一家名为Prodaft的瑞士网络安全公司声称发现了另一起与SolarWinds攻击相关的网络攻击。Prodaft的安全研究人员表示,自去年8月以来,黑客组织Silverfish一直在针对政府和企业开展大规模攻击活动。Prodaft渗透了SolarWinds的C&C服务器,发现该组织自去年8月以来已将近4,700名受害者作为目标,与SolarWinds的目标组织有大量重叠。这个复杂集团的目标包括美国、欧盟和其他国家/地区的财富500强公司、政府机构、IT服务提供商、国防承包商和航空公司。研究人员表示,SilverFish是第一个利用与SolarWinds相关的漏洞瞄准欧盟国家的组织。当SolarWinds攻击于去年12月曝光时,Prodaft对遭受SolarWinds攻击的客户站点进行了分析。结合FireEye发布的IOC指标,Prodaft为被SolarWinds攻击的服务器创建了一个指纹,然后在全网搜索具有相同指纹的服务器。在全球范围内共发现了12台符合条件的C&C服务器,Prodaft在发现其中的配置缺陷后对其中两台进行了攻击。研究人员发现,该团伙自2020年8月开始活跃,通过IP、用户名、时间戳、执行的命令等方式验证这些受害者与SolarWinds攻击受害者的关系。根据Prodaft的分析,SilverFish受到了四个团伙的攻击。在受害者中,位于美国的实体遭受的攻击最多(2465次),其次是欧洲(1466次)。虽然英语仍然是黑客的主要语言,但攻击者仍然使用俄语俚语和口语。同时,有证据表明黑客操纵了俄罗斯和乌克兰的C&C服务器,其中一些服务器与俄罗斯附属的攻击组织EvilCorp共享。2020年12月,当SolarWinds攻击被发现时,美国声称该攻击与俄罗斯攻击组织有关。2021年1月,卡巴斯基安全研究人员表示,SolarWinds攻击中使用的SunBurst与之前Turla组织使用的Kazuar后门有关。2021年1月,微软表示SolarWinds攻击者能够访问其源代码,但未能对其进行更改。2021年3月,Mimecast表示其源代码在SolarWinds攻击中被盗。SilverFish使用的工具包括Empire、CobaltStrike和Mimikatz,以及一些您自己编写的Rootkit、PowerShell、BAT和HTA文件。SilverFish攻击具有特定的行为模式,例如执行列出域控制器和受信任域的命令,泄露管理员帐户,然后进行后续侦察和信息窃取。SilverFish构建了一个名为VictimTotal的测试工具,针对不同企业部署的AV和EDR部署不同的payload,以提高攻击成功率。Prodaft表示,虽然被攻破的公司都是大型关键信息基础设施,但他们中的大多数人并没有意识到自己已经被攻破。参考资料来源:计算EHackingNewsProdaft
