详细内容或原文请订阅后点击阅览
Silent Skimmer 回归:黑客如何绕过大公司的保护
旧的泄露行为为新的数据泄露铺平了道路。
来源:安全实验室新闻频道旧的泄露事件为新的数据泄露铺平了道路。
Unit 42 的研究人员再次发现了与 Silent Skimmer 活动相关的网络组织的活动,该活动将于 2023 年末进行。 2024 年 5 月,攻击者入侵了多个 Web 服务器,以获取对一家北美大型公司基础设施的访问权限。由于所使用的工具和策略相似,专家将这些攻击与 Silent Skimmer 联系起来。
42 单元 再次检测到Silent Skimmer 行动于 2023 年 9 月首次被注意到,当时黑客正在收集在线支付的数据。从那时起,几乎就没有关于他们的消息了。据 Unit 42 称,网络犯罪分子现在的目标是开发和支持支付系统和网关的公司。
为了攻击服务器,攻击者利用了流行的 Telerik UI 平台中的漏洞。特别是,使用了两个漏洞 - CVE-2017-11317 和 CVE-2019-18935,允许远程代码执行和文件下载。这两个漏洞均包含在 CISA 已知可利用漏洞目录中。
CVE-2017-11317 CVE-2019-18935,获得访问权限后,黑客部署 Web shell,并通过隧道和 Fuso 和 FRP 等反向代理建立持久连接。后来使用GodPotato工具通过PowerShell脚本进行提权。
攻击者积极使用.NET 和 C++ 的混合程序集,使分析其程序代码变得困难。这使得隐藏恶意功能并绕过安全系统成为可能。此外,使用 PyInstaller 打包的 Python 脚本被用来窃取数据,这使得将它们伪装成合法的可执行文件成为可能。
主要攻击方法是安装反向shell并使用合法的Windows实用程序执行恶意命令。例如,黑客使用“mshta.exe”下载并执行恶意HTA文件,然后运行PowerShell脚本。
帕洛阿尔托网络