中国的APT41在全球战役中利用了Citrix,Cisco和ManageEngine漏洞

研究人员说,APT41的漏洞利用是“近年来”从与中国有联系的演员身上看到的最广泛的间谍活动之一。 研究人员警告称,臭名昭著的与中国有联系的威胁组织APT41在“近年来观察到的中国网络间谍行动者开展的最广泛的运动之一”中,已将全球超过75个组织作为目标。 在1月20日至3月11日之间,研究人员观察到APT41利用Citrix NetScaler / ADC,Cisco路由器和Zoho ManageEngine Desktop Central中的漏洞作为广泛的间谍活动的一部分。研究人员表示,目前尚不清楚APT41是否试图进行大规模剥削,或者是否针对特定组织进行磨练-但受害者的确在性质上确实更具针对性。 “ APT41以前曾进行过大量活动,例如对NetSarang软件进行木马化,但这种扫描和利用只针对我们的部分客户,并且似乎揭示了APT41的高操作速度和广泛的采集要求,”克里斯托弗·格里尔(Christopher Glyer),丹·佩雷斯(Dan Perez),莎拉·琼斯(Sarah Jones)和史蒂夫·米勒(Steve Miller)与FireEye在星期三的分析中。 数十家公司来自不同行业,包括银行和金融,国防工业基地,政府,医疗,法律,制造业,媒体,非营利,石油和天然气,运输和公用事业。APT41还针对来自许多国家的公司,包括澳大利亚,加拿大,丹麦,芬兰,法国,印度,意大利,日本,马来西亚,墨西哥,菲律宾,波兰,卡塔尔,沙特阿拉伯,新加坡,瑞典,瑞士,阿联酋,英国和美国 思科,Citrix和Zoho漏洞利用 从1月20日开始,研究人员观察到该威胁组织试图利用Citrix Application Delivery Controller(ADC)和Citrix Gateway设备中臭名昭著的漏洞(CVE-2019-19781),发现该漏洞为零天,然后于今年初进行了修补。它于12月17日披露 - 概念证明(PoC)代码在1月发布补丁之前不久发布。 在此活动中,研究人员观察到针对CVE-2019-19781的三大利用浪潮 –第一次于 1月20日至21日,第二次于2月1日,最后于2月24日至25日“显着上升”。 漏洞利用后,APT41在受影响的系统上执行了一个命令('file / bin / pwd'),研究人员说该命令可能已经实现了两个目标:“首先,它将确认系统是否易受攻击并且未应用缓解措施,”研究人员注意。“其次,它可能会返回与架构相关的信息,这是APT41在后续步骤中成功部署后门所需的知识。” 2月21日,研究人员接下来观察到APT41交换设备在一家电信组织中利用Cisco RV320路由器(用于小型企业的Cisco WAN VPN路由器)。利用后,威胁参与者下载了可执行和可链接格式(ELF)二进制有效负载。研究人员不确定在这种情况下使用的是哪种具体利用,但指出了结合两个CVE(CVE-2019-1653CVE-2019-1652)的Metasploit模块,以在Cisco RV320和RV325小型企业路由器上实现远程代码执行
APT41时间轴
最后,在3月8日,观察到威胁行动者利用 Zoho ManageEngine Desktop Central中的一个严重漏洞,Zoho ManageEngine Desktop Central是一种端点管理工具,可帮助用户从中央位置管理服务器,便携式计算机,智能手机等。该漏洞(CVE-2020-10189)于3月5日首次公开为零日漏洞,随后于3月7 日进行了修补。攻击者利用此漏洞以两种方式部署有效负载(install.bat和storesyncsvc.dll)。首先,在利用该漏洞之后,他们直接上载了一个简单的基于Java的程序(“ logger.zip”),该程序包含一组命令,然后使用PowerShell来下载并执行有效负载。在第二次攻击中,APT41利用合法的Microsoft命令行工具BITSAdmin下载有效负载。 值得注意的是,利用漏洞攻击后,攻击者仅利用了公开可用的恶意软件,包括Cobalt Strike(一种商业上可利用的攻击框架)和Meterpreter(一种Metasploit攻击有效载荷,它提供了一个交互式外壳,攻击者可以从中探索目标计算机并执行代码)。 )。研究人员说:“尽管这些后门功能齐全,但在以前的事件中,APT41一直等待部署更高级的恶意软件,直到他们完全了解它们的位置并进行了一些初步侦察。” APT41活动 有趣的是,在开采浪潮之间,研究人员观察到APT41活性下降。1月23日至2月1日之间的第一次平息可能与中国农历新年假期(发生在1月24日至30日)有关:“这也是过去几年中国APT团体的常见活动模式”,研究人员说。 第二次停歇发生在2月2日至19日,可能与冠状病毒大流行的迅速蔓延造成的影响有关。研究人员指出,中国已于1月23日至24日在湖北省的城市发起了与COVID-19相关的隔离,并于2月2日至2月10日开始将隔离区推广到其他省份。 研究人员说:“虽然这种活动的减少可能与中国的COVID-19检疫措施有关,但APT41可能仍以其他方式保持活跃,而我们用FireEye遥测法无法观察到这种情况。” 他们还表示,APT41具有历史上(自2012年)进行双中国国家支持的间谍活动和个人,经济动机的活动。最近,在2019年10月,该威胁组被发现使用一种新的恶意软件菌株来拦截电信SMS服务器流量并嗅探某些电话号码和SMS消息,特别是那些带有与中国政治异见人士相关的关键字的消息。 研究人员在周三表示:“到2020年,APT41仍然是FireEye当前跟踪的最多产威胁之一。” “来自该小组的这项新活动表明,他们可以利用新披露的漏洞以足智多谋和多快的速度发挥自己的优势。”
0 0 vote
Article Rating

未经允许不得转载:x-sec » 中国的APT41在全球战役中利用了Citrix,Cisco和ManageEngine漏洞

赞 (0) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x