Китайские хакеры атаковали жертв через уязвимость 0-day в SolarWinds Serv-U FTP

Компания Microsoft обнаружила , что уязвимость нулевого дня в SolarWinds Serv-U FTP эксплуатировалась в целенаправленных атаках на ограниченный круг жертв. Основываясь на виктимологии, техниках, тактиках и процедурах, специалисты Microsoft Threat Intelligence Center (MSTIC), отнесли атаки на счет киберпреступной группировки DEV-0322, действующей с территории Китая.

Речь идет об исправленной на днях уязвимости удаленного выполнения кода CVE-2021-35211 , затрагивающей реализацию в Serv-U протокола Secure Shell (SSH). Если реализация SSH в Serv-U доступна через интернет, злоумышленник сможет проэксплуатировать уязвимость и удаленно запустить на системе произвольный код с привилегиями, что даст ему возможность устанавливать и запускать вредоносное ПО, а также просматривать и модифицировать данные. В связи с этим пользователям настоятельно рекомендуется обновить свои установки Serv-U до последней доступной версии.

Как сообщают специалисты MSTIC, киберпреступная группировка DEV-0322 атакует предприятия оборонно-промышленного сектора США и софтверные компании. Злоумышленники действуют с территории Китая и в своих атаках используют коммерческие VPN-решения и скомпрометированные маршрутизаторы.

Специалисты MSTIC обнаружили атаки с использованием вышеупомянутой уязвимости в ходе привычного анализа телеметрии Microsoft 365 Defender. Как оказалось, процесс Serv-U порождал аномальные вредоносные процессы, что указывало на компрометацию Serv-U.

DEV-0322 отправляла исходящие данные своих команд в файлах cmd.exe в папку Serv-U ClientCommon, доступную через интернет по умолчанию, поэтому атакующие могли легко получать результаты своих команд. Злоумышленники также добавляли в Serv-U нового глобального пользователя, успешно добавляя себя в качестве администратора Serv-U путем создания вручную в директории Global Users особым образом сконфигурированного файла .Archive. Информация пользователей Serv-U хранилась в этом файле.

Благодаря особенностям написания кода эксплоита после компрометации процесса Serv-U генерировалось исключение и добавлялось в файл журнала DebugSocketLog.txt. После запуска вредоносной команды процесс также мог аварийно завершиться.

В ходе изучения телеметрии специалисты MSTIC выявили отличительные черты эксплоита, но не саму причину уязвимости. Их коллеги из Microsoft Offensive Security Research провели динамический анализ кода Serv-U и установили причину проблемы, после чего уведомили о ней SolarWinds, которая вскоре выпустила исправление.