黑客通过已停产的网络服务器中的漏洞破坏能源组织-VPS资讯_海外云服务器资讯_海外服务器资讯

微软今天表示，发现影响自 2005 年以来停用的 Web 服务器的安全漏洞已被用于针对和危害能源部门的组织。

正如网络安全公司 Recorded Future 在 4 月份发布的一份报告中所揭示的那样，国家支持的中国黑客组织（包括一个被追踪为 RedEcho 的组织）将多个印度电网运营商作为目标，破坏了印度国家应急响应系统和一家跨国物流公司的子公司。

攻击者通过网络上暴露在互联网上的摄像头作为命令和控制服务器，获得了对被黑实体内部网络的访问权限。

Recorded Future表示： “除了以电网资产为目标外，我们还确定了同一威胁活动组织对国家应急响应系统和一家跨国物流公司的印度子公司的破坏。 ”

“为实现这一目标，该组织可能会妥协并采用面向互联网的 DVR/IP 摄像头设备来命令和控制 (C2) Shadowpad 恶意软件感染，以及使用开源工具FastReverseProxy ”

与 Boa Web 服务器漏洞相关的攻击

虽然 Recorded Future 没有详细说明攻击媒介，但微软今天表示，攻击者利用了 Boa 网络服务器中的一个易受攻击的组件，该软件解决方案自 2015 年以来已停产，但物联网设备（从路由器到相机）仍在使用该解决方案。

Boa 是用于登录和访问 IoT 设备管理控制台的组件之一，它显着增加了通过运行易受攻击的 Web 服务器的易受攻击和暴露于 Internet 的设备破坏关键基础设施的风险。

微软安全威胁情报团队今天表示，Boa 服务器在物联网设备中普遍存在，主要是因为 Web 服务器包含在流行的软件开发工具包 (SDK) 中。

根据 Microsoft Defender 威胁情报平台数据，全球单周内在线检测到超过 100 万个暴露于互联网的 Boa 服务器组件。

“Boa 服务器受到多个已知漏洞的影响，包括任意文件访问 ( CVE-2017-9833 ) 和信息泄露 ( CVE-2021-33558 )，”微软研究人员表示。

“微软继续看到攻击者试图在已发布报告的时间范围之外利用 Boa 漏洞，这表明它仍然是攻击向量的目标。”

攻击者可以通过访问目标服务器上包含敏感信息的文件窃取凭据后，无需身份验证即可利用这些安全漏洞远程执行代码。

在 Microsoft 观察到的最近一次滥用这些漏洞的攻击中，Hive 勒索软件上个月攻击了印度最大的综合电力公司 Tata Power。

“Recorded Future 报告中详述的攻击是自 2020 年以来对印度关键基础设施的几次入侵尝试之一，最近一次对 IT 资产的攻击在 2022 年 10 月得到确认，”Redmond 说。

“微软评估称，在报告发布时，Boa 服务器正在 Recorded Future 发布的 IOC 列表中的 IP 地址上运行，并且电网攻击针对的是运行 Boa 的暴露物联网设备。”

塔塔电力公司在 10 月 14 日的一份股票文件中披露了对其“影响其部分 IT 系统的 IT 基础设施”的网络攻击，但没有透露有关该事件背后的威胁行为者的更多详细信息。

Hive 勒索软件团伙后来发布了他们声称从 Tata Power 的网络中窃取的数据，表明赎金谈判失败了。