远程桌面漏洞助长PlugX恶意软件传播

关键要点

• 恶意行为者利用远程桌面程序的漏洞，传播PlugX恶意软件。
• 攻击者通过执行PowerShell命令，利用合法的ESET HTTP服务器启动DLL侧载，加载DLL文件和PlugX有效负载。
• PlugX恶意软件拥有远程下载和执行外部文件的能力，以及收集数据的插件。
• PlugX恶意软件仍在持续更新，并被广泛应用于各类攻击当中。

近期，报道称，恶意行为者正在利用远程桌面程序的漏洞进行PlugX恶意软件的传播。根据AhnLab安全应急响应中心的报告，当攻击者成功利用这些漏洞后，会执行一个PowerShell命令，来启动合法的ESETHTTP服务器可执行文件，以利用DLL侧载来加载DLL文件和PlugX有效负载。

PlugX恶意软件不仅具备任意服务执行的功能，还可以下载和执行外部文件，并能够部署数据采集插件，这些插件可能通过远程桌面协议进行传播。“即使在今天，PlugX仍在不断添加新功能，因为它在攻击中持续被广泛使用。当后门PlugX被安装后，恶意行为者可以在用户不知情的情况下控制被感染的系统，”ASEC表示。

更多信息

功能 | 描述
—|—
任意服务执行 | 允许对系统服务的控制
下载和执行外部文件 | 可以从外部下载执行恶意代码
数据采集插件 | 用于收集用户数据
更新与维护 | 持续添加新功能以增强攻击能力

参考链接： –

鉴于PlugX恶意软件的威胁，用户应加强远程桌面的安全配置，并定期检查系统是否存在可疑活动。此外，确保所有软件和操作系统及时更新，以防止类似漏洞的利用。