利用同一漏洞，多个黑客组织入侵美国联邦机构

近日，多个威胁行为者，包括一个民族国家组织，利用Progress Telerik中存在三年的严重安全漏洞闯入美国一个未命名的联邦实体。

该披露来自网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和多州信息共享与分析中心(MS-ISAC)发布的联合咨询。

“利用此漏洞允许恶意行为者 在联邦文职行政部门(FCEB)机构的Microsoft Internet 信息服务(IIS) Web 服务器上成功执行远程代码。”这些机构表示。

从2022年11月到2023年1月初，确定了与数字入侵相关的妥协指标(IoC)。

DLL工件 旨在收集系统信息、加载额外的库、枚举文件和进程，并将数据泄露回远程服务器。

早在2021年8月就观察到的另一组攻击很可能是由名为XE Group的网络犯罪分子发起的，需要使用上述规避技术来规避检测。

这些DLL文件投放并执行反向（远程）shell实用程序， 用于与命令和控制域进行未加密的通信，以投放额外的有效负载，包括用于持久后门访问的ASPX web shell。

Web shell配备了“枚举驱动器；发送、接收和删除文件；以及执行传入的命令”和“包含一个用于轻松浏览系统上的文件、目录或驱动器的界面，并允许用户上传或将文件下载到任何目录。”

为应对此类攻击， 建议组织将其 Telerik UI ASP.NET AJAX 实例升级到最新版本，实施网络分段，并对具有特权访问权限的帐户强制实施抗网络钓鱼的多因素身份验证。

精彩推荐

针对多国政府官员的黑客攻击还在继续......

2023.03.20

美国硅谷 银行 倒闭，黑客趁机发动网络攻 击

2023.03.17

医疗设备巨头遭到网络攻击，100万 人敏感信息被泄露

2022 .03.16

我告诉你msdn版权声明：以上内容作者已申请原创保护，未经允许不得转载，侵权必究！授权事宜、对本内容有异议或投诉，敬请联系网站管理员，我们将尽快回复您，谢谢合作！