微软警示：利用果然ASP.NET密钥的ViewState代码注入攻击肆虐

首页 > 宁静研究 > 宁静通报 > 宁静简讯

微软警示：利用果然ASP.NET密钥的ViewState代码注入攻击肆虐

宣布时间 2025-02-07

1. 微软警示：利用果然ASP.NET密钥的ViewState代码注入攻击肆虐

2月6日，微软发出警告，指出攻击者正在利用在线找到的静态 ASP.NET 机器密钥，在 ViewState 代码注入攻击中部署恶意软件。一些开发人员不慎在软件中使用了从代码文档和存储库平台上找到的 ASP.NET 密钥，这些密钥本应用于�；� ViewState 免遭改动和信息泄露。然而，攻击者却利用这些果然来源的密钥，通过附加精心设计的消息认证代码 (MAC) 创建恶意 ViewState，并在目标服务器上执行，实现远程代码执行和恶意负载部署。微软已发现凌驾 3,000 个果然披露的密钥可用于此类攻击，这些密钥存在于多个代码存储库中，带来高风险。为应对此威胁，微软建议开发人员宁静生成机器密钥，制止使用默认或在线找到的密钥，并升级应用法式以启用反恶意软件扫描接口 (AMSI) 功效。同时，微软分享了删除或替换 ASP.NET 键的详细步骤，并从公共文档中删除了密钥示例。微软警告称，如果果然密钥被利用，轮换密钥可能不足以解决问题，建议对网络服务器进行全面视察，并在识别出果然密钥的情况下考虑重新格式化并离线重新安装。

https://www.bleepingcomputer.com/news/security/microsoft-says-attackers-use-exposed-aspnet-keys-to-deploy-malware/

2. Kimsuky黑客组织接纳定制RDP Wrapper和署理工具实施隐秘攻击

2月6日，朝鲜黑客组织Kimsuky近期在攻击中接纳了定制的RDP Wrapper和署理工具，直接访问受熏染机器，这标志着其计谋的转变。据AhnLab宁静情报中心(ASEC)视察，Kimsuky不再仅依赖如PebbleDash等后门工具，而是使用了多种定制的远程访问手段。最新的攻击链始于一封包罗恶意快捷方式(.LNK)文件附件的鱼叉式网络钓鱼电子邮件，该邮件针对特定目标进行了侦察。打开.LNK文件会触发PowerShell或Mshta从外部服务器下载其他有效负载，包罗PebbleDash后门、修改后的RDP Wrapper工具和署理工具。Kimsuky定制的RDP Wrapper改变了导出功效以绕过防病毒检测，提供持久的RDP访问，并允许基于GUI的远程控制，同时能绕过防火墙或NAT限制。一旦在网络中站稳脚跟，Kimsuky还会投放次要有效负载，如键盘记录器、信息窃取法式(forceCopy)和基于PowerShell的ReflectiveLoader。ASEC指出，Kimsuky是一个连续不停且不停演变的威胁，接纳更隐秘的远程访问要领以延长在受熏染网络中的停留时间。

https://www.bleepingcomputer.com/news/security/kimsuky-hackers-use-new-custom-rdp-wrapper-for-remote-access/

3. 黑客利用SimpleHelp RMM漏洞创建管理员帐户并疑似为勒索软件攻击铺路

2月6日，黑客近期瞄准了存在漏洞的SimpleHelp RMM客户端，利用编号为CVE-2024-57726、CVE-2024-57727和CVE-2024-57728的漏洞来创建管理员帐户、植入后门，并可能为后续的勒索软件攻击铺路。据网络宁静公司Field Effect证实，这些漏洞已在最近的攻击中被利用。攻击者首先与目标端点建立未经授权的连接，然后执行一系列发现命令以收集目标环境的信息。接着，攻击者创建新管理员帐户，安装Sliver后利用框架，并配置为连接到荷兰的命令和控制服务器。此外，攻击者还通过SimpleHelp RMM客户端破坏域控制器，并创建另一个管理员帐户，同时安装了伪装成Windows svchost.exe的Cloudflare Tunnel以维持隐秘访问。为�；impleHelp免受攻击，建议用户尽快应用宁静更新，查找并删除未知管理员帐户，以及将SimpleHelp访问限制在受信任的IP范围内。

https://www.bleepingcomputer.com/news/security/hackers-exploit-simplehelp-rmm-flaws-to-deploy-sliver-malware/

