黑客利用Adob​​e ColdFusion漏洞部署恶意软件

FortiGuard实验室的网络安全研究人员发现了多个影响Windows和Mac设备的Adob​​e ColdFusion漏洞。

目前,由于Adob​​e ColdFusion中存在的漏洞,Windows和macOS平台的许多用户都面临风险。该软件套件是Web应用程序开发的热门选择,最近因远程攻击者发现并利用预身份验证远程代码执行(RCE)漏洞而受到攻击。此类漏洞使攻击者能够夺取受影响系统的控制权,从而将警报提升至严重程度。

这些攻击的关键目标是Adob​​e ColdFusion 2021中的WDDX反序列化过程。虽然Adob​​e通过安全更新(APSB23-40、APSB23-41和APSB23-47)迅速做出响应,但FortiGuard Labs观察到了持续的利用尝试。

对攻击模式的分析揭示了威胁行为者执行的过程。他们使用“interactsh”等工具发起探测活动,以测试漏洞利用的有效性。观察到的这些活动涉及多个域,包括mooo-ngcom、redteamtf和h4ck4funxyz。探测阶段为攻击者提供了对潜在漏洞的洞察,并成为更多恶意行为的先兆。

攻击行动的复杂性延伸到了反向炮弹的使用。通过以Base64编码有效负载,攻击者试图获得对受害者系统的未经授权的访问,从而实现远程控制。

值得注意的是,该分析揭示了一种多管齐下的方法,包括部署各种恶意软件变体。攻击是从不同的IP地址发起的,引发了人们对该活动影响范围广泛的担忧。恶意软件有效负载以Base64进行编码,在解码之前隐藏其真实性质。研究人员发现了四种不同的恶意软件菌株:XMRig Miner、Satan DDoS/Lucifer、RudeMiner和BillGates/Setag后门。

XMRig Miner主要与门罗币加密货币挖掘相关,被用来劫持系统处理能力。通过利用版本6.20.0,攻击者成功地利用受感染的系统来获取自己的经济利益。

Lucifer是一种结合了加密劫持和分布式拒绝服务 (DDoS) 功能的混合机器人,成为一个强大的实体。该恶意软件变体不仅展示了其挖掘能力,还展示了其在命令和控制操作、通过漏洞传播以及复杂的 DDoS 攻击方面的熟练程度。

RudeMiner 与 Lucifer 连接,携带了之前活动中遗留的 DDoS 攻击。它对持续威胁形势的参与证明了其持久性和适应性,使其成为一个重大问题。

之前与 Confluence 服务器漏洞相关的BillGates/Setag 后门在这种情况下重新出现。其多方面的功能包括系统劫持、C2 通信和多种攻击方法,包括 SYN、UDP、ICMP 和基于 HTTP 的攻击。

尽管有安全补丁,但持续不断的攻击凸显了采取行动的紧迫性。强烈建议用户及时升级系统,并部署包括防病毒服务、IPS签名、网页过滤和IP信誉跟踪在内的保护机制,以阻止持续的攻击。

发表评论

评论已关闭。

相关文章