駭客利用BeyondTrust重大漏洞從事攻擊,意圖散佈Web Shell與後門VShell、SparkRAT
漏洞概述與攻擊行為
2月6日,身分存取安全公司BeyondTrust發布資安公告,指出旗下遠端支援(Remote Support,RS)系統及特權遠端存取(Privileged Remote Access,PRA)系統存在重大層級的命令注入漏洞CVE-2026-1731。未經授權的攻擊者可藉由傳送特製請求,在曝險的RS或PRA平臺執行作業系統層級命令,CVSS v4.0風險評為9.9分(CVSS v3.1為9.8分),屬於極高風險。
在公告後不久,即出現有人嘗試利用該漏洞的跡象。資安公司Unit 42調查指出,駭客在成功利用漏洞後,會進行以下行為:
- 執行網路偵察與建立帳號
- 部署Web Shell與後門程式(如VShell、SparkRAT)
- 進行橫向移動並竊取資料
後門工具與攻擊細節
根據Palo Alto Networks的報告,攻擊者利用CVE-2026-1731漏洞後,會部署以下工具:
- VShell:一種後門程式,可用於遠端控制受感染系統,且無需寫入額外檔案即可執行指令。
- SparkRAT:一種Go語言開發的遠端存取木馬(Trojan),最初於2023年被發現,與DragonSpark威脅集團相關。
該漏洞已導致5個國家出現攻擊災情,駭客在短時間內成功挾持管理員帳號,並擴展攻擊範圍。
相關來源與資訊
相關資訊來自以下來源: