中国黑客利用最新的SolarWinds 0-Day进行有针对性的攻击

Microsoft on Tuesday disclosed that the latest string of attacks targeting SolarWinds Serv-U managed file transfer service with a now-patched remote code execution (RCE) exploit is the handiwork of a Chinese threat actor dubbed "DEV-0322."

几天前，这家总部位于德克萨斯州的IT监控软件制造商发布了针对该漏洞的修复程序，该漏洞可能使对手能够以权限远程运行任意代码，从而允许他们执行安装和运行恶意有效负载或查看和更改敏感数据等操作。

RCE漏洞被追踪为CVE-2021-35211，存在于Serv-U的安全外壳（SSH）协议实现中。尽管之前有消息称，这些攻击的范围有限，但SolarWinds表示，“不知道潜在受影响客户的身份”

微软威胁情报中心（Microsoft Threat Intelligence Center，MSTIC）根据观察到的受害者学、战术和程序，高度自信地将入侵归因于DEV-0322（简称“开发组0322”），称该对手以攻击美国国防工业基地部门的实体和软件公司而闻名。

据MSTIC称，“该活动组总部位于中国，并在其攻击者基础设施中使用商业VPN解决方案和受损消费者路由器进行了观察。”MSTIC在检测到主Serv-U进程中产生了多达六个异常恶意进程后发现了零，这表明存在一种危害。

这也是总部位于中国的黑客组织第二次利用SolarWinds软件中的漏洞，将其作为针对企业网络进行有针对性攻击的沃土。

早在2020年12月，微软就披露，一个独立的间谍组织可能一直在利用IT基础设施提供商的猎户座软件，在受感染的系统上投放一个名为Supernova的持久后门。自那以后，这些入侵被认为是与中国有关的威胁行为体“螺旋”。

与此次袭击有关的其他危害指标可从SolarWinds的修订版公告中获取。

更新：本文已更新，以反映攻击者没有利用SolarWinds漏洞攻击国防和软件公司。到目前为止，还没有提供在这次零日袭击中谁遭到袭击的信息。