首頁 > 安全研究 > 安全通報 > 安全簡訊

微軟警示:利用公開ASP.NET密鑰的ViewState代碼注入攻擊肆虐

發布時間 2025-02-07

1. 微軟警示:利用公開ASP.NET密鑰的ViewState代碼注入攻擊肆虐


2月6日,微軟發出警告,指出攻擊者正在利用在線找到的靜態 ASP.NET 機器密鑰,在 ViewState 代碼注入攻擊中部署惡意軟件。一些開發人員不慎在軟件中使用了從代碼文檔和存儲庫平臺上找到的 ASP.NET 密鑰,這些密鑰本應用于保護 ViewState 免遭篡改和信息泄露。然而,攻擊者卻利用這些公開來源的密鑰,通過附加精心設計的消息認證代碼 (MAC) 創建惡意 ViewState,并在目標服務器上執行,實現遠程代碼執行和惡意負載部署。微軟已發現超過 3,000 個公開披露的密鑰可用于此類攻擊,這些密鑰存在于多個代碼存儲庫中,帶來高風險。為應對此威脅,微軟建議開發人員安全生成機器密鑰,避免使用默認或在線找到的密鑰,并升級應用程序以啟用反惡意軟件掃描接口 (AMSI) 功能。同時,微軟分享了刪除或替換 ASP.NET 鍵的詳細步驟,并從公共文檔中刪除了密鑰示例。微軟警告稱,如果公開密鑰被利用,輪換密鑰可能不足以解決問題,建議對網絡服務器進行全面調查,并在識別出公開密鑰的情況下考慮重新格式化并離線重新安裝。


https://www.bleepingcomputer.com/news/security/microsoft-says-attackers-use-exposed-aspnet-keys-to-deploy-malware/


2. Kimsuky黑客組織采用定制RDP Wrapper和代理工具實施隱秘攻擊


2月6日,朝鮮黑客組織Kimsuky近期在攻擊中采用了定制的RDP Wrapper和代理工具,直接訪問受感染機器,這標志著其策略的轉變。據AhnLab安全情報中心(ASEC)觀察,Kimsuky不再僅依賴如PebbleDash等后門工具,而是使用了多種定制的遠程訪問手段。最新的攻擊鏈始于一封包含惡意快捷方式(.LNK)文件附件的魚叉式網絡釣魚電子郵件,該郵件針對特定目標進行了偵察。打開.LNK文件會觸發PowerShell或Mshta從外部服務器下載其他有效負載,包括PebbleDash后門、修改后的RDP Wrapper工具和代理工具。Kimsuky定制的RDP Wrapper改變了導出功能以繞過防病毒檢測,提供持久的RDP訪問,并允許基于GUI的遠程控制,同時能繞過防火墻或NAT限制。一旦在網絡中站穩腳跟,Kimsuky還會投放次要有效負載,如鍵盤記錄器、信息竊取程序(forceCopy)和基于PowerShell的ReflectiveLoader。ASEC指出,Kimsuky是一個持續不斷且不斷演變的威脅,采用更隱秘的遠程訪問方法以延長在受感染網絡中的停留時間。


https://www.bleepingcomputer.com/news/security/kimsuky-hackers-use-new-custom-rdp-wrapper-for-remote-access/


3. 黑客利用SimpleHelp RMM漏洞創建管理員帳戶并疑似為勒索軟件攻擊鋪路


2月6日,黑客近期瞄準了存在漏洞的SimpleHelp RMM客戶端,利用編號為CVE-2024-57726、CVE-2024-57727和CVE-2024-57728的漏洞來創建管理員帳戶、植入后門,并可能為后續的勒索軟件攻擊鋪路。據網絡安全公司Field Effect證實,這些漏洞已在最近的攻擊中被利用。攻擊者首先與目標端點建立未經授權的連接,然后執行一系列發現命令以收集目標環境的信息。接著,攻擊者創建新管理員帳戶,安裝Sliver后利用框架,并配置為連接到荷蘭的命令和控制服務器。此外,攻擊者還通過SimpleHelp RMM客戶端破壞域控制器,并創建另一個管理員帳戶,同時安裝了偽裝成Windows svchost.exe的Cloudflare Tunnel以維持隱秘訪問。為保護SimpleHelp免受攻擊,建議用戶盡快應用安全更新,查找并刪除未知管理員帳戶,以及將SimpleHelp訪問限制在受信任的IP范圍內。


https://www.bleepingcomputer.com/news/security/hackers-exploit-simplehelp-rmm-flaws-to-deploy-sliver-malware/


4. UAC-0006利用網絡釣魚攻擊PrivatBank客戶,部署SmokeLoader惡意軟件


2月6日,UAC-0006是一個以經濟利益為目標的威脅組織,針對烏克蘭最大國有銀行PrivatBank的客戶發起了網絡釣魚攻擊。自2024年11月起,該組織通過發送包含受密碼保護的檔案(如偽裝成付款說明或身份證明掃描件的PDF文件)的欺騙性電子郵件,誘騙受害者下載并執行惡意軟件。這些檔案實際上是用于部署SmokeLoader惡意軟件的,旨在實現數據竊取和未經授權的訪問。攻擊者采用了多種逃避檢測技術,如密碼保護和在感染鏈中使用合法系統二進制文件。攻擊流程通常涉及打開附件并輸入密碼后,執行惡意JavaScript文件,注入代碼到合法Windows進程,然后運行編碼的PowerShell命令來顯示誘餌PDF文檔并聯系C2服務器下載和執行SmokeLoader。研究人員發現,UAC-0006在攻擊中大量使用PowerShell,以及JavaScript、VBScript和LNK文件,且持續以PrivatBank客戶為目標,表明其關注經濟利益。此外,該組織的TTP與EmpireMonkey和與俄羅斯有關的FIN7組織有重疊,可能與俄羅斯APT活動有關聯。


https://hackread.com/ukraine-largest-bank-privatbank-smokeloader-malware/


5. 美國導彈防御承包商的服務器托管防火墻權限在暗網被出售


2月3日,黑客論壇Breachforums上出現了一則令人震驚的交易信息,名為“nastya_miyako”的威脅者正在出售美國政府導彈防御承包商的服務器托管防火墻root權限,標價800美元且不接受議價。這一行為可能涉及導彈防御、武器開發或軍事通信等敏感領域,引發了廣泛關注。據悉,“nastya_miyako”自去年底開始,便要求洽談者通過更為匿名的Session軟件進行溝通,并使用XMR(門羅幣)進行交易,這一轉變可能與Telegram向政府妥協并上繳數據,以及BTC匿名性減弱有關。該威脅者在黑客論壇中曾使用四個用戶名發布交易信息,活躍時間長達四個月,共發布了223篇交易貼,其中包括197篇攻擊情報和26篇數據售賣信息。在其發布的售賣信息中,主要以美國和中國為目標,但也涉及歐洲、東南亞和南美等國家。此外,“nastya_miyako”還售賣了包括英國核能和防御承包商服務器權限、美國政府導彈防御承包商權限、美國政府航空航天和國防部權限以及美國聯邦調查局FBI分部防火墻權限等重大國際攻擊情報。


https://breachforums.st/Thread-USA-Gov-Missile-Defense-Contractor


6. 新型ValleyRAT惡意軟件變種采用先進規避策略竊取敏感數據


2月4日,Morphisec威脅實驗室發現了與臭名昭著的Silver Fox APT組織相關的新型ValleyRAT惡意軟件變種。該惡意軟件通過多種渠道傳播,包括釣魚電子郵件、即時通訊平臺和受感染網站,主要目標是組織內的高價值個人,旨在竊取敏感數據。與之前版本不同,當前變種使用假的中國電信公司“Karlos”網站進行傳播,下載包括.NET可執行文件在內的多個組件。攻擊鏈以虛假Chrome瀏覽器下載為初始感染媒介,利用修改后的抖音可執行文件版本進行DLL側載,并利用Valve游戲中的合法Tier0.dll執行隱藏代碼。解密的有效載荷使用Donut shellcode在內存中執行,繞過傳統檢測方法,并試圖禁用安全機制。ValleyRAT具有基本的RAT功能,結合反VMware檢查逃避虛擬化環境檢測,并使用初始化的IP地址和端口與C2服務器連接。Silver Fox APT組織不斷變化的策略表明新攻擊越來越復雜,組織應采用更嚴格的安全策略降低風險。


https://hackread.com/valleyrat-malware-variant-fake-chrome-downloads/

上一篇 下一篇