Mandiant,安全公司FireEye的调查部门,今天发布了一个新的威胁参与者的详细信息,称之为UNC1945,该安全公司称,它利用Oracle Solaris操作系统中的零日漏洞,作为其入侵企业网络的一部分。
UNC1945攻击的常规目标包括电信、金融和咨询等Mandiant团队在a报告于今日发布。
而UNC1945活动可追溯至2018年,Mandiant说,今年早些时候,威胁参与者利用了Oracle Solaris操作系统中一个前所未见的漏洞,该组织引起了他们的注意https://nvd.nist.gov/vuln/detail/CVE-2020-14871“target=”noopener noreferrer nofollow“data component=”externalLink“>CVE-2020-14871,“零日”是Solaris可插拔身份验证模块(PAM)中的一个漏洞,该漏洞允许UNC1945绕过身份验证程序,并在暴露在互联网上的Solaris服务器上安装一个名为SLAPSTICK的后门。
Mandiant说,黑客随后将此后门作为进入点,在公司内部发动侦察行动为了避免被发现,Mandiant说他们下载并安装了一个QEMU虚拟机运行微型核心Linux操作系统的版本。
这个定制的Linux虚拟机来了预装了多种黑客工具,如网络扫描仪、密码转储程序、漏洞利用和侦察工具包,使UNC1945能够扫描公司内部网络的弱点,并横向移动到多个系统,而不管这些系统运行的是基于Windows还是*NIX的系统。
Mandiant表示,他们观察到该组织使用了各种开源渗透测试和安全工具,但也包括自定义恶意软件。
这些开源工具包包括Mimikatz、powerspolit、Responder、Procdump、CrackMapExec、PoshC2、Medusa和JBoss漏洞扫描程序,这些都是网络安全行业中众所周知的。
但UNC1945也显示了创建和操作自定义恶意软件的能力,Mandiant将UNC1945入侵与(新的和旧的)恶意软件毒株相关联,例如:
Mandiant表示,它相信UNC1945从一个公开的黑客论坛上购买了EVILSUN(一个允许他们利用Solaris zero-day并设置闹剧后门的工具)。
该公司表示,它于2020年4月在一个黑市网站上发现了一个广告,该广告以3美元的价格推广了“甲骨文Solaris SSHD远程根攻击”(Oracle Solaris SSHD Remote Root exploit),Mandiant表示,今年早些时候,它向甲骨文报告了“Solaris零日”事件,在一次调查中发现了剥削的痕迹。
上个月在Oracle的2020年10月安全修补程序UNC1945已经活跃了好几年了,它在一次确认的漏洞中发现了Solaris的“零日”;然而,这并不意味着“零日”没有针对其他公司网络进行攻击。
这家安全公司表示,“没有观察到数据外泄的证据,也无法确定UNC1945在他们调查的大多数入侵中的任务。”
在一次UNC1945入侵中,勒索软件被部署为最终有效载荷,但Mandiant无法将勒索软件攻击与UNC1945直接联系起来,而且“很可能受害者环境的访问权被卖给了另一个组织。”
妥协指标和描述UNC1945操作和入侵模式的其他技术细节可在Mandiant报告中提供给辩护人href=“https://www.fireeye.com/blog/threat-research/2020/11/live-off-the-land-an-overview-of-unc1945.html“target=”noopener noreferrer nofollow“data component=”externalLink“>这里
