攻击分析

攻击步骤

通过研究人员分析,此次攻击链主要实施过程有以下三步:

第一,不法分子会利用微信(PC版)0day以构造恶意的钓鱼链接,通过微信将钓鱼链接发送到目标单位员工。

第二,当目标员工打开不法分子的钓鱼链接时,将会触发该漏洞,导致目标员工PC被植入不法分子制作的cobalstrike木马,木马进程为:xxxsoft.exe,同时将创建命名为dotnet_v4.3的系统服务。

第三,不法分子将进一步在c:\\ProgramData\目录下放置TxPortMap.exe 扫描工具且利用该工具扫描目标单位的内网。

攻击特征

通过国内有关安全研究机构验证,此次发现的攻击技术特征如下:

通过微信点击URL链接,在这个过程中会调用微信的内置浏览器(chrome内核,并开启了--no-sandbox参数)以加载远程js代码并执行,待针对chrome漏洞利用的js代码成功执行,shellcode就会启动远控进程,最终获取目标PC当前的用户权限。

由于存在上述漏洞的版本的微信内置浏览器沙箱(开启了--no-sandbox参数)关闭,漏洞利用难度降低,影响范围较大,相关用户请及时更新到新版微信,如下图:

 

国内有关安全研究机构已验证该0day漏洞可利用性,经验证用户只要点击一次链接就可以被完全控制:

解决方案

针对次攻击利用的漏洞情况,腾讯安全应急响应中心已发布《关于Chrome存在安全问题可能影响Windows版本微信的通告》,参考链接:

【TPSA-21-12】关于Chrome存在安全问题可能影响Windows版本微信的通告

安全建议

1、请教职工与学生加强安全意识,如非必要,切勿在微信(PC版)点击可疑链接;

2、目前微信官方已修复此漏洞并发布了更新版本,建议尽快升级微信(PC版)至最新安全版本。

 

 

来源:广东省网络安全应急响应中心