根据美国财政部周一发给国会议员的一封信,财政部表示,第三方软件提供商 BeyondTrust 于 12 月 8 日通知它,称一名黑客获得了安全密钥,允许攻击者远程访问员工工作站和存储在其上的机密文件。
BeyondTrust 是一家网络安全公司,专门从事特权访问管理 (PAM) 和安全远程访问解决方案。该公司的SaaS产品被政府机构、科技公司、零售和电子商务实体、医疗保健组织、能源和公用事业服务提供商以及银行业使用。
“根据现有指标,该事件被归咎于高级持续威胁 (APT) 行为者。”财政部负责管理的助理部长 Aditi Hardikar 在信中说。
财政部没有具体说明受影响的工作站数量或被黑客攻击的文档类型。它也没有说明黑客活动是何时发生的。
财政部补充说,受感染的服务已下线,目前没有证据表明攻击者能够继续访问财政部信息。根据财政部的政策,归因于 APT 的入侵被视为重大网络安全事件。
本月早些时候,有报告称 BeyondTrust 已被黑客入侵了远程支持
实例(https://www.bleepingcomputer.com/news/security/beyondtrust-says-hackers-breached-remote-support-saas-instances/)。威胁组织利用被盗的远程支持 SaaS API 密钥重置了本地应用程序帐户的密码,并获得了对系统的进一步特权访问。
在调查了这次攻击后,BeyondTrust 发现了两个0day漏洞,即 CVE-2024-12356 和 CVE-2024-12686,这些漏洞允许攻击者入侵并接管远程支持 SaaS 实例。
由于财政部是其中一个受感染实例的客户,因此威胁组织能够使用该平台访问客户计算机并远程窃取文档。在 BeyondTrust 检测到违规行为后,他们关闭了所有受损的实例并撤销了被盗的 API 密钥。
财政部表示,它正在与 FBI 和美国网络安全和基础设施安全局 (CISA) 合作解决入侵问题。
转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/XJHv5-cPQV1plDn78rGeXw
封面来源于网络,如有侵权请联系删除
