第一个利用SolarWinds漏洞以入侵欧盟国家的组织

一家名为 Prodaft 的瑞士网络安全公司声称发现了与 SolarWinds 攻击有关的另一起网络攻击。

Prodaft 的安全研究员表示，自从去年八月开始黑客组织 Silverfish 就以政府和公司为目标进行了大规模的攻击活动。

Prodaft 渗透了 SolarWinds 的 C&C 服务器，发现从去年八月开始该组织已经攻击了近 4700 名受害者，这些受害者与受到 SolarWinds 攻击的组织存在大量重叠。这个技巧高超的攻击组织的攻击目标包括美国、欧盟和其他国家的世界五百强企业、政府机构、IT 服务提供商、国防承包商和航空公司。

研究人员表示，SilverFish 是第一个利用与 SolarWinds 相关的漏洞针对欧盟国家发动攻击的组织。

去年 12 月，SolarWinds 攻击被曝光，Prodaft 在一个受到 SolarWinds 攻击的客户现场进行了分析。结合 FireEye 公布的 IOC 指标，Prodaft 为 SolarWinds 攻击的服务器创建了指纹，然后在全网搜索相同指纹的服务器。

全球一共发现了 12 个符合条件的 C&C 服务器，Prodaft 发现了其中两台服务器存在配置漏洞后入侵了它们。研究人员发现该组织从 2020 年 8 月开始一直很活跃，通过 IP、用户名、时间戳、执行命令等方面验证了这些受害者与 SolarWinds 攻击受害者的关系。

根据 Prodaft 的分析，SilverFish 共有四个小组发动攻击。

受害者中位于美国的实体遭受的攻击次数最多（2465），其次是欧洲（1466）。

尽管英语仍然是黑客的主要语言，但攻击者仍然使用了俄语的俚语和口头语。同时，有证据表明黑客在俄罗斯和乌克兰操纵 C&C 服务器，其中一些 C&C 服务器与归属于俄罗斯的攻击组织 Evil Corp 共享。

2020 年 12 月，SolarWinds 攻击被发现时美国就声称该次攻击与俄罗斯攻击组织有关 2021 年 1 月，卡巴斯基的安全研究员表示 SolarWinds 攻击中使用的 SunBurst 与 Turla 组织之前使用的 Kazuar后门有关 2021 年 1 月，微软表示 SolarWinds 攻击者能够访问其源代码，但是未能对其进行更改 2021 年 3 月，Mimecast 表示其源码在 SolarWinds 攻击中被盗

SilverFish 使用的工具包括 Empire、Cobalt Strike 和 Mimikatz，以及一些自己编写的 Rootkit、PowerShell、BAT 和 HTA 文件。SilverFish 攻击有着特定的行为模式，比如执行命令列出域控和受信任的域、显示管理员账户，之后再进行后续侦察和信息窃取。

SilverFish 构建了名为 VictimTotal 的测试工具，针对不同企业部署的 AV 和 EDR 部署不同的 Payload 以提高攻击成功率。

Prodaft 表示，尽管被入侵的公司都是大型关键信息基础设施，但它们大多都没有发现已经被入侵了。