微软周二(2021 年 7 月 13 日)透露,针对 SolarWinds Serv-U 托管文件传输服务的最新一系列攻击,利用现已修补的远程代码执行 (RCE) 漏洞,是被称为“DEV-0322”的中国威胁演员的杰作。
几天前,这家总部位于德克萨斯州的 IT 监控软件制造商发布了针对该漏洞的修复程序,该漏洞可能使攻击者能够以特权远程运行任意代码,从而允许他们执行安装和运行恶意负载或查看和更改敏感数据等操作。
跟踪为CVE-2021-35211的 RCE 缺陷存在于 Serv-U 对安全外壳 (SSH) 协议的实现中。虽然之前透露攻击范围有限,但 SolarWinds 表示“不知道可能受影响的客户的身份”。
微软威胁情报中心 (MSTIC) 根据观察到的受害者行为、策略和程序,高度自信地将入侵归因于 DEV-0322(“Development Group 0322”的缩写),他说,对手挑出美国国防工业基地部门的实体,软件公司。
“这个活动组的总部设在中国,并使用商业VPN解决方案,并在他们的攻击基础设施受损的消费级路由器已经观察到,”根据对MSTIC,其中发现的零日之后检测到从正在催生了多达六个反常恶意进程主 Serv-U 进程,建议妥协。
这一进展也标志着中国黑客组织第二次利用 SolarWinds 软件中的漏洞作为针对企业网络进行针对性攻击的沃土。
早在 2020 年 12 月,微软就透露,一个单独的间谍组织可能一直在利用 IT 基础设施提供商的 Orion 软件在受感染的系统上投放一个名为 Supernova 的持久后门。自那以后,这些入侵被归咎于一个名为Spiral的与中国有关的威胁行为者。
