?[[389974]]?

一家名為 Prodaft 的瑞士網(wǎng)絡(luò)安全公司聲稱發(fā)現(xiàn)了與 SolarWinds 攻擊有關(guān)的另一起網(wǎng)絡(luò)攻擊。

Prodaft 的安全研究員表示，自從去年八月開始黑客組織 Silverfish 就以政府和公司為目標(biāo)進(jìn)行了大規(guī)模的攻擊活動(dòng)。

??

Prodaft 滲透了 SolarWinds 的 C&C 服務(wù)器，發(fā)現(xiàn)從去年八月開始該組織已經(jīng)攻擊了近 4700 名受害者，這些受害者與受到 SolarWinds 攻擊的組織存在大量重疊。這個(gè)技巧高超的攻擊組織的攻擊目標(biāo)包括美國、歐盟和其他國家的世界五百強(qiáng)企業(yè)、政府機(jī)構(gòu)、IT 服務(wù)提供商、國防承包商和航空公司。

??

研究人員表示，SilverFish 是第一個(gè)利用與 SolarWinds 相關(guān)的漏洞針對(duì)歐盟國家發(fā)動(dòng)攻擊的組織。

去年 12 月，SolarWinds 攻擊被曝光，Prodaft 在一個(gè)受到 SolarWinds 攻擊的客戶現(xiàn)場(chǎng)進(jìn)行了分析。結(jié)合 FireEye 公布的 IOC 指標(biāo)，Prodaft 為 SolarWinds 攻擊的服務(wù)器創(chuàng)建了指紋，然后在全網(wǎng)搜索相同指紋的服務(wù)器。

??

全球一共發(fā)現(xiàn)了 12 個(gè)符合條件的 C&C 服務(wù)器，Prodaft 發(fā)現(xiàn)了其中兩臺(tái)服務(wù)器存在配置漏洞后入侵了它們。研究人員發(fā)現(xiàn)該組織從 2020 年 8 月開始一直很活躍，通過 IP、用戶名、時(shí)間戳、執(zhí)行命令等方面驗(yàn)證了這些受害者與 SolarWinds 攻擊受害者的關(guān)系。

??

根據(jù) Prodaft 的分析，SilverFish 共有四個(gè)小組發(fā)動(dòng)攻擊。

??

受害者中位于美國的實(shí)體遭受的攻擊次數(shù)最多(2465)，其次是歐洲(1466)。

????

盡管英語仍然是黑客的主要語言，但攻擊者仍然使用了俄語的俚語和口頭語。同時(shí)，有證據(jù)表明黑客在俄羅斯和烏克蘭操縱 C&C 服務(wù)器，其中一些 C&C 服務(wù)器與歸屬于俄羅斯的攻擊組織 Evil Corp 共享。

??

• 2020 年 12 月，SolarWinds 攻擊被發(fā)現(xiàn)時(shí)美國就聲稱該次攻擊與俄羅斯攻擊組織有關(guān)
• 2021 年 1 月，卡巴斯基的安全研究員表示 SolarWinds 攻擊中使用的 SunBurst 與 Turla 組織之前使用的 Kazuar后門有關(guān)
• 2021 年 1 月，微軟表示 SolarWinds 攻擊者能夠訪問其源代碼，但是未能對(duì)其進(jìn)行更改
• 2021 年 3 月，Mimecast 表示其源碼在 SolarWinds 攻擊中被盜

??

SilverFish 使用的工具包括 Empire、Cobalt Strike 和 Mimikatz，以及一些自己編寫的 Rootkit、PowerShell、BAT 和 HTA 文件。SilverFish 攻擊有著特定的行為模式，比如執(zhí)行命令列出域控和受信任的域、顯示管理員賬戶，之后再進(jìn)行后續(xù)偵察和信息竊取。

??

SilverFish 構(gòu)建了名為 VictimTotal 的測(cè)試工具，針對(duì)不同企業(yè)部署的 AV 和 EDR 部署不同的 Payload 以提高攻擊成功率。

??

Prodaft 表示，盡管被入侵的公司都是大型關(guān)鍵信息基礎(chǔ)設(shè)施，但它們大多都沒有發(fā)現(xiàn)已經(jīng)被入侵了。

參考來源：

• ??Computing??
• ??EHackingNews??
• ??Prodaft???