被“黑”者越来越多,国家级黑客、勒索软件与零日漏洞大举入侵

安全研究机构FortiGuard Labs近期发布最新的威胁情报资料报告,指出目前的黑客攻击,除了有国家级黑客组织所发起的安全攻击行动,政府机构和企业也经常遭到勒索软件和其他远程程序代码执行(Remote Code Execution, RCE)零日(Zero-day)漏洞攻击。

报告提及一场由俄罗斯情报局第85主要特种勤务中心(GTsSS)26165军事部队发起的攻击行动,利用Kubernetes集群对全球多个实体进行暴力攻击,有多个政府机构与私人企业受害。

对此,安全企业Fortinet表示,联合网络安全警示提出多项GTsSS执行任务时所采用的战略技术流程。据观察,GTsSS会使用密码喷洒(Password Spraying)攻击入侵目标网络,接着横向移动扩散,再从外泄资料中窃取访问帐密,进行深入侦查,HTTP(S)、IMAP(S)、POP3与NTLM等通信协议也是黑客锁定的目标。

而在获得访问权后,这些黑客会采取进一步行动,例如通过横向移动扩散接近目标。同时,黑客也利用了CVE 2020-0688(Microsoft Exchange验证密钥远程程序代码执行漏洞)与CVE 2020-17144(Microsoft Exchange远程程序代码执行漏洞);遭到黑客恶意利用的Kubernetes集群,会通过商业VPN与TOR服务混淆攻击者的来源以及他们的来源IP地址。

除了最新的勒索软件攻击,FortiGuard Labs也留意到微软Windows打印多任务缓冲处理器的新发现零日漏洞报告中的问题。一般认为该漏洞的问题来自CVE-2021-1675(Windows打印多任务缓冲处理器远程程序代码执行漏洞),微软也在其2021年6月的周二修补日公布。

然而,最新发现的漏洞似乎可能是该漏洞的变形,或存在另一个新漏洞,不过微软目前尚未发布任何公开声明证实这个说法。但低端的已验证用户或者拥有这类凭证的黑客,可以通过目前这种形态的漏洞轻松从“系统”层级夺占目标服务器,进行各种攻击。

(首图来源:Fortinet)