参与全球黑客活动的网络攻击者正在利用知名受害者的受损系统作为游乐场，测试恶意工具的检测率。

周四，瑞士网络安全公司Prodaft说https://www.prodaft.com/m/uploads/SilverFish\u TLPWHITE.pdf“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>SilverFish（.PDF）是一个“技术高超”的威胁组织，对4720多个私人和政府组织的入侵负有责任，包括“财富500强企业、政府部门、航空公司、国防承包商、审计和咨询公司以及汽车制造商。”

攻击针对美国和欧洲实体，特别关注市值超过1亿美元的关键基础设施和目标。

SilverFish已连接到https://www.zdnet.com/article/microsoft-solarwinds-attack-take-more-than-1000-engineers-to-create/“target=”\u blank“>最近的SolarWinds漏洞作为“众多”威胁集团之一，利用了向客户推送恶意SolarWinds Orion更新的情况，导致妥协https://www.zdnet.com/article/microsoft-solarwinds-attack-take-more-than-1000-engineers-to-create/“target=”\u blank“>数以千计的公司网络。

12月，在SolarWinds漏洞被披露后，Prodaft收到了一个客户的分析请求，并根据该请求创建了一个指纹公共妥协指标https://github.com/prodaftFireEye发布的“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>IOC。

运行IPv4扫描后，该小组在12小时内发现了新的检测结果，然后开始在网络上搜索行动中使用的指挥和控制服务器（C2s），同时提炼指纹记录。Prodaft说，在进入管理C2控制面板后，该公司能够通过IP、用户名、命令执行、国家和时间戳记录验证与现有SolarWinds安全事件和已知受害者的联系。

该公司验证的受害者包括一名美军承包商，一个顶级的COVID-19测试套件制造商、航空航天和汽车业巨头、多个警察网络、欧洲机场系统以及美国和欧洲的“几十家”银行机构。

SilverFish专注于网络侦察和数据过滤，并使用各种软件和脚本进行初始和后期开发活动。这些工具包括Empire、Cobalt Strike和Mimikatz等现成工具，以及定制的rootkit、PowerShell、BAT和HTA文件。

Prodaft说，SilverFish攻击者在枚举域时往往遵循特定的行为模式，包括运行命令列出域控制器和受信任域，以及显示存储的凭据和管理用户帐户。

然后启动脚本，用于攻击后侦察和数据窃取活动。黑客攻击的合法域有时被用来将流量重新路由到C2。

然而，观察到的最有趣的策略可能是将现有的企业受害者用作沙盒。

“SilverFish group设计了一个前所未有的恶意软件检测沙盒，由实际的企业受害者组成，使对手能够使用不同的企业AV和EDR解决方案在受害者服务器上测试他们的恶意有效负载，进一步扩大了SilverFish组攻击的高成功率，”该公司说。

C2小组还透露了一些有关SilverFish如何操作的有趣提示。为“活跃团队”设置了面板，并显示为多个组，如301、302、303和304团队，使用英语和俄语对受害者记录进行评论。

工作时间似乎停留在UTC上午8点到晚上8点之间，周末的活动则少得多。攻击者小组似乎每天都在受害者之间循环，每当有新目标被捕获时，服务器就会被分配到特定的工作组进行检查。

2019年进行了太阳风猎户座折衷方案的“试运行”，鉴于Sunburst恶意软件于2020年3月至6月间部署到客户端。SilverFish SolarWinds攻击开始于2020年8月底，分三次进行，直到一个关键域被查封并陷入深坑为止。

然而，该小组预计，其他间谍和数据盗窃相关的攻击将在2021年持续进行。

SilverFish基础设施此前还发现了与多个IOC的链接归TrickBot，Evicorp，WastedLocker和DarkHydrus所有。Prodaft警告说，“安全分析师不应该完全自动化他们的威胁情报协议[…]，因为严格按照第三方资源提供的IoC情报行事可能是阻止研究人员了解大规模APT攻击实际范围的主要原因之一。”

“SilverFish仍在使用相关机器进行攻击。”该公司补充说：“他们的运动处于横向运动阶段。”不幸的是，尽管是大型关键基础设施，但他们的大多数目标都不知道银鱼集团在他们的网络上的存在。“作为一个“非常敏感的问题”，Prodaft告诉ZDNet说，受害者没有直接联系。然而，该公司的调查结果已经“与所有负责的认证机构和不同的执法机构共享；这样他们就可以作为授权机构与受害者取得联系，并分享他们的调查结果。”

之前和相关报道

• apple developers targeted by new malware，蛋壳后门

  Mimecast揭露SolarWinds hack中的源代码被盗

  'bit-con twitter teen hacker接受认罪协议，通过登记入狱三年，您同意https://redventures.com/CMG-terms-of-use.html“target=”\u blank“rel=”noopener noreferrer nof