Purple Fox EK的作者添加了2个Microsoft漏洞利用

行业资讯 | 2020-07-09

Purple Fox EK 的作者已经将两个针对 Microsoft 漏洞的新漏洞利用集成到 Purple Fox EK 中。

它的作者继续改进Purple Fox EK,该作者实施了两个针对 Microsoft 关键和高严重性Microsoft漏洞的新利用程序。

Purple Fox EK 似乎是为替代 Purple Fox Trojan 发行中臭名昭著的RIG漏洞利用工具包(EK)而制造的。该木马的作者还开发了自己的EK,以进行分发以最大程度地提高他们的利润。Purple Fox 恶意软件的作者已停止使用RIGEK,而转为内部EK,这确认了降低成本的目标。

漏洞利用工具包的新版本包含用于漏洞利用 CVE-2020-0674 和 CVE-2019-1458 的代码。

1月,Microsoft 已发布安全公告(ADV200001),其中包括缓解影响 Internet Explorer 的 CVE-2020-0674 零日远程代码执行(RCE)漏洞的缓解措施。当时,这家科技巨头证实 CVE-2020-0674 零日漏洞已在野外得到积极利用。

攻击者可以利用此漏洞来获得与用户登录到受到感染的 Windows 设备相同的用户权限。如果用户使用管理权限登录,则攻击者可以利用此漏洞来完全控制系统。

CVE-2020-0674 漏洞可能是通过诱骗受害者访问托管旨在通过 Internet Explorer 利用此问题的特制内容的网站而引发的。

Microsoft 的2019年12月补丁星期二解决了 CVE-2019-1458 Windows 零日攻击的问题,该漏洞在与朝鲜相关的攻击中得到利用。该漏洞可能被利用以内核模式执行任意代码。

CVE-2019-1458 漏洞是一个特权升级问题,与 Win32k 组件如何处理内存中的对象有关。

Microsoft 通过更正 Win32k 处理内存中对象的方式来解决此漏洞。

卡巴斯基(Kaspersky)报告了此漏洞,该安全公司的专家证实,在名为 Operation Wizard Opium 的活动中已利用了 CVE-2019-1458 漏洞。

Proofpoint 的专家指出,Purple Fox 恶意软件以前使用针对较旧的 Microsoft 漏洞的漏洞,包括 CVE-2018-8120 和 CVE-2015-1701 问题。

“在 Purple Fox EK 的最新版本中,我们看到作者添加了针对 CVE-2020-0674 和 CVE-2019-1458 的攻击,这两个漏洞在2019年底和2020年初出现。”读取 Proof Point 发布的分析。



专家在6月底发现了一次恶意广告活动,威胁参与者正在使用 Purple Fox EK 通过 Internet Explorer 11 在 Windows10 上触发CVE-2020-0674。

CVE-2020-0674 攻击针对 Internet Explorer 对 Windows库jscript.dll的使用。发起攻击后,恶意脚本会尝试从 jscript.dll 中的 RegExp 实现中泄漏地址,然后使用该地址搜索 jscript.dll 的PE标头,然后使用它查找 kernel32.dll 的导入描述符。

kernel32.dll 的描述符包含EK加载实际 shellcode 所需的进程和内存操作功能。

专家继续说道:“尤其是使用功能 Get Module HandleA 来获取正在运行的模块句柄。”“此句柄与Get Proc Address 一起使用以定位 Virtual Protect,Virtual Protect 进而用于对 shellcode 启用'读,写,执行'(RWX)权限。最后,通过调用RegExp::test的重写实现来触发shellcode。”

通过运行命令“mshta<有效载荷URL>”(该命令开始实际执行恶意软件),该Shellcode用于查找WinExec以创建新进程。

专家们强调了漏洞利用工具包在威胁领域中的作用,即使它们不像几年前那样普遍,它们仍继续是某些攻击链的一部分。

研究人员总结说:“关于漏洞利用工具包的一件不变的事情是,漏洞利用工具包的作者定期更新以包括针对新发现的漏洞的新攻击的方式。”“在对 Purple Fox EK 的最新修订中,我们看到作者添加了针对 CVE-2020-0674 和 CVE-2019-1458 的攻击,这两个漏洞在2019年底和2020年初出现。这告诉我们,PurpleFox的作者一直在关注可行的可利用漏洞,并在它们可用时进行更新。可以合理预期它们会随着发现新漏洞而继续更新。”

来源:(Security Affairs–黑客,PurpleFoxEK)

相关文章 『云主机』服务器服务进程的模式你都了解吗? 『主机箱声音大』服务器租用带宽需要多大,怎么看? 『ibm服务器硬盘』金融业网站租用服务器怎么看参数? 『vps』测试服务器的稳定程度,这几个方面很重要 『水桶服务器』个人服务器的选配置注意事项 『宁波服务器』为什么推荐站长使用独享服务器呢? 『psp主机』外企使用美国服务器的五大优势 『主机租用』视频直播服务器主要看哪些参数? 『服务器的cpu』公司使用服务器空间主要注意哪些方面? 『美国主机评测』海外服务器租用这些误区你知道几个?
上一篇:

工信部:要求严查商务楼宇带宽垄断问题!

下一篇:

TikTok被指违反儿童隐私保护协议 美机构调查

XRSERVERS

在线
客服

客服
热线

400-630-3752
7*24小时客服服务热线

顶部