美国网络安全、执法和情报官员周二透露,复杂的黑客渗入了一个可能的美国军事承包商,并对其系统保持"持续、长期"的访问。国家安全局、网络安全和基础设施安全局和联邦调查局发布了一份详细的、包含通知的联合咨询,解释说在2021年11月,CISA对一个匿名的"国防工业基地(DIB)部门组织的企业网络的恶意活动报告做出了回应"。
CISA发现了一个可能的妥协,并说一些入侵者有"长期访问环境"。官员们说,在闯入后,黑客们利用一个被称为Impacket的开源工具包,"以编程方式"构建和操纵网络协议。
Impacket是一个Python库的集合,它"插入漏洞扫描器等应用程序,使它们能够与Windows网络协议一起工作",Red Canary公司的威胁情报总监Katie Nickels通过电子邮件说。她说,黑客喜欢Impacket,因为它能帮助他们检索凭证、发布命令和向系统发送恶意软件。
官员们说,本案中的数字入侵者还使用了一个定制的数据渗出工具CovalentStealer来窃取敏感数据,并利用国防组织服务器上的一个微软Exchange漏洞来获得远程访问权。在那里,黑客利用被入侵的公司账户进一步渗透到目标组织中。
尼克尔斯说,黑客可能通过利用Exchange的漏洞获得访问权,但"现在没有证据支持这一点,也没有证据表明对手知道ProxyNotShell,"这是指一个新的Exchange服务器零日漏洞。
在过去的几年里,已经有许多Exchange漏洞被报告。她说,鉴于给内部部署的Exchange服务器打补丁有多困难,这些漏洞中有许多没有被修复,并成为攻击的载体。
该公告包括由CISA和第三方事件响应组织发现的损害迹象的细节。CISA、联邦调查局和国家安全局建议国防工业基地和其他关键基础设施组织实施咨询中详述的缓解措施。
访问以获取完整报告: