FBI、CISA和NSA披露黑客如何瞄准国防工业基地组织

U、 美国网络安全和情报机构周二透露，作为网络间谍活动的一部分，多个民族国家黑客组织可能以“国防工业基地（DIB）部门组织的企业网络”为目标。

当局表示：“（高级持续威胁）行为者使用名为Impacket的开源工具包在环境中站稳脚跟，进一步破坏网络，还使用自定义数据过滤工具CovalentStealer窃取受害者的敏感数据”。

这项联合咨询由网络安全和基础设施安全局（CISA）、联邦调查局（FBI）和国家安全局（NSA）撰写，称对手可能长期接触受威胁的环境。

这些调查结果是CISA与网络安全公司Mandiant在2021 11月至2022年1月期间合作的事件响应工作的结果。CISA没有将入侵归因于已知的威胁行为体或团体。

用于入侵网络的最初感染媒介也不清楚，尽管据说一些APT参与者早在2021年1月中旬就获得了通往目标微软Exchange服务器的数字滩头阵地。

随后在2月进行的开采后活动包括了一系列的侦察和数据收集工作，后者导致了与合同有关的敏感信息的泄露。在此阶段还部署了Impacket工具，以建立持久性并促进横向移动。

一个月后，APT演员利用Microsoft Exchange Server中的ProxyLogon漏洞，安装了17个中国斩波网络外壳和HyperBro，这是一个中国威胁组织Lucky Mouse（又名APT27、Bronze Union、Buddworm或Emissary Panda）专用的后门。

从2021 7月下旬到10月中旬，入侵者进一步利用一种名为CovalentStealer的定制恶意软件菌株攻击该未命名实体，以虹吸存储在文件共享上的文档，并将其上载到Microsoft OneDrive云文件夹。

建议各组织监控日志，查看异常VPN的连接、可疑帐户使用、异常和已知的恶意命令行使用以及用户帐户的未授权更改。