微軟警告：俄羅斯網絡犯罪集團正在利用 Zerologon 漏洞

微軟發現了Zerologon攻擊，據稱是由臭名昭著的與俄羅斯聯系在一起的TA505網絡犯罪組織進行的。

微軟發現了一系列的Zerologon攻擊，據稱由俄羅斯網絡犯罪組織TA505，CHIMBORAZO和Evil Corp發起。

微軟專家發現了涉及假冒軟件更新的Zerologon攻擊，研究人員注意到，惡意代碼連接到與TA505相關的命令和控制（C＆C）基礎結構。

自2014年以來，TA505黑客組織一直活躍于零售和銀行業領域。該組織還因其為避免安全控制而采用的一些可逃避的技術而聞名，這些技術可避免使用多種惡意軟件進行安全控制并侵入企業范圍，例如濫用所謂的LOLBins（生活在陸地上的二進制文件），經常使用的合法程序受害人，或者濫用有效的密碼簽名有效載荷。

TA505小組與Locky，BitPaymer，Philadelphia，GlobeImposter和Jaff勒索軟件家族一起參與了旨在分發Dridex銀行木馬的活動。

網絡安全公司Prevailion的安全專家報告說，TA505已經危害了1000多個組織。

Zerologon攻擊中采用的惡意更新能夠繞過Windows中的用戶帳戶控制（UAC）安全功能，并濫用Windows腳本宿主工具（wscript.exe）來執行惡意腳本。

專家解釋說，威脅行為者濫用MSBuild.exe來編譯使用內置ZeroLogon功能更新的Mimikatz。

“出現在商品惡意軟件中的攻擊，例如威脅參與者CHIMBORAZO所使用的攻擊，表明在近期內將有更廣泛的利用。” 美國微軟。

這是微軟發布的第二個與Zerologon攻擊有關的警報。本周早些時候，這家IT巨頭發布了一條帖子和一系列推文，警告利用Zerologon漏洞的網絡攻擊，這種攻擊是由與伊朗有關聯的APT組織MuddyWater（又名Mercury）實施的。

在CVE-2020年至1472年Zerologon漏洞是特權提升駐留在的Netlogon。該Netlogon服務是Windows客戶端身份驗證架構，驗證登錄請求所使用的認證機制，并注冊，身份驗證和定位域控制器。

攻擊者可能利用此漏洞來假冒任何計算機，包括域控制器本身，并代表它們執行遠程過程調用。

攻擊者還可能利用此漏洞禁用Netlogon身份驗證過程中的安全功能，并更改域控制器的Active Directory上的計算機密碼。

9月底，DHS CISA發布了一項緊急指令，要求政府機構在周一之前解決Zerologon漏洞（CVE-2020-1472）。