ie脚本引擎的远程代码执行漏洞变种,称为CVE-2018-8373修补了去年8月在野外被发现。看看国际石油公司由TrendMicro的同事发布,我们认识到该漏洞的基础设施。相同的静态域已处于活动状态至少从7月初开始,并从注入恶意脚本的成人网站重定向到。

在以下8月份的流量捕获中,我们得到了服务CVE-2018-8174.,这是认为出自同一作者之手。有趣的是,这不是一个开发工具包,而是一个单独的参与者,实现了可用的概念证明来分发他的有效载荷,类星体远程管理工具(RAT)。

在我们使用这个新的CV-2018-8373的新变种期间,我们发现它是非常不稳定的并且无法通过PowerShell调用引爆其有效载荷。然而,2018-8174的工作CVE-2018-8174仍在提供与8月份捕获的相同有效载荷。

CVE-2018-8373的源代码已经上传到多个平台(帕特宾VirusTotal),包括到AnyRun沙箱。该示例触发利用并生成PowerShell。在下面的动画中,我们重放了这个攻击来展示我们的anti-exploit技术能够在各个层面缓解此漏洞。

我们可以预期,其他treat参与者将查看此代码,以确定可能的实现。然而,除非对其进行改进,否则不太可能将其集成到漏洞工具包中,因为它的同类产品CVE-2018-8174可以完美运行。

妥协的指标

注入的成人网站

198.211.33 [。] 67俱乐部[。] com

Exploit-serving域

54.191.17 [。] 130 myswcd [。] com / vol / m3.html,cve-2018-8373 myswcd [。] com / vol / m2.html,cve-2018-8174 MySWCD [。] Com / Vol / Me.html,cve-2018-8174

有效载荷

myswcd。com/vol/s1.exe,装载机myswcd。com/vol/v1.exe,安装程序myswcd。com/vol/v2.exe,类星体鼠7 eef6ef8fed53b7c3bf61ba821f375a0a433ea4cb0185fd223780b729a9a5792 268909 bc33f0f8c5312b51570016311e3676af651a57de38e42241dcc177b2d6 D9A967D0CAA8DB86FECA3AE469EF6797E81DFDAC4D8531658CB242A87C80CE05