微软：再度攻击SolarWinds的骇客来自中国

就在SolarWinds修补了已被攻陷的新零时差漏洞的隔天，微软揭露了发现漏洞的过程，并说根据骇客的攻击策略、程序，以及受害者的属性，相信骇客是来自于中国的DEV-0322。

微软威胁情报中心（Microsoft Threat Intelligence Center，MSTIC）是在进行例行性调查时，于Microsoft 365 Defender遥测中发现此一零时差攻击行动，该团队察觉到有一异常的恶意程式从Serv-U程序中产生，进而猜测Serv-U可能已被危害。

分析显示DEV-0322把cmd.exe命令的输出置放在Serv-U内一个可由网络存取的档案中，以让骇客能够随时存取命令结果，DEV-0322还在Serv-U上新增一个全球用户，把自己变成Serv-U的管理员。

微软一开始是先发现攻击程式的功能，再针对Serv-U的二进制档案展开漏洞研究，借由黑盒子分析才辨识出提交给SolarWinds的CVE-2021-35211漏洞。

CVE-2021-35211存在于Serv-U中Secure Shell（SSH）协定的实现，倘若Serv-U的SSH曝露在网络上，成功的开采将允许骇客自远端以特权执行任意程式，使得不论是微软或SolarWinds都催促用户尽快部署相关更新。

SolarWinds则说，此一漏洞影响Serv-U Managed File Transfer Server与Serv-U Secured FTP，波及Serv-U 15.2.3 HF1与之前的所有版本，呼吁用户升级到Serv-U 15.2.3 HF2。

至于DEV-0322骇客集团过去多半锁定美国国防工业基地及软件公司发动攻击，该集团位于中国，其攻击架构经常利用商业化的VPN解决方案或借由危害消费者的路由器来闪避追踪。