4. UAC-0006利用网络钓鱼攻击PrivatBank客户，部署SmokeLoader恶意软件

2月6日，UAC-0006是一个以经济利益为目标的威胁组织，针对乌克兰最大国有银行PrivatBank的客户提倡了网络钓鱼攻击。自2024年11月起，该组织通过发送包罗受密码�；さ牡蛋福ㄈ缥弊俺筛犊钏得骰蛏矸葜っ魃杓腜DF文件）的欺骗性电子邮件，诱骗受害者下载并执行恶意软件。这些档案实际上是用于部署SmokeLoader恶意软件的，旨在实现数据窃取和未经授权的访问。攻击者接纳了多种逃避检测技术，如密码�；ず驮谘玖粗惺褂煤戏ㄏ低扯莆募�。攻击流程通常涉及打开附件并输入密码后，执行恶意JavaScript文件，注入代码到合法Windows进程，然后运行编码的PowerShell命令来显示诱饵PDF文档并联系C2服务器下载和执行SmokeLoader。研究人员发现，UAC-0006在攻击中大量使用PowerShell，以及JavaScript、VBScript和LNK文件，且连续以PrivatBank客户为目标，表明其关注经济利益。此外，该组织的TTP与EmpireMonkey和与俄罗斯有关的FIN7组织有重叠，可能与俄罗斯APT活动有关联。

https://hackread.com/ukraine-largest-bank-privatbank-smokeloader-malware/

5. 美国导弹防御承包商的服务器托管防火墙权限在暗网被出售

2月3日，黑客论坛Breachforums上泛起了一则令人震惊的交易信息，名为“nastya_miyako”的威胁者正在出售美国政府导弹防御承包商的服务器托管防火墙root权限，标价800美元且不接受议价。这一行为可能涉及导弹防御、武器开发或军事通信等敏感领域，引发了广泛关注。据悉，“nastya_miyako”自去年底开始，便要求洽谈者通过更为匿名的Session软件进行相同，并使用XMR（门罗币）进行交易，这一转变可能与Telegram向政府妥协并上缴数据，以及BTC匿名性减弱有关。该威胁者在黑客论坛中曾使用四个用户名宣布交易信息，活跃时间长达四个月，共宣布了223篇交易贴，其中包罗197篇攻击情报和26篇数据售卖信息。在其宣布的售卖信息中，主要以美国和中国为目标，但也涉及欧洲、东南亚和南美等国家。此外，“nastya_miyako”还售卖了包罗英国核能和防御承包商服务器权限、美国政府导弹防御承包商权限、美国政府航空航天和国防部权限以及美国联邦视察局FBI分部防火墙权限等重大国际攻击情报。

https://breachforums.st/Thread-USA-Gov-Missile-Defense-Contractor

6. 新型ValleyRAT恶意软件变种接纳先进规避计谋窃取敏感数据

2月4日，Morphisec威胁实验室发现了与污名昭著的Silver Fox APT组织相关的新型ValleyRAT恶意软件变种。该恶意软件通过多种渠道流传，包罗钓鱼电子邮件、即时通讯平台和受熏染网站，主要目标是组织内的高价值个人，旨在窃取敏感数据。与之前版本差异，当前变种使用假的中国电信公司“Karlos”网站进行流传，下载包罗.NET可执行文件在内的多个组件。攻击链以虚假Chrome浏览器下载为初始熏染媒介，利用修改后的抖音可执行文件版本进行DLL侧载，并利用Valve游戏中的合法Tier0.dll执行隐藏代码。解密的有效载荷使用Donut shellcode在内存中执行，绕过传统检测要领，并试图禁用宁静机制。ValleyRAT具有基本的RAT功效，结合反VMware检查逃避虚拟化环境检测，并使用初始化的IP地址和端口与C2服务器连接。Silver Fox APT组织不停变化的计谋表明新攻击越来越庞大，组织应接纳更严格的宁静计谋降低风险。

https://hackread.com/valleyrat-malware-variant-fake-chrome-downloads/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究