微软周二透露,针对SolarWinds服务器的文件传输服务的最新一系列攻击是由一个名为“DEV-0322”的威胁分子发起的,该攻击带有一个现已修补过的远程代码执行(RCE)漏洞。
几天前,这家总部位于德克萨斯州的IT监控软件制造商发布了针对该漏洞的补丁,该漏洞可能使对手能够以特权远程运行任意代码,允许他们执行安装和运行恶意负载或查看和修改敏感数据等操作。
跟踪CVE-2021-35211, RCE缺陷驻留在服务器- u的实现的安全Shell (SSH)协议。虽然此前披露的攻击范围有限,但SolarWinds表示“不知道潜在受影响客户的身份。”
微软威胁情报中心(MSTIC)根据观察到的受害者特征、战术和程序,高度信任地将入侵归因于DEV-0322(“开发集团0322”的简称),称对手挑选出了美国国防工业基地部门和软件公司的实体。
”这个活动集团总部设在中国,观察使用商业VPN解决方案和损害消费者路由器攻击者在他们的基础设施,”据MSTIC,它检测到后发现了零日多达六个异常恶意进程被从主Serv-U衍生过程,暗示一种妥协。
这一进展还标志着该黑客组织第二次利用太阳风软件的漏洞,作为针对企业网络进行有针对性攻击的沃土。
早在2020年12月,微软就披露,一个独立的间谍组织可能正在利用IT基础设施提供商的Orion软件,在受感染的系统上投放一个名为超新星的持久后门。自那以后,黑客入侵被认为是一个与中国有关的威胁行为,名为Spiral。
与攻击相关的其他妥协指标可以从SolarWinds修改后的建议中获得。
极牛网精选文章《黑客利用最新的太阳风SolarWinds零日攻击美国国防公司》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/14820.html