微软警示：利用公开ASP.NET密钥的ViewState代码注入攻击肆虐

首页 > 安全钻研 > 安全传递 > 安全简讯

微软警示：利用公开ASP.NET密钥的ViewState代码注入攻击肆虐

颁布功夫 2025-02-07

1. 微软警示：利用公开ASP.NET密钥的ViewState代码注入攻击肆虐

2月6日，微软发出忠告，指出攻击者在利用在线找到的静态 ASP.NET 机械密钥，在 ViewState 代码注入攻击中部署恶意软件。一些开发人员失慎在软件中使用了从代码文档和存储库平台上找到的 ASP.NET 密钥，这些密钥本利用于�；� ViewState 免遭篡改和信息泄露。然而，攻击者却利用这些公开起源的密钥，通过附加精心设计的新闻认证代码 (MAC) 创建恶意 ViewState，并在指标服务器上执行，实现远程代码执行和恶意负载部署。微软已发现超过 3,000 个公开披露的密钥可用于此类攻击，这些密钥存在于多个代码存储库中，带来高风险。为应对此威胁，微软建议开发人员安全天活力械密钥，预防使用默认或在线找到的密钥，并升级利用法式以启用反恶意软件扫描接口 (AMSI) 职能。同时，微软分享了删除或代替 ASP.NET 键的具体步骤，并从公共文档中删除了密钥示例。微软忠告称，若是公开密钥被利用，轮换密钥可能不及以解决问题，建议对网络服务器进行全面调查，并在鉴别出公开密钥的情况下思考沉新体式化并离线沉新装置。

https://www.bleepingcomputer.com/news/security/microsoft-says-attackers-use-exposed-aspnet-keys-to-deploy-malware/

2. Kimsuky黑客组织选取定造RDP Wrapper和代理工具执行隐秘攻击

2月6日，朝鲜黑客组织Kimsuky近期在攻击当选取了定造的RDP Wrapper和代理工具，直接接见受习染机械，这标志取其战术的转变。据AhnLab安全谍报中心(ASEC)观察，Kimsuky不再仅依赖如PebbleDash等后门工具，而是使用了多种定造的远程接见伎俩。最新的攻击链始于一封蕴含恶意快捷方式(.LNK)文件附件的鱼叉式网络垂钓电子邮件，该邮件针对特定指标进行了窥伺。打开.LNK文件会触发PowerShell或Mshta从表部服务器下载其他有效负载，蕴含PebbleDash后门、批改后的RDP Wrapper工具和代理工具。Kimsuky定造的RDP Wrapper扭转了导出职能以绕过防病毒检测，提供悠久的RDP接见，并允许基于GUI的远程节造，同时能绕过防火墙或NAT限度。一旦在网络中站稳脚跟，Kimsuky还会投放次要有效负载，如键盘纪录器、信息窃取法式(forceCopy)和基于PowerShell的ReflectiveLoader。ASEC指出，Kimsuky是一个持续不休且不休演变的威胁，选取更隐秘的远程接见步骤以耽搁在受习染网络中的停顿功夫。

https://www.bleepingcomputer.com/news/security/kimsuky-hackers-use-new-custom-rdp-wrapper-for-remote-access/

3. 黑客利用SimpleHelp RMM缝隙创建治理怨厥户并疑似为勒索软件攻击铺路

2月6日，黑客近期对准了存在缝隙的SimpleHelp RMM客户端，利用编号为CVE-2024-57726、CVE-2024-57727和CVE-2024-57728的缝隙来创建治理怨厥户、植入后门，并可能为后续的勒索软件攻击铺路。据网络安全公司Field Effect证实，这些缝隙已在最近的攻击中被利用。攻击者首吓纂指标端点成立未经授权的衔接，而后执行一系列发现号令以网络指标环境的信息。接着，攻击者创建新治理怨厥户，装置Sliver后利用框架，并配置为衔接到荷兰的号令和节造服务器。此表，攻击者还通过SimpleHelp RMM客户端粉碎域节造器，并创建另一个治理怨厥户，同时装置了假装成Windows svchost.exe的Cloudflare Tunnel以维持隐秘接见。为�；impleHelp免受攻击，建议用户尽快利用安全更新，查找并删除未知治理怨厥户，以及将SimpleHelp接见限度在受信赖的IP领域内。

https://www.bleepingcomputer.com/news/security/hackers-exploit-simplehelp-rmm-flaws-to-deploy-sliver-malware/

4. UAC-0006利用网络垂钓攻击PrivatBank客户，部署SmokeLoader恶意软件

2月6日，UAC-0006是一个以经济利益为指标的威胁组织，针对乌克兰最大国有银行PrivatBank的客户提议了网络垂钓攻击。自2024年11月起，该组织通过发送蕴含受密码�；さ牡蛋福ㄈ缂僮俺筛犊钭⒚骰蛏矸葜っ魃杓腜DF文件）的糊弄性电子邮件，诱骗受害者下载并执行恶意软件。这些档案现实上是用于部署SmokeLoader恶意软件的，旨在实现数据窃取和未经授权的接见。攻击者选取了多种逃避检测技术，如密码�；ず驮谙叭玖粗惺褂煤戏ㄏ低扯煳募�。攻击流程通常涉及打开附件并输入密码后，执行恶意JavaScript文件，注入代码到合法Windows过程，而后运行编码的PowerShell号令来显示钓饵PDF文档并联系C2服务器下载和执行SmokeLoader。钻研人员发现，UAC-0006在攻击中大量使用PowerShell，以及JavaScript、VBScript和LNK文件，且持续以PrivatBank客户为指标，批注其关注经济利益。此表，该组织的TTP与EmpireMonkey和与俄罗斯有关的FIN7组织有沉叠，可能与俄罗斯APT活动有关联。

https://hackread.com/ukraine-largest-bank-privatbank-smokeloader-malware/

5. 美国导弹防御承包商的服务器托管防火墙权限在暗网被销售

2月3日，黑客论坛Breachforums上出现了一则令人震惊的买卖信息，名为“nastya_miyako”的威胁者在销售美国当局导弹防御承包商的服务器托管防火墙root权限，标价800美元且不接受议价。这一行为可能涉及导弹防御、兵器开发或军事通讯等敏感领域，引发了宽泛关注。据悉，“nastya_miyako”自去年底起头，便要求洽谈者通过更为匿名的Session软件进行沟通，并使用XMR（门罗币）进行买卖，这一转变可能与Telegram向当局妥协并上缴数据，以及BTC匿名性减弱有关。该威胁者在黑客论坛中曾使用四个用户名颁布买卖信息，活跃功夫长达四个月，共颁布了223篇买卖贴，其中蕴含197篇攻击谍报和26篇数据售卖信息。在其颁布的售卖信息中，重要以美国和中国为指标，但也涉及欧洲、东南亚和南美等国度。此表，“nastya_miyako”还售卖了蕴含英国核能和防御承包商服务器权限、美国当局导弹防御承包商权限、美国当局航空航天和国防部权限以及美国联国调查局FBI分部防火墙权限等沉大国际攻击谍报。

https://breachforums.st/Thread-USA-Gov-Missile-Defense-Contractor

6. 新型ValleyRAT恶意软件变种选取先进躲避战术窃取敏感数据

2月4日，Morphisec威胁尝试室发现了与臭名远扬的Silver Fox APT组织有关的新型ValleyRAT恶意软件变种。该恶意软件通过多种渠路传布，蕴含垂钓电子邮件、即时通讯平台和受习染网站，重要指标是组织内的高价值幼我，旨在窃取敏感数据。与之前版本分歧，当前变种使用假的中国电信公司“Karlos”网站进行传布，下载蕴含.NET可执行文件在内的多个组件。攻击链以虚伪Chrome浏览器下载为初始习染媒介，利用批改后的抖音可执行文件版本进行DLL侧载，并利用Valve游戏中的合法Tier0.dll执行暗藏代码。解密的有效载荷使用Donut shellcode在内存中执行，绕过传统检测步骤，并试图禁用安全机造。ValleyRAT拥有根基的RAT职能，结合反VMware查抄逃避虚构化环境检测，并使用初始化的IP地址和端口与C2服务器衔接。Silver Fox APT组织不休变动的战术批注新攻击越来越复杂，组织应选取更严格的安全战术降低风险。

https://hackread.com/valleyrat-malware-variant-fake-chrome-downloads/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研