微软警示：使用果真ASP.NET密钥的ViewState代码注入攻击肆虐

首页 > 清静研究 > 清静转达 > 清静简讯

微软警示：使用果真ASP.NET密钥的ViewState代码注入攻击肆虐

宣布时间 2025-02-07

1. 微软警示：使用果真ASP.NET密钥的ViewState代码注入攻击肆虐

2月6日，微软发出忠言，指出攻击者正在使用在线找到的静态 ASP.NET 机械密钥，在 ViewState 代码注入攻击中安排恶意软件。一些开发职员失慎在软件中使用了从代码文档和存储库平台上找到的 ASP.NET 密钥，这些密钥本应用于�；� ViewState 免遭改动和信息泄露。然而，攻击者却使用这些果真泉源的密钥，通过附加全心设计的新闻认证代码 (MAC) 建设恶意 ViewState，并在目的服务器上执行，实现远程代码执行和恶意负载安排。微软已发明凌驾 3,000 个果真披露的密钥可用于此类攻击，这些密钥保存于多个代码存储库中，带来高危害。为应对此威胁，微软建议开发职员清静天生气械密钥，阻止使用默认或在线找到的密钥，并升级应用程序以启用反恶意软件扫描接口 (AMSI) 功效。同时，微软分享了删除或替换 ASP.NET 键的详细办法，并从公共文档中删除了密钥示例。微软忠言称，若是果真密钥被使用，轮换密钥可能缺乏以解决问题，建议对网络服务器举行周全视察，并在识别出果真密钥的情形下思量重新名堂化并离线重新装置。

https://www.bleepingcomputer.com/news/security/microsoft-says-attackers-use-exposed-aspnet-keys-to-deploy-malware/

2. Kimsuky黑客组织接纳定制RDP Wrapper和署理工具实验隐秘攻击

2月6日，朝鲜黑客组织Kimsuky近期在攻击中接纳了定制的RDP Wrapper和署理工具，直接会见受熏染机械，这标记着其战略的转变。据AhnLab清静情报中心(ASEC)视察，Kimsuky不再仅依赖如PebbleDash等后门工具，而是使用了多种定制的远程会见手段。最新的攻击链始于一封包括恶意快捷方法(.LNK)文件附件的鱼叉式网络垂纶电子邮件，该邮件针对特定目的举行了侦探。翻开.LNK文件会触发PowerShell或Mshta从外部服务器下载其他有用负载，包括PebbleDash后门、修改后的RDP Wrapper工具和署理工具。Kimsuky定制的RDP Wrapper改变了导出功效以绕过防病毒检测，提供长期的RDP会见，并允许基于GUI的远程控制，同时能绕过防火墙或NAT限制。一旦在网络中站稳脚跟，Kimsuky还会投放次要有用负载，如键盘纪录器、信息窃取程序(forceCopy)和基于PowerShell的ReflectiveLoader。ASEC指出，Kimsuky是一个一连一直且一直演变的威胁，接纳更隐秘的远程会见要领以延伸在受熏染网络中的停留时间。

https://www.bleepingcomputer.com/news/security/kimsuky-hackers-use-new-custom-rdp-wrapper-for-remote-access/

3. 黑客使用SimpleHelp RMM误差建设治理员帐户并疑似为勒索软件攻击铺路

2月6日，黑客近期瞄准了保存误差的SimpleHelp RMM客户端，使用编号为CVE-2024-57726、CVE-2024-57727和CVE-2024-57728的误差来建设治理员帐户、植入后门，并可能为后续的勒索软件攻击铺路。据网络清静公司Field Effect证实，这些误差已在最近的攻击中被使用。攻击者首先与目的端点建设未经授权的毗连，然后执行一系列发明下令以网络目的情形的信息。接着，攻击者建设新治理员帐户，装置Sliver后使用框架，并设置为毗连到荷兰的下令和控制服务器。别的，攻击者还通过SimpleHelp RMM客户端破损域控制器，并建设另一个治理员帐户，同时装置了伪装成Windows svchost.exe的Cloudflare Tunnel以维持隐秘会见。为�；impleHelp免受攻击，建议用户尽快应用清静更新，查找并删除未知治理员帐户，以及将SimpleHelp会见限制在受信托的IP规模内。

https://www.bleepingcomputer.com/news/security/hackers-exploit-simplehelp-rmm-flaws-to-deploy-sliver-malware/

4. UAC-0006使用网络垂纶攻击PrivatBank客户，安排SmokeLoader恶意软件

2月6日，UAC-0006是一个以经济利益为目的的威胁组织，针对乌克兰最大国有银行PrivatBank的客户提倡了网络垂纶攻击。自2024年11月起，该组织通过发送包括受密码�；さ牡蛋福ㄈ缥弊俺筛犊钏得骰蛏矸葜な瞪杓腜DF文件）的诱骗性电子邮件，诱骗受害者下载并执行恶意软件。这些档案现实上是用于安排SmokeLoader恶意软件的，旨在实现数据窃取和未经授权的会见。攻击者接纳了多种逃避检测手艺，如密码�；ず驮谘玖粗惺褂谜毕低扯莆募�。攻击流程通常涉及翻开附件并输入密码后，执行恶意JavaScript文件，注入代码到正当Windows历程，然后运行编码的PowerShell下令来显示诱饵PDF文档并联系C2服务器下载和执行SmokeLoader。研究职员发明，UAC-0006在攻击中大宗使用PowerShell，以及JavaScript、VBScript和LNK文件，且一连以PrivatBank客户为目的，批注其关注经济利益。别的，该组织的TTP与EmpireMonkey和与俄罗斯有关的FIN7组织有重叠，可能与俄罗斯APT运动有关联。

https://hackread.com/ukraine-largest-bank-privatbank-smokeloader-malware/

5. 美国导弹防御承包商的服务器托管防火墙权限在暗网被出售

2月3日，黑客论坛Breachforums上泛起了一则令人震惊的生意信息，名为“nastya_miyako”的威胁者正在出售美国政府导弹防御承包商的服务器托管防火墙root权限，标价800美元且不接受议价。这一行为可能涉及导弹防御、武器开发或军事通讯等敏感领域，引发了普遍关注。据悉，“nastya_miyako”自去年底最先，便要求洽谈者通过更为匿名的Session软件举行相同，并使用XMR（门罗币）举行生意，这一转变可能与Telegram向政府妥协并上缴数据，以及BTC匿名性削弱有关。该威胁者在黑客论坛中曾使用四个用户名宣布生意信息，活跃时间长达四个月，共宣布了223篇生意贴，其中包括197篇攻击情报和26篇数据售卖信息。在其宣布的售卖信息中，主要以美国和中国为目的，但也涉及欧洲、东南亚和南美等国家。别的，“nastya_miyako”还售卖了包括英国核能和防御承包商服务器权限、美国政府导弹防御承包商权限、美国政府航空航天和国防部权限以及美国联邦视察局FBI分部防火墙权限等重大国际攻击情报。

https://breachforums.st/Thread-USA-Gov-Missile-Defense-Contractor

6. 新型ValleyRAT恶意软件变种接纳先进规避战略窃取敏感数据

2月4日，Morphisec威胁实验室发明了与污名昭著的Silver Fox APT组织相关的新型ValleyRAT恶意软件变种。该恶意软件通过多种渠道撒播，包括垂纶电子邮件、即时通讯平台和受熏染网站，主要目的是组织内的高价值小我私家，旨在窃取敏感数据。与之前版本差别，目今变种使用假的中国电信公司“Karlos”网站举行撒播，下载包括.NET可执行文件在内的多个组件。攻击链以虚伪Chrome浏览器下载为初始熏染前言，使用修改后的抖音可执行文件版本举行DLL侧载，并使用Valve游戏中的正当Tier0.dll执行隐藏代码。解密的有用载荷使用Donut shellcode在内存中执行，绕过古板检测要领，并试图禁用清静机制。ValleyRAT具有基本的RAT功效，团结反VMware检查逃避虚拟化情形检测，并使用初始化的IP地点和端口与C2服务器毗连。Silver Fox APT组织一直转变的战略批注新攻击越来越重大，组织应接纳更严酷的清静战略降低危害。

https://hackread.com/valleyrat-malware-variant-fake-chrome-downloads/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究