美国国防工业基地遭受数据泄露

关键要点

• 多个国家支持的威胁行为者在2022年间成功入侵并窃取了美国国防工业基地的敏感数据。
• 攻击者使用了CovalentStealer恶意软件、Impacket工具包、中国木马webshell和HyperBro远程访问木马。
• ProxyLogon漏洞被利用，攻击者在2021年1月成功访问了受影响组织的Exchange服务器，并在后续进行横向移动。

根据的报道，多个国家支持的威胁行为者在去年的1月至11月间成功入侵并窃取了位于美国的一家国防工业基地组织的数据。联邦调查局（FBI）、国家安全局（NSA）和网络安全基础设施安全局（CISA）的一份联合报告显示，攻击者利用了CovalentStealer恶意软件，并结合了Impacket开源工具包、中国木马webshell和HyperBro远程访问木马。

攻击者在2021年中旬首次通过ProxyLogon漏洞访问该组织的Exchange服务器，并在2021年2月初又一次进入网络进行侦察活动。随后，他们在3月初利用ProxyLogon的缺陷部署了中国木马webshell，到了4月，开始了横向网络移动。攻击者在2022年7月至10月期间借助CovalentStealer进行文件上传到Microsoft OneDrive。与此同时，CISA的一份独立报告指出，CovalentStealer包含ClientUploader工具和PowerShell脚本Export- MFT的代码，并具有数据和配置文件的加密与解密能力。

这些事件揭示了网络安全的严峻形势，多国支持的攻击者能够灵活运用各种技术和工具，进一步展示了提高网络防御能力的必要性。