威胁行为者利用漏洞，并使用 Elastic Cloud SIEM 管理窃取的数据

HackerNews 编译，转载请注明出处：

网络安全研究人员发现了一场攻击活动，该活动利用多个软件漏洞窃取系统数据，并将数据存储在基于云的安全平台中。

研究人员发现，威胁行为者使用 Elastic Cloud 安全信息与事件管理（SIEM）平台的免费试用实例，从数十家机构的受入侵系统中收集和分析数据。

该活动由 Huntress 公司的研究人员发现，他们观察到攻击者利用广泛使用的企业软件中的漏洞，包括 SolarWinds Web Help Desk。

攻击者并未使用传统的命令与控制（C&C）基础设施，而是将受害者数据直接外传到由攻击者控制的 Elastic Cloud 实例中，实际上将一款合法的安全监控工具变成了窃取信息的存储库。

将 Elastic 试用版用作数据中心与 VPN 基础设施

调查显示，攻击者在受入侵系统上执行一段经过编码的 PowerShell 命令，用于收集详细的主机信息。该脚本收集操作系统信息、硬件配置、Active Directory 数据以及已安装补丁信息，然后将其传输到名为 “systeminfo” 的 Elasticsearch 索引中。

研究人员表示，这种战术使攻击者能够使用本应用于防御性安全监控的 SIEM 工具对受害者进行分类，并确定攻击目标优先级。

用于此次攻击的 Elastic Cloud 实例创建于 2026 年 1 月 28 日，并持续运行了数天。遥测数据显示，攻击者通过 Kibana 界面对该环境进行反复操作，在检查传入的受害者数据期间执行了数百次操作。

进一步分析显示，该试用账号使用了一个与 quieresmail.com 域名关联的一次性电子邮件地址注册。调查人员认为，该地址格式与俄罗斯注册的临时邮件网络 firstmail.ltd 有关，该网络运营着数百个一次性域名。

其他证据表明，攻击者在其整个基础设施中重复使用随机的 8 字符标识符，包括电子邮件注册信息以及在 Cloudflare Worker 页面上托管工具所用的子域名。

对该 SIEM 实例的管理员登录行为被追溯到据信来自 SAFING VPN 隐私网络隧道的 IP 地址。

数百台系统受影响

从攻击者的 Elastic 环境中恢复的数据显示，该攻击活动影响了至少 216 台主机，涉及 34 个 Active Directory 域。大部分受入侵设备为服务器，其中最常见的是运行 Windows Server 2019 或 2022 的系统。

受害者遍布多个行业，包括：

·     政府机构

·     大学及教育机构

·     金融服务公司

·     制造业与汽车企业

·     IT 服务提供商与零售商

部分主机名表明，攻击者还在利用其他企业平台中的漏洞，包括 Microsoft SharePoint。

研究人员已与 Elastic 公司及执法部门协作，通知受影响机构并对相关基础设施展开调查。此次活动中使用的云实例现已被下线。

Huntress 在其博客中表示：“我们已对我们认为在被发现数据中涉及的机构进行了联系与受害者通知，并与 Elastic 展开协作，进一步调查并下线该威胁行为者的基础设施。”

消息来源：infosecurity-magazine.com；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文