The Hacker News 網(wǎng)站披露，AhnLab 安全應(yīng)急響應(yīng)中心發(fā)現(xiàn)某些網(wǎng)絡(luò)攻擊者正在利用向日葵中存在的安全漏洞，部署 Sliver C2 框架，以期開展后續(xù)“入侵攻擊”活動(dòng)。

安全研究人員指出，網(wǎng)絡(luò)攻擊者不僅僅使用了 Sliver 后門，還部署了 BYOVD（自帶易受攻擊的驅(qū)動(dòng)程序）惡意軟件，意圖破壞安全產(chǎn)品并安裝反向 shell。

整個(gè)攻擊鏈條中，攻擊者首先利用向日葵 v11.0.0.33 及更早版本中存在的兩個(gè)遠(yuǎn)程代碼執(zhí)行漏洞 CNVD-2022-03672 和 CNVD-2022-10270 獲得權(quán)限，然后傳送 Sliver 或其它類似 Gh0st RAT 和 XMRig 的惡意加密貨幣挖礦軟件。

攻擊者“武器化”向日葵中存在的安全漏洞

在一個(gè)案例中，研究人員發(fā)現(xiàn)攻擊者疑似將向日葵漏洞“武器化”。首先利用向日葵軟件漏洞安裝了一個(gè) PowerShell 腳本，該腳本又利用 BYOVD 技術(shù)使系統(tǒng)中安裝的安全軟件失去作用，最后再使用 Powercat 投放一個(gè)反向 shell。

注：BYOVD 技術(shù)濫用合法但易受攻擊的 Windows 驅(qū)動(dòng)程序 mhyprot2.sys，該驅(qū)動(dòng)程序經(jīng)過有效證書簽名，能夠獲得更高的權(quán)限并終止系統(tǒng)防病毒進(jìn)程。

值得注意的是，此前 Trend Micro 曾透露 Genshin Impact（原神）游戲的反作弊驅(qū)動(dòng)程序也被用來部署勒索軟件，研究人員強(qiáng)調(diào)，目前尚未確認(rèn)兩者是否由同一批攻擊者所為，后續(xù)一份日志顯示，攻擊者是通過向日葵 RCE 漏洞，在受害系統(tǒng)上安裝了一個(gè) Sliver 后門。

這一發(fā)現(xiàn)證實(shí)，威脅攻擊者正在準(zhǔn)備采用基于 Go 語言編寫的合法滲透測(cè)試工具 Sliver 作為 Cobalt Strike 和 Metasploit 的替代品。

最后，研究人員指出，Sliver 提供了賬戶信息竊取、內(nèi)部網(wǎng)絡(luò)橫移、企業(yè)內(nèi)網(wǎng)越界等和 Cobalt Strike 類似的功能。