Peretas China Memanfaatkan SolarWinds 0-Hari Terbaru untuk Menargetkan Perusahaan Pertahanan AS US

  • Whatsapp
Peretas Cina

Microsoft pada hari Selasa mengungkapkan bahwa serangkaian serangan terbaru yang menargetkan layanan transfer file terkelola SolarWinds Serv-U dengan eksploitasi eksekusi kode jarak jauh (RCE) yang sekarang ditambal adalah hasil karya aktor ancaman China yang dijuluki “DEV-0322.”

Pengungkapan itu muncul beberapa hari setelah pembuat perangkat lunak pemantauan TI yang berbasis di Texas mengeluarkan perbaikan untuk cacat yang dapat memungkinkan musuh menjalankan kode arbitrer dari jarak jauh dengan hak istimewa, memungkinkan mereka untuk melakukan tindakan seperti menginstal dan menjalankan muatan berbahaya atau melihat dan mengubah data sensitif.

Bacaan Lainnya

Dilacak sebagai CVE-2021-35211, kelemahan RCE terletak pada implementasi protokol Secure Shell (SSH) Serv-U. Meskipun sebelumnya terungkap bahwa serangan itu terbatas dalam cakupannya, SolarWinds mengatakan “tidak mengetahui identitas pelanggan yang berpotensi terpengaruh.”

Tim Stack Overflow

Mengaitkan intrusi dengan keyakinan tinggi ke DEV-0322 (kependekan dari “Development Group 0322”) berdasarkan viktimologi, taktik, dan prosedur yang diamati, Microsoft Threat Intelligence Center (MSTIC) mengatakan musuh memilih entitas di Sektor Pangkalan Industri Pertahanan AS dan perusahaan perangkat lunak.

SolarWinds 0-Hari

“Grup aktivitas ini berbasis di China dan telah diamati menggunakan solusi VPN komersial dan router konsumen yang disusupi dalam infrastruktur penyerang mereka,” menurut ke MSTIC, yang menemukan zero-day setelah mendeteksi sebanyak enam proses berbahaya anomali yang muncul dari proses Serv-U utama, menunjukkan kompromi.

Perkembangan ini juga menandai kedua kalinya kelompok peretas yang berbasis di China mengeksploitasi kerentanan dalam perangkat lunak SolarWinds sebagai lahan subur untuk serangan yang ditargetkan terhadap jaringan perusahaan.

Manajemen Kata Sandi Perusahaan

Kembali pada bulan Desember 2020, Microsoft mengungkapkan bahwa kelompok spionase terpisah mungkin telah mengambil keuntungan dari perangkat lunak Orion penyedia infrastruktur TI untuk menjatuhkan backdoor persisten yang disebut Supernova pada sistem yang terinfeksi. Penyusupan tersebut telah dikaitkan dengan aktor ancaman terkait China yang disebut Spiral.

Indikator kompromi tambahan yang terkait dengan serangan tersebut dapat diakses dari saran revisi SolarWinds sini.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *