一个以东南亚为目标的黑客组织利用今年 3 月初曝光的 Microsoft Exchange Server 中的漏洞,在受感染的系统上部署了一个以前未记录的远程访问木马 (RAT) 变体。
Palo Alto Networks 的 Unit 42 威胁情报团队将入侵归因于名为PKPLUG(又名Mustang Panda和 HoneyMyte)的威胁行为者,称他们发现了一个名为 Thor 的模块化 PlugX 恶意软件的新版本,该恶意软件是作为后开发工具提供的到其中一台被破坏的服务器。
早在 2008 年,PlugX是一个功能齐全的第二阶段植入程序,具有文件上传、下载和修改、击键记录、网络摄像头控制和访问远程命令外壳等功能。
“观察到的变种 […] 是独一无二的,因为它包含对其核心源代码的更改:将其商标词‘PLUG’替换为‘THOR’,”Unit 42 研究人员 Mike Harbison 和 Alex Hinchliffe在一份技术报告中指出。周二发表的文章。“最早发现的 THOR 样本来自 2019 年 8 月,它是已知最早的重新命名代码实例。在此变体中观察到了新功能,包括增强的有效载荷传递机制和对受信任二进制文件的滥用。”
微软于 3 月 2 日披露,代号为Hafnium的黑客组织正在利用 Exchange 服务器(统称为 ProxyLogon)中的零日漏洞从选定目标、多个威胁参与者(例如勒索软件组织(DearCry 和 Black Kingdom))窃取敏感数据。和加密挖掘团伙(LemonDuck),也被观察到利用这些缺陷来劫持 Exchange 服务器并安装一个 web shell,以最高权限级别授予代码执行。
根据 Unit 42 的说法,PKPLUG 现在加入了该列表,他们发现攻击者通过利用 BITSAdmin 等合法可执行文件从攻击者控制的 GitHub 中检索看似无害的文件(“Aro.dat”),绕过防病毒检测机制以针对 Microsoft Exchange 服务器存储库。该文件包含加密和压缩的 PlugX 负载,暗示了一种免费提供的高级修复和优化工具,旨在清理和修复 Windows 注册表中的问题。
研究人员表示,PlugX 的最新样本配备了各种插件,这些插件“为攻击者提供了各种能力来监控、更新和与受感染系统交互,以实现他们的目标”。THOR 与 PKPLUG 的链接源于将命令和控制基础设施拼凑在一起,以及在其他最近发现的 PlugX 样本中检测到的恶意行为的重叠。
可以在此处访问与攻击相关的其他危害指标。Unit 42 还提供了一个 Python 脚本,该脚本可以在没有关联的 PlugX 加载程序的情况下解密和解压缩加密的 PlugX 有效负载。
极牛网精选文章《黑客在存在漏洞微软Exchange服务器上植入PlugX恶意软件》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/15612.html