俄罗斯间谍黑客在野外利用的12大安全漏洞

据英国和美国情报机构星期五发布的一份新的咨询报告，隶属于俄罗斯外国情报局（SVR）的网络操作员已经响应了先前公开披露的攻击方法，改变了他们的战术。

“SVR网络运营商似乎做出了反应[…]通过改变他们的TTP，试图避免网络捍卫者的进一步检测和补救措施，”国家网络安全中心（NCSC）说。

这些措施包括部署一个名为Sliver的开源工具，以保持他们对受损受害者的访问，以及利用Microsoft Exchange服务器中的ProxyLogon漏洞进行攻击后活动。

在这一事态发展之前，与SVR有关的参与者公开将其归因于上个月的SolarWinds供应链攻击。敌手也被用不同的名字追踪，比如高级持续威胁29（APT29）、公爵、科兹熊和钇。

这一归因还附有一份技术报告，详细说明了SVR的APT29小组用作渗透美国和外国实体的初始接入点的五个漏洞。

• CVE-2018-13379FortiGate VPN。
• -Synacor Zimbra协作套房
• CVE-2019-11510-脉冲安全脉冲连接安全VPN
• CVE-2019-19781-Citrix应用程序交付控制器和网关
• CVE-2020-4006-VMware Workspace ONE Access

“2019冠状病毒疾病组织的目标是与俄罗斯的外国情报利益一致，包括政府、智囊团、政策和能源目标，以及更多的时间限制性靶点，例如COVID-19疫苗靶向在2020。”NCSC说。

随后在4月26日发布了一份单独的指导意见，进一步阐明了该集团用于策划入侵、计算密码喷洒、利用虚拟专用网络设备（如CVE-2019-19781）的零日漏洞获取网络访问的技术，并部署2019冠状病毒疾病，以从CVID-19疫苗开发中的多个组织中夺取知识产权。

据NCSC称，现在又增加了七个漏洞，同时指出，APT29可能会“迅速”将最近发布的公共漏洞武器化，使其能够初步访问目标。

• CVE-2019-1653-思科小型企业RV320和RV325路由器
• CVE-2019-2725-Oracle WebLogic服务器
• CVE-2019-7609-基巴纳
• CVE-2020-5902-F5大IP
• CVE-2020-14882-Oracle WebLogic服务器
• CVE-2021-21972-VMware vSphere
• CVE-2021-26855-Microsoft Exchange Server

该机构表示：“网络维护者应确保在CVE发布其管理的产品后立即应用安全补丁。”。