微软警告：俄罗斯网络犯罪集团正在利用 Zerologon 漏洞

微软发现了Zerologon攻击，据称是由臭名昭著的与俄罗斯联系在一起的TA505网络犯罪组织进行的。

微软发现了一系列的Zerologon攻击，据称由俄罗斯网络犯罪组织TA505，CHIMBORAZO和Evil Corp发起。

微软专家发现了涉及假冒软件更新的Zerologon攻击，研究人员注意到，恶意代码连接到与TA505相关的命令和控制（C＆C）基础结构。

自2014年以来，TA505黑客组织一直活跃于零售和银行业领域。该组织还因其为避免安全控制而采用的一些可逃避的技术而闻名，这些技术可避免使用多种恶意软件进行安全控制并侵入企业范围，例如滥用所谓的LOLBins（生活在陆地上的二进制文件），经常使用的合法程序受害人，或者滥用有效的密码签名有效载荷。

TA505小组与Locky，BitPaymer，Philadelphia，GlobeImposter和Jaff勒索软件家族一起参与了旨在分发Dridex银行木马的活动。

网络安全公司Prevailion的安全专家报告说，TA505已经危害了1000多个组织。

Zerologon攻击中采用的恶意更新能够绕过Windows中的用户帐户控制（UAC）安全功能，并滥用Windows脚本宿主工具（wscript.exe）来执行恶意脚本。

专家解释说，威胁行为者滥用MSBuild.exe来编译使用内置ZeroLogon功能更新的Mimikatz。

“出现在商品恶意软件中的攻击，例如威胁参与者CHIMBORAZO所使用的攻击，表明在近期内将有更广泛的利用。” 美国微软。

这是微软发布的第二个与Zerologon攻击有关的警报。本周早些时候，这家IT巨头发布了一条帖子和一系列推文，警告利用Zerologon漏洞的网络攻击，这种攻击是由与伊朗有关联的APT组织MuddyWater（又名Mercury）实施的。

在CVE-2020年至1472年Zerologon漏洞是特权提升驻留在的Netlogon。该Netlogon服务是Windows客户端身份验证架构，验证登录请求所使用的认证机制，并注册，身份验证和定位域控制器。

攻击者可能利用此漏洞来假冒任何计算机，包括域控制器本身，并代表它们执行远程过程调用。

攻击者还可能利用此漏洞禁用Netlogon身份验证过程中的安全功能，并更改域控制器的Active Directory上的计算机密码。

9月底，DHS CISA发布了一项紧急指令，要求政府机构在周一之前解决Zerologon漏洞（CVE-2020-1472）。