钓鱼电子邮件,该邮件针对特定目标进行了侦察。打开.LNK文件会触发PowerShell或Mshta从外部服务器下载其他有效负载,包括PebbleDash后门、修改后的RDP Wrapper工具和代理工具。Kimsuky定制的RDP Wrapper改变了导出功能以绕过防病毒检测,提供持久的RDP访问,并允许基于GUI的远程控制,同时能绕过防火墙或NAT限制。一旦在网络中站稳脚跟,Kimsuky还会投放次要有效负载,如键盘记录器、信息窃取程序(forceCopy)和基于PowerShell的ReflectiveLoader。ASEC指出,Kimsuky是一个持续不断且不断演变的威胁,采用更隐秘的远程访问方法以延长在受感染网络中的停留时间。
https://www.bleepingcomputer.com/news/security/kimsuky-hackers-use-new-custom-rdp-wrapper-for-remote-access/
3. 黑客利用SimpleHelp RMM漏洞创建管理员帐户并疑似为勒索软件攻击铺路
2月6日,黑客近期瞄准了存在漏洞的SimpleHelp RMM客户端,利用编号为CVE-2024-57726、CVE-2024-57727和CVE-2024-57728的漏洞来创建管理员帐户、植入后门,并可能为后续的勒索软件攻击铺路。据网络安全公司Field Effect证实,这些漏洞已在最近的攻击中被利用。攻击者首先与目标端点建立未经授权的连接,然后执行一系列发现命令以收集目标环境的信息。接着,攻击者创建新管理员帐户,安装Sliver后利用框架,并配置为连接到荷兰的命令和控制服务器。此外,攻击者还通过SimpleHelp RMM客户端破坏域控制器,并创建另一个管理员帐户,同时安装了伪装成Windows svchost.exe的Cloudflare Tunnel以维持隐秘访问。为保护SimpleHelp免受攻击,建议用户尽快应用安全更新,查找并删除未知管理员帐户,以及将SimpleHelp访问限制在受信任的IP范围内。
https://www.bleepingcomputer.com/news/security/hackers-exploit-simplehelp-rmm-flaws-to-deploy-sliver-malware/
4. UAC-0006利用网络钓鱼攻击PrivatBank客户,部署SmokeLoader恶意软件
2月6日,UAC-0006是一个以经济利益为目标的威胁组织,针对乌克兰最大国有银行PrivatBank的客户发起了网络钓鱼攻击。自2024年11月起,该组织通过发送包含受密码保护的档案(如伪装成付款说明或身份证明扫描件的PDF文件)的欺骗性电子邮件,诱骗受害者下载并执行恶意软件。这些档案实际上是用于部署SmokeLoader恶意软件的,旨在实现数据窃取和未经授权的访问。攻击者采用了多种逃避检测技术,如密码保护和在感染链中使用合法系统二进制文件。攻击流程通常涉及打开附件并输入密码后,执行恶意JavaScript文件,注入代码到合法Windows进程,然后运行编码的PowerShell命令来显示诱饵PDF文档并联系C2服务器下载和执行SmokeLoader。研究人员发现,UAC-0006在攻击中大量使用PowerShell,以及JavaScript、VBScript和LNK文件,且持续以PrivatBank客户为目标,表明其关注经济利益。此外,该组织的TTP与EmpireMonkey和与俄罗斯有关的FIN7组织有重叠,可能与俄罗斯APT活动有关联。
https://hackread.com/ukraine-largest-bank-privatbank-smokeloader-malware/
5. 美国导弹防御承包商的服务器托管防火墙权限在暗网被出售
2月3日,黑客论坛Breachforums上出现了一则令人震惊的交易信息,名为“nastya_miyako”的威胁者正在出售美国政府导弹防御承包商的服务器托管防火墙root权限,标价800美元且不接受议价。这一行为可能涉及导弹防御、武器开发或军事通信等敏感领域,引发了广泛关注。据悉,“nastya_miyako”自去年底开始,便要求洽谈者通过更为匿名的Session软件进行沟通,并使用XMR(门罗币)进行交易,这一转变可能与Telegram向政府妥协并上缴数据,以及BTC匿名性减弱有关。该威胁者在黑客论坛中曾使用四个用户名发布交易信息,活跃时间长达四个月,共发布了223篇交易贴,其中包括197篇攻击情报和26篇数据售卖信息。在其发布的售卖信息中,主要以美国和中国为目标,但也涉及欧洲、东南亚和南美等国家。此外,“nastya_miyako”还售卖了包括英国核能和防御承包商服务器权限、美国政府导弹防御承包商权限、美国政府航空航天和国防部权限以及美国联邦调查局FBI分部防火墙权限等重大国际攻击情报。
https://breachforums.st/Thread-USA-Gov-Missile-Defense-Contractor
6. 新型ValleyRAT恶意软件变种采用先进规避策略窃取敏感数据
2月4日,Morphisec威胁实验室发现了与臭名昭著的Silver Fox APT组织相关的新型ValleyRAT恶意软件变种。该恶意软件通过多种渠道传播,包括钓鱼电子邮件、即时通讯平台和受感染网站,主要目标是组织内的高价值个人,旨在窃取敏感数据。与之前版本不同,当前变种使用假的中国电信公司“Karlos”网站进行传播,下载包括.NET可执行文件在内的多个组件。攻击链以虚假Chrome浏览器下载为初始感染媒介,利用修改后的抖音可执行文件版本进行DLL侧载,并利用Valve游戏中的合法Tier0.dll执行隐藏代码。解密的有效载荷使用Donut shellcode在内存中执行,绕过传统检测方法,并试图禁用安全机制。ValleyRAT具有基本的RAT功能,结合反VMware检查逃避虚拟化环境检测,并使用初始化的IP地址和端口与C2服务器连接。Silver Fox APT组织不断变化的策略表明新攻击越来越复杂,组织应采用更严格的安全策略降低风险。
https://hackread.com/valleyrat-malware-variant-fake-chrome-downloads/
京公网安备11010802024551号