CISA 發布警告：黑客利用 Citrix，Pulse 和 F5 系統以及 MS Exchange 中的漏洞來瞄準政府機構

CISA發布了一份安全咨詢警告，告稱隸屬于中國國家安全部的與中國有關聯的APT組織實施了一波攻擊。

中國由國家資助的黑客對美國政府網絡進行了調查，尋找易受攻擊的網絡設備，這些設備可能會被利用最近披露的漏洞進行攻擊。

“網絡安全和基礎設施安全局（CISA）一直觀察到中國國家安全部（MSS）下屬的網絡威脅參與者使用公開可用的信息源以及常見的眾所周知的策略，技術和程序（TTP）來針對美國政府代理商。” 閱讀安全公告。“ CISA觀察到了這些以及其他具有不同技能水平的威脅行為者，通常使用開源信息來計劃和執行網絡操作。”

中國黑客針對的漏洞列表為：

• CVE-2020-5902：F5 Big-IP Vulnerability – CISA在聯邦政府和商業實體進行了事件響應約定，威脅參與者利用CVE-2020-5902進行了攻擊。這是F5的Big-IP流量管理用戶界面中的漏洞，允許網絡威脅參與者執行任意系統命令，創建或刪除文件，禁用服務和/或執行Java代碼。
• CVE-2019-19781： Citrix Virtual Private Network (VPN) Appliances – CISA已觀察到威脅行為者試圖發現易受攻擊的Citrix VPN設備。CVE-2019-19781使演員能夠執行目錄遍歷攻擊。
• CVE-2019-11510：Pulse Secure VPN Servers – CISA在聯邦政府和商業實體進行了多次事件響應活動，威脅參與者利用CVE-2019-11510（一種影響Pulse Secure VPN設備的任意文件讀取漏洞）來訪問受害者網絡。盡管Pulse Secure于2019年4月發布了CVE-2019-11510的補丁程序，但CISA觀察到受害組織在對其VPN設備進行補丁修復后數月使用了受到破壞的Active Directory憑據的事件。
• CVE-2020-0688：Microsoft Exchange Server – CISA已觀察到參與者利用CVE-2020-0688進行遠程代碼執行以啟用目標網絡的電子郵件收集。

CISA還警告說，威脅行為者正在利用Microsoft Exchange CVE-2020-0688 RCE漏洞來訪問來自聯邦政府環境中的交換服務器的電子郵件。

根據該通報，一些攻擊已經成功，并使中國黑客能夠滲透到聯邦網絡。

“根據美國司法部最近的起訴書，與MSS有關的參與者針對了美國和其他國家/地區的各個行業，包括高科技制造業；醫療器械，土木和工業工程；商業，教育和游戲軟件；太陽能; 藥品；和防御-在持續了十年的運動中。繼續進行咨詢。這些黑客為自己的個人利益和中國MSS的利益而行動。”

一旦在目標網絡中立足，中國黑客就會使用各種工具進行橫向移動，例如

• Cobalt Strike：Cobalt Strike是一個合法的對手模擬平臺，旨在由安全專業人員用來評估網絡的安全性。威脅參與者正在使用破解版本作為其攻擊的一部分，以使對受感染系統的后門訪問和在網絡上部署其他工具成為可能。
• China Chopper Web Shell：此工具允許威脅攻擊者在公開暴露的Web服務器上安裝PHP，ASP，ASPX，JSP和CFM Webshell（后門）。一旦 安裝了China Chopper Web Shell，攻擊者就可以通過公開的網站完全訪問遠程服務器。
• Mimikatz：Mimikatz是一種利用后的工具，攻擊者可以使用該工具轉儲存儲在計算機內存中的Windows憑據。威脅參與者（包括勒索軟件操作）通常使用此工具，利用該工具來獲取對管理員憑據的訪問權，從而損害Windows域控制器。

CISA建議私人公司和政府機構采取必要的對策，并在其基礎架構中修補設備：

“ CISA和FBI還建議組織定期審核其配置和補丁程序管理程序，以確保它們可以跟蹤和緩解新出現的威脅。實施嚴格的配置和補丁管理程序將阻礙復雜的網絡威脅行為者的操作，并保護企業的資源和信息系統，”國家的咨詢。

在可以安裝的補丁列表下方，這些補丁可以阻止中國黑客和其他威脅行為者利用它們：