根据 BleepingComputer 的报道,黑客正在利用 Progress Software 的网络可用性和性能监测工具 WhatsUp Gold 中的两个严重 SQL 注入漏洞,这两个漏洞被跟踪编号为 CVE20246670 和 CVE20246671。安全研究员 Sina Kheirkhah 于8月30日发布了相关的概念验证利用代码,随即在五小时后,就观察到针对这些漏洞的攻击,进而实现远程代码执行。
Trend Micro 的分析显示,攻击者在利用 WhatsUp Gold 的 Active Monitor PowerShell 脚本功能执行多个 PowerShell 脚本后,进一步利用 msiexecexe 工具来安装 Atera Agent、SimpleHelp 远程访问、Splashtop 远程和 Radmin 远程访问工具,以实现持久性和后续有效载荷的部署。尽管对此次攻击没有确切的归属,但由于多种 RAT 的出现,分析认为这种入侵可能与勒索软件行动有关。
蚂蚁官方永久加速器这项发展是在对 WhatsUp Gold 实例进行攻击的一个多月后进行的,而这些实例因为严重的 RCE 漏洞 CVE20244885 而受到威胁,相关事件由 Shadowserver Foundation 报告。
