最新的网络安全调查显示,去年针对丹麦能源部门的网络攻击可能没有与俄罗斯相关的 Sandworm 黑客组织参与。
根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,这些入侵于 2023 年 5 月针对大约 22 个丹麦能源组织,分两波以不同的方式进行,其中一波利用了合勤 (Zyxel) 防火墙的安全漏洞 (CVE-2023-28771),而后续的活动集群则让攻击者部署了 Mirai 僵尸网络通过未知的初始访问向量在受感染主机上进行变体。
第一波发生在 5 月 11 日,第二波持续时间为 2023 年 5 月 22 日至 31 日。在 5 月 24 日检测到的一次此类攻击中,观察到受感染的系统正在与 IP 地址 (217.57.80.18 和 70.62.153.174),之前被用作现已拆除的Cyclops Blink僵尸网络的命令和控制 (C2)。
然而,Forescout 对攻击活动的仔细检查表明,这两波攻击不仅无关,而且也不太可能是国家资助的组织所为,因为第二波攻击是针对未打补丁的合勤 (Zyxel) 的更广泛的大规模剥削活动的一部分。防火墙。目前尚不清楚这两起袭击的幕后黑手是谁。
该活动被描述为对丹麦的第二波攻击,在10天时间段之前开始并在10天时间段之后继续,以非常相似的方式不加区别地针对防火墙,只是定期更换临时服务器。
有证据表明,攻击可能早在 2 月 16 日就开始使用合勤科技设备的其他已知缺陷(CVE-2020-9054 和 CVE-2022-30525)以及 CVE-2023-28771,并持续到 2023 年 10 月。该活动挑选了欧洲和美国的各个实体
这进一步证明,CVE-2023-27881 的利用并不仅限于丹麦关键基础设施,而是持续存在并针对暴露的设备,其中一些恰好是保护关键基础设施组织的 Zyxel 防火墙。
极牛网精选文章《据调查去年针对丹麦能源部门的网络战与俄罗斯沙虫组织无关》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/27196.html