Hackers aprovechan vulnerabilidades en Sunlogin para implementar el framework Sliver C2
Hackers aprovechan las vulnerabilidades en Sunlogin para implementar el marco Sliver C2
Los hackers están aprovechando vulnerabilidades conocidas en el software Sunlogin para implementar el marco de comando y control (C2) de Sliver, con el fin de realizar actividades posteriores a la explotación.
Los hallazgos provienen del Centro de Respuesta a Emergencias de Seguridad AhnLab (ASEC), que descubrió que las vulnerabilidades de seguridad en Sunlogin, un programa de escritorio remoto desarrollado en China, están siendo abusadas para implementar una amplia gama de cargas útiles.
Las cadenas de ataque comienzan con la explotación de dos errores de ejecución remota de código en las versiones de Sunlogin anteriores a la v11.0.0.33 (CNVD-2022-03672 y CNVD-2022-10270), seguido de la entrega de Sliver u otro malware como Gh0st RAT y XMRig crypto.
En uno de los casos, el atacante usó las vulnerabilidades de Sunlogin como arma para instalar un script de PowerShell que, a su vez, emplea la técnica BYOVD para incapacitar el software de seguridad instalado en el sistema y lanzar un shell inverso usando Powercat.
El método BYOVD abusa de un controlador de Windows legítimo pero vulnerable, mhyprot2.sys, que está firmado con un certificado válido para obtener permisos elevados y finalizar los procesos antivirus.
Cabe mencionar que el controlador antitrampas para el videojuego Genshin Impact se usó anteriormente como precursor de la implementación de ransomware, según lo revelado por Trend Micro.
Los hallazgos se producen cuando los hackers están adoptando Sliver, una herramienta de prueba de penetración legítima basada en Go, como alternativa a Cobalt Strike y Metasploit.