美國網絡安全、執法和情報官員周二透露,複雜的黑客滲入了一個可能的美國軍事承包商,並對其系統保持”持續、長期”的訪問。國家安全局、網絡安全和基礎設施安全局和聯邦調查局發布了一份詳細的、包含通知的聯合諮詢,解釋說在2021年11月,CISA對一個匿名的”國防工業基地(DIB)部門組織的企業網絡的惡意活動報告做出了回應”。
CISA發現了一個可能的妥協,並說一些入侵者有”長期訪問環境”。官員們說,在闖入后,黑客們利用一個被稱為Impacket的開源工具包,”以編程方式”構建和操縱網絡協議。
Impacket是一個Python庫的集合,它”插入漏洞掃描器等應用程序,使它們能夠與Windows網絡協議一起工作”,Red Canary公司的威脅情報總監Katie Nickels通過電子郵件說。她說,黑客喜歡Impacket,因為它能幫助他們檢索憑證、發布命令和向系統發送惡意軟件。
官員們說,本案中的數字入侵者還使用了一個定製的數據滲出工具CovalentStealer來竊取敏感數據,並利用國防組織服務器上的一個微軟Exchange漏洞來獲得遠程訪問權。在那裡,黑客利用被入侵的公司賬戶進一步滲透到目標組織中。
尼克爾斯說,黑客可能通過利用Exchange的漏洞獲得訪問權,但”現在沒有證據支持這一點,也沒有證據表明對手知道ProxyNotShell,”這是指一個新的Exchange服務器零日漏洞。
在過去的幾年裡,已經有許多Exchange漏洞被報告。她說,鑒於給內部部署的Exchange服務器打補丁有多困難,這些漏洞中有許多沒有被修復,並成為攻擊的載體。
該公告包括由CISA和第三方事件響應組織發現的損害跡象的細節。CISA、聯邦調查局和國家安全局建議國防工業基地和其他關鍵基礎設施組織實施諮詢中詳述的緩解措施。
訪問以獲取完整報告:
https://media.defense.gov/2022/Oct/04/2003090705/-1/-1/0/CSA_IMPACKET_AND_EXFIL_TOOL_STEAL_SENSITIVE_INFO_FROM_DEFENSE_INDUSTRIAL_BASE.PDF