微软警告:俄罗斯网络犯罪集团正在利用 Zerologon 漏洞

Andrew 2020-10-11
专栏 - 事件 发布于 2020-10-11 11:16:19 阅读 63 评论 0

微软发现了Zerologon攻击,据称是由臭名昭著的与俄罗斯联系在一起的TA505网络犯罪组织进行的。

微软发现了一系列的Zerologon攻击,据称由俄罗斯网络犯罪组织TA505,CHIMBORAZO和Evil Corp发起。

微软专家发现了涉及假冒软件更新的Zerologon攻击,研究人员注意到,恶意代码连接到与TA505相关的命令和控制(C&C)基础结构。

自2014年以来,TA505黑客组织一直活跃于零售和银行业领域。该组织还因其为避免安全控制而采用的一些可逃避的技术而闻名,这些技术可避免使用多种恶意软件进行安全控制并侵入企业范围,例如滥用所谓的LOLBins(生活在陆地上的二进制文件),经常使用的合法程序受害人,或者滥用有效的密码签名有效载荷。

TA505小组与Locky,BitPaymer,Philadelphia,GlobeImposter和Jaff勒索软件家族一起参与了旨在分发Dridex银行木马的活动。

网络安全公司Prevailion的安全专家报告说,TA505已经危害了1000多个组织。

Zerologon攻击中采用的恶意更新能够绕过Windows中的用户帐户控制(UAC)安全功能,并滥用Windows脚本宿主工具(wscript.exe)来执行恶意脚本。

专家解释说,威胁行为者滥用MSBuild.exe来编译使用内置ZeroLogon功能更新的Mimikatz。

“出现在商品恶意软件中的攻击,例如威胁参与者CHIMBORAZO所使用的攻击,表明在近期内将有更广泛的利用。” 美国微软。

这是微软发布的第二个与Zerologon攻击有关的警报。本周早些时候,这家IT巨头发布了一条帖子和一系列推文,警告利用Zerologon漏洞的网络攻击,这种攻击是由与伊朗有关联的APT组织MuddyWater(又名Mercury)实施的。

在CVE-2020年至1472年Zerologon漏洞是特权提升驻留在的Netlogon。该Netlogon服务是Windows客户端身份验证架构,验证登录请求所使用的认证机制,并注册,身份验证和定位域控制器。

攻击者可能利用此漏洞来假冒任何计算机,包括域控制器本身,并代表它们执行远程过程调用。

攻击者还可能利用此漏洞禁用Netlogon身份验证过程中的安全功能,并更改域控制器的Active Directory上的计算机密码。

9月底,DHS CISA发布了一项紧急指令,要求政府机构在周一之前解决Zerologon漏洞(CVE-2020-1472)。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!