Fbi、Cisa和Nsa揭示了黑客如何针对一个国防工业基地组织

美国网络安全和情报机构周二披露，作为网络间谍活动的一部分，多个民族国家黑客组织可能以”国防工业基地( DIB )部门组织的企业网络”为目标。

当局说，[高级持续性威胁]的行为者使用了一个名为” Impack “的开源工具包，用来在环境中获得立足点，进一步损害网络，并使用了一个定制的数据外渗工具CovalentStealer来窃取受害者的敏感数据。

由网络安全和基础设施安全局( CISA )、联邦调查局( FBI )和国家安全局( NSA )撰写的联合咨询意见说，对手可能长期进入受影响的环境。

调查结果是CISA在2021年11月至2022年1月期间与一家值得信赖的第三方保安公司合作开展的事件应对工作的结果。它没有将入侵归因于已知的威胁行为者或团体。

用于破坏网络的最初感染载体也是未知的，尽管据说一些APT行为者早在2021年1月中旬就获得了目标的Microsoft Exchange Server的数字海滩。

随后在2月的开发活动中，进行了一系列的侦察和数据收集工作，后者导致了与合同有关的敏感信息的外溢。在此阶段还部署了Impack工具来建立持久性和促进横向移动。

一个月后，APT行为体利用微软Exchange Server中的ProxyLogon漏洞安装了17个”中国斩波” ( China Chopper )网壳和中国威胁组织”幸运老鼠(又名APT27、青铜联合、水牛或使者熊猫) “专门使用的后门HyperBro。

从7月下旬到2021年10月中旬，入侵者进一步使用了一个名为CovalentStealer的定制恶意软件，针对未透露姓名的实体，将文件存储在文件共享中，并将其上传到Microsoft OneDrive云文件夹。

建议组织监控来自异常VPN的连接、可疑帐户使用、异常和已知的恶意命令行使用以及对用户帐户的未经授权的更改的日志。