网络犯罪行动“金旋律”

关键要点

金旋律行动：该行动也被称为UNC961和先知蜘蛛，是一种提供网络侵入的初始访问经纪商。攻击时间段：从2020年7月到2022年7月，金旋律共进行了五次攻击，攻破了自2016年以来的漏洞。攻击模式：攻击者首先获得初始访问权限，随后分发Web Shell并在受损主机上创建目录。数据盗窃：在进行环境扫描、凭证收集和横向移动后，金旋律的攻击虽未成功，仍突显了互联网暴露服务器的漏洞。防护建议：研究人员强调，网络防御者应重视增强的补丁管理实践，以应对这些攻击。

根据SecureWorks对威胁的研究，金旋律Gold Melody网络犯罪行动被发现为一种初始访问经纪商IAB，其主要业务是出售被侵入的网络访问权限，以便进行后续的攻击，具体信息请见黑客新闻。

SecureWorks的报告显示，从2020年7月到2022年7月，金旋律实施的五次攻击都是利用了自2016年以来的漏洞来获取初步的访问权限，随后进行Web Shell分发和在受损主机上创建目录。金旋律在这些操作之后，会进行广泛的环境扫描，进行凭证收集、横向移动和数据盗窃，但所有报告的攻击最终均以失败告终。

研究人员指出：“金旋律作为一家以经济利益驱动的初始访问经纪商，出售对其他威胁行为者的访问权限。买家随后通过强化勒索软件部署来变现这些访问权限。”

研究团队强调了网络防御工作的重要性，尤其是在金旋律关注的那些互联网暴露的服务器漏洞面前，可靠的补丁实践显得尤为重要。以下是针对这些攻击的防护措施建议：

shadow rocket小火箭节点防护措施描述增强补丁管理定期更新和修复已知漏洞的系统网络监控实施持续的网络流量监控身份验证加强用户凭证的保护措施教育培训提高员工对网络安全的意识

了解金旋律的运行机制及其攻击手法，对提升网络安全防范具有重要意义。