通過臨時VPN帳戶使用受到破壞的憑據，黑客能夠訪問網絡安全公司Avast的內部網絡，他們很可能打算發動針對CCleaner的供應鏈攻擊。

根據該公司CISO的Jaya Baloo的博客文章，其中包含了有關該事件的更多信息，該攻擊似乎是“極其復雜的嘗試”。

Avast將這種嘗試稱為“ Abiss”，該公司表示，其背后的威脅參與者非常謹慎，以免在掩蓋其真實意圖的同時避免被發現。

可疑活動日志顯示，黑客試圖在5月14日和15日，7月24日，9月11日以及10月4日再次訪問其內部網絡。入侵者通過英國的公共IP地址連接并使用了臨時的VPN配置文件，該配置文件應不再處于活動狀態，并且不受兩因素身份驗證的保護。

此外，其憑據已被泄露的用戶沒有域管理員的權限，這表明攻擊者能夠實現特權升級。日志還顯示臨時配置文件已被多組用戶憑據使用，這可能意味著該用戶已成為憑據盜竊的受害者。

定位CCleaner

由于Avast懷疑攻擊者針對的是CCleaner，因此該公司于9月25日停止了該軟件的所有即將發布的更新，并開始檢查以前的發行版以查看是否已被惡意修改。

Avast重新簽署了CCleaner正式發行版，并于10月15日將其作為自動更新進行了發布，以確保不會給用戶帶來風險，并且舊證書也被吊銷。

Jaya Baloo解釋了如何使用新版本的CCleaner來防止攻擊者訪問Avast的內部網絡，他說：

“很明顯，一旦我們發布了新簽署的CCleaner構建，我們就會向惡意行為者傾斜，因此，在那一刻，我們關閉了臨時VPN配置文件。與此同時，我們禁用并重置了所有內部用戶憑據。與此同時，我們立即對所有版本進行了額外的審查。”

然后，Avast通過保持VPN配置文件處于活動狀態并監視通過它的訪問來跟蹤入侵者，直到可以成功部署其緩解措施為止。

該公司已就安全漏洞通知了執法部門，并雇用了一個外部法醫團隊來幫助驗證收集到的數據。