NCC Group的研究人員發現,操作Clop勒索軟體駭客組織(也稱為TA505和FIN11)正在積極性利用 SolarWinds 的Serv-U 漏洞CVE-2021-35211破壞企業網路並最終對設備進行加密。CVE-2021-35211存在於 SolarWinds 的 Serv-U 產品中,當Serv-U的 SSH 暴露在 Internet 上時,該漏洞將允許駭客以特權執行任意程式,駭客可安裝和運行惡意payloads,或查看和更改數據等操作。SolarWinds於2021年7月發布了緊急的安全更新,因為它發現了中國駭客組織DEV-0322在針對性攻擊中利用它。距離 SolarWinds 發布此漏洞的安全更新已經近四個月,但潛在的易受攻擊的 Serv-U伺服器的百分比仍保持在 60% 以上,建議立即使用Serv-U 15.2.3版本的hotfix或更高的版本。
以往Clop也在其攻擊中使用漏洞,例如在Accellion FTA伺服器中的零時差漏洞攻擊。NCC研究人員表示,在發現的新攻擊中,在成功利用 CVE-2021-35211 之後,操作Clop勒索軟體的駭客利用 Serv-U伺服器產生一個由攻擊者控制的子進程(Subprocess),從而使他們能夠在目標系統上運行command,開闢了惡意軟體的部署、網路偵察和橫向移動,為勒索軟體攻擊奠定了基礎。研究人員解釋說,作為攻擊的一部分,Clop使用PowerShell命令來部署 Cobalt Strike Beacon。此外,攻擊者劫持了名為 RegIdleBackup 的預定任務,使他們能夠在入侵的機器上實現持久性並在下一階段,部署FlawedGrace RAT (TA505至少自 2017 年 11 月以來一直在使用的工具)。
目前,最多易受攻擊的 Serv-U伺服器的國家是中國,有1141台,而美國則位居第二,台灣也有50台受攻擊的伺服器。
研究人員在報告中警告說,7 月份在Port22上識別出的 Serv-U (S)FTP伺服器中有 5945台 (94%)處於易受攻擊的狀態。10月份,在SolarWinds發佈修補三個月後,潛在易受攻擊的伺服器數量仍然很大,為2784台(66.5%)。
NCC Group 為懷疑受到攻擊的系統管理員發布了以下的清單:
*檢查您的 Serv-U 版本是否易受攻擊
*找到 Serv-U 的 DebugSocketlog.txt
*搜索諸如‘EXCEPTION: C0000005; CSUSSHSocket::ProcessReceive();’之類的項目
*檢查 Windows 事件日誌中圍繞異常日期/時間的事件 ID 4104,並查找可疑的 PowerShell 命令
*使用提供的 PowerShell 命令檢查是否存在名為 RegIdleBackup被劫持的預定任務
*預防被濫用:COM handler中的 CLSID 不應設置為 {CA767AA8-9157-4604-B64B-40747123D5F2}
*如果任務包含不同的 CLSID:使用提供的 PowerShell 命令檢查註冊表中 CLSID 對象的內容,返回 Base64 編碼字串可能是入侵的指標。