第一个利用 SolarWinds 漏洞以入侵欧盟国家的组织 – 作者:Avenger

一家名为 Prodaft 的瑞士网络安全公司声称发现了与 SolarWinds 攻击有关的另一起网络攻击。

Prodaft 的安全研究员表示,自从去年八月开始黑客组织 Silverfish 就以政府和公司为目标进行了大规模的攻击活动。

1616425580_6058b26cecfbed9d07364.png!small?1616425581026

Prodaft 渗透了 SolarWinds 的 C&C 服务器,发现从去年八月开始该组织已经攻击了近 4700 名受害者,这些受害者与受到 SolarWinds 攻击的组织存在大量重叠。这个技巧高超的攻击组织的攻击目标包括美国、欧盟和其他国家的世界五百强企业、政府机构、IT 服务提供商、国防承包商和航空公司。

1616425279_6058b13f868bbe03e33b8.png!small?1616425279524

研究人员表示,SilverFish 是第一个利用与 SolarWinds 相关的漏洞针对欧盟国家发动攻击的组织。

去年 12 月,SolarWinds 攻击被曝光,Prodaft 在一个受到 SolarWinds 攻击的客户现场进行了分析。结合 FireEye 公布的 IOC 指标,Prodaft 为 SolarWinds 攻击的服务器创建了指纹,然后在全网搜索相同指纹的服务器

1616425465_6058b1f964aac04412113.png!small?1616425467447

全球一共发现了 12 个符合条件的 C&C 服务器,Prodaft 发现了其中两台服务器存在配置漏洞后入侵了它们。研究人员发现该组织从 2020 年 8 月开始一直很活跃,通过 IP、用户名、时间戳、执行命令等方面验证了这些受害者与 SolarWinds 攻击受害者的关系

1616425204_6058b0f4c5b3b232ae186.png!small?1616425204853

根据 Prodaft 的分析,SilverFish 共有四个小组发动攻击。

1616425368_6058b198056cc370c66e0.png!small?1616425367949

受害者中位于美国的实体遭受的攻击次数最多(2465),其次是欧洲(1466)

1616425139_6058b0b3071deceff9484.png!small?1616425139033

尽管英语仍然是黑客的主要语言,但攻击者仍然使用了俄语的俚语和口头语。同时,有证据表明黑客在俄罗斯和乌克兰操纵 C&C 服务器,其中一些 C&C 服务器与归属于俄罗斯的攻击组织 Evil Corp 共享

1616425239_6058b11786be70f2aee70.png!small?1616425240204

2020 年 12 月,SolarWinds 攻击被发现时美国就声称该次攻击与俄罗斯攻击组织有关

2021 年 1 月,卡巴斯基的安全研究员表示 SolarWinds 攻击中使用的 SunBurst 与 Turla 组织之前使用的 Kazuar后门有关

2021 年 1 月,微软表示 SolarWinds 攻击者能够访问其源代码,但是未能对其进行更改

2021 年 3 月,Mimecast 表示其源码在 SolarWinds 攻击中被盗

1616425320_6058b1680636e167fa4b6.png!small?1616425319975

SilverFish 使用的工具包括 Empire、Cobalt Strike 和 Mimikatz,以及一些自己编写的 Rootkit、PowerShell、BAT 和 HTA 文件。SilverFish 攻击有着特定的行为模式,比如执行命令列出域控和受信任的域、显示管理员账户,之后再进行后续侦察和信息窃取。

1616425520_6058b230611e61c87934b.png!small?1616425520858

SilverFish 构建了名为 VictimTotal 的测试工具,针对不同企业部署的 AV 和 EDR 部署不同的 Payload 以提高攻击成功率

1616425544_6058b248af1436f823a2a.png!small?1616425544688

Prodaft 表示,尽管被入侵的公司都是大型关键信息基础设施,但它们大多都没有发现已经被入侵了。

参考来源

Computing

EHackingNews

Prodaft

来源:freebuf.com 2021-03-22 23:12:11 by: Avenger

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论