ShadowSilk数据窃取攻击技术分析

本文详细分析了ShadowSilk组织利用Drupal Core和WP-Automatic WordPress插件漏洞发起的数据窃取攻击,包括攻击技术细节、防护建议和FortiGuard提供的安全防护方案。

攻击描述

根据Group-IB的调查,中亚和亚太地区的近三十个组织,主要是政府机构,遭受了被称为ShadowSilk的俄语和中文威胁组织发起的数据窃取攻击。

Group-IB的调查确认了中亚政府部门的众多受害者。研究结果强调了ShadowSilk严重依赖公开可用的漏洞利用、渗透测试框架和暗网获取的基础设施,对战略政府目标进行大规模入侵。

ShadowSilk被观察到利用Drupal Core和WP-Automatic WordPress插件中的漏洞建立初始访问权限。FortiGuard Labs的网络遥测数据显示威胁行为者持续活动,并对这些攻击向量表现出高度兴趣。

受感染的网络随后被植入多个Web Shell和实用工具,以实现横向移动、权限提升和远程访问木马(RAT)的部署。

建议防护措施

强烈建议使用受影响产品的组织:

  • 查看官方安全公告,并为CMS平台(如Drupal和WordPress,包括WP-Automatic等插件)应用最新的安全补丁。
  • 监控任何可疑活动、Telegram机器人流量和其他C2通道。

FortiGuard防护覆盖

  • FortiGuard IPS防护可用于检测和阻止与CVE-2024-27956、CVE-2018-7600和CVE-2018-7602相关的攻击。
  • FortiGuard Labs已阻止所有已知关联的危害指标(IOCs)。
  • 反恶意软件和沙箱服务提供对已知恶意软件的保护,并使用高级行为分析检测和阻止未知威胁。
  • 可联系FortiGuard事件响应团队协助处理任何疑似入侵事件。

疫情警报

FortiGuard Labs的网络遥测已观察到利用Drupal Core和WP-Automatic WordPress插件中已知漏洞进行初始访问的活跃攻击。入侵后,攻击者部署多个Web Shell和实用工具,以实现横向移动、权限提升和远程访问木马(RAT)的安装。

查看完整的疫情警报报告

其他资源

  • Drupal核心 - 高度严重 - 远程代码执行 - SA-CORE-2018-002 | Drupal.org
  • Drupal核心 - 高度严重 - 远程代码执行 - SA-CORE-2018-004 | Drupal.org
  • 博客 | Group-IB
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次