通过临时VPN帐户使用受到破坏的凭据,黑客能够访问网络安全公司Avast的内部网络,他们很可能打算发动针对CCleaner的供应链攻击。
根据该公司CISO的Jaya Baloo的博客文章,其中包含了有关该事件的更多信息,该攻击似乎是“极其复杂的尝试”。
Avast将这种尝试称为“ Abiss”,该公司表示,其背后的威胁参与者非常谨慎,以免在掩盖其真实意图的同时避免被发现。
可疑活动日志显示,黑客试图在5月14日和15日,7月24日,9月11日以及10月4日再次访问其内部网络。入侵者通过英国的公共IP地址连接并使用了临时的VPN配置文件,该配置文件应不再处于活动状态,并且不受两因素身份验证的保护。
此外,其凭据已被泄露的用户没有域管理员的权限,这表明攻击者能够实现特权升级。日志还显示临时配置文件已被多组用户凭据使用,这可能意味着该用户已成为凭据盗窃的受害者。
定位CCleaner
由于Avast怀疑攻击者针对的是CCleaner,因此该公司于9月25日停止了该软件的所有即将发布的更新,并开始检查以前的发行版以查看是否已被恶意修改。
Avast重新签署了CCleaner正式发行版,并于10月15日将其作为自动更新进行了发布,以确保不会给用户带来风险,并且旧证书也被吊销。
Jaya Baloo解释了如何使用新版本的CCleaner来防止攻击者访问Avast的内部网络,他说:
“很明显,一旦我们发布了新签署的CCleaner构建,我们就会向恶意行为者倾斜,因此,在那一刻,我们关闭了临时VPN配置文件。与此同时,我们禁用并重置了所有内部用户凭据。与此同时,我们立即对所有版本进行了额外的审查。”
然后,Avast通过保持VPN配置文件处于活动状态并监视通过它的访问来跟踪入侵者,直到可以成功部署其缓解措施为止。
该公司已就安全漏洞通知了执法部门,并雇用了一个外部法医团队来帮助验证收集到的数据。