Os actores da ameaça estão a aproveitar as falhas conhecidas no software Sunlogin para implementar a estrutura de comando e controlo da Fita (C2) para a realização de actividades pós-exploração.
As conclusões vêm do AhnLab Security Emergency Response Center (ASEC), que descobriu que as vulnerabilidades de segurança no Sunlogin, um programa de computador remoto desenvolvido na China, estão a ser abusivamente utilizadas para implementar uma vasta gama de cargas úteis.
“Não só os actores da ameaça usaram a porta traseira da Sliver, mas também usaram o malware BYOVD (Bring Your Own Vulnerable Driver) para incapacitar produtos de segurança e instalar shells invertidas”, os investigadores disse.
As cadeias de ataque começam com a exploração de dois bugs de execução de código remoto em versões Sunlogin anteriores à v11.0.0.33 (CNVD-2022-03672 e CNVD-2022-10270), seguidos pela entrega de Sliver ou outro malware, tais como Gh0st RAT e XMRig mineiro de moedas criptográficas.
Num caso, diz-se que o actor da ameaça armou as falhas do Sunlogin para instalar um script PowerShell que, por sua vez, emprega a técnica BYOVD para incapacitar o software de segurança instalado no sistema e largar uma concha invertida usando Powercat.
O método BYOVD abusa de um driver legítimo mas vulnerável do Windows, mhyprot2.sys, que é assinado com um certificado válido para obter elevadas permissões e terminar os processos antivírus.
Vale a pena notar aqui que o controlador anti-batota para o jogo de vídeo Genshin Impact foi anteriormente utilizado como um precursor para a implementação de um resgate, tal como revelado pela Trend Micro.
“Não se confirma se foi feito pelo mesmo actor ameaçador, mas após algumas horas, um registo mostra que uma porta traseira Sliver foi instalada no mesmo sistema através de uma exploração de vulnerabilidade RCE Sunlogin”, disseram os investigadores.
As conclusões surgem como agentes de ameaça que estão a adoptar a Sliver, uma ferramenta de teste de penetração legítima baseada em Go-, como alternativa à Cobalt Strike e Metasploit.
“Sliver oferece as características necessárias passo a passo como roubo de informação de conta, movimento de rede interna, e ultrapassagem da rede interna de empresas, tal como a Cobalt Strike”, concluíram os investigadores.