Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Китайские хакеры атаковали жертв через уязвимость 0-day в SolarWinds Serv-U FTP

14/07/21

sinohack-Jul-14-2021-11-08-14-56-AMКомпания Microsoft обнаружила , что уязвимость нулевого дня в SolarWinds Serv-U FTP эксплуатировалась в целенаправленных атаках на ограниченный круг жертв. Основываясь на техниках, тактиках и процедурах, специалисты Microsoft Threat Intelligence Center (MSTIC), отнесли атаки на счет киберпреступной группировки DEV-0322, действующей с территории Китая.

Речь идет об исправленной на днях уязвимости удаленного выполнения кода CVE-2021-35211 , затрагивающей реализацию в Serv-U протокола Secure Shell (SSH). Если реализация SSH в Serv-U доступна через интернет, злоумышленник сможет проэксплуатировать уязвимость и удаленно запустить на системе произвольный код с привилегиями, что даст ему возможность устанавливать и запускать вредоносное ПО, а также просматривать и модифицировать данные. В связи с этим пользователям настоятельно рекомендуется обновить свои установки Serv-U до последней доступной версии.

Как сообщают специалисты MSTIC, киберпреступная группировка DEV-0322 атакует предприятия оборонно-промышленного сектора США и софтверные компании. Злоумышленники действуют с территории Китая и в своих атаках используют коммерческие VPN-решения и скомпрометированные маршрутизаторы.

Специалисты MSTIC обнаружили атаки с использованием вышеупомянутой уязвимости в ходе привычного анализа телеметрии Microsoft 365 Defender. Как оказалось, процесс Serv-U порождал аномальные вредоносные процессы, что указывало на компрометацию Serv-U.

DEV-0322 отправляла исходящие данные своих команд в файлах cmd.exe в папку Serv-U \Client\Common\, доступную через интернет по умолчанию, поэтому атакующие могли легко получать результаты своих команд. Злоумышленники также добавляли в Serv-U нового глобального пользователя, успешно добавляя себя в качестве администратора Serv-U путем создания вручную в директории Global Users особым образом сконфигурированного файла .Archive. Информация пользователей Serv-U хранилась в этом файле.

Благодаря особенностям написания кода эксплоита после компрометации процесса Serv-U генерировалось исключение и добавлялось в файл журнала DebugSocketLog.txt. После запуска вредоносной команды процесс также мог аварийно завершиться.

В ходе изучения телеметрии специалисты MSTIC выявили отличительные черты эксплоита, но не саму причину уязвимости. Их коллеги из Microsoft Offensive Security Research провели динамический анализ кода Serv-U и установили причину проблемы, после чего уведомили о ней SolarWinds, которая вскоре выпустила исправление.

Темы:КитайПреступления0-day уязвимостиSolarWinds
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...