ZeroLogon 已被黑客組織大量用于全球范圍內(nèi)的工業(yè)攻擊

來源：cnBeta 發(fā)布時間：2020-11-22瀏覽：3663次

ZeroLogon 已被黑客組織大量用于全球范圍內(nèi)的工業(yè)攻擊

賽門鐵克安全研究人員剛剛披露了波及 17 個市場區(qū)域，針對汽車、工程、制藥、托管服務(wù)提供商等領(lǐng)域的大規(guī)模 ZeroLogon 漏洞攻擊。在這些活躍的網(wǎng)絡(luò)攻擊背后，據(jù)說都有 Cicada 的身影（又名 APT10、Stone Panda 和 Cloud Hopper）。 （來自：Symantec） 2009 年開始浮出水面的 Cicada，被美方認為有境外背景，且曾向日本多個組織機構(gòu)發(fā)起過網(wǎng)絡(luò)攻擊。 從目前已知的信息來看，新一輪攻擊的模樣似乎沒有什么不同。時間從 2019 年 10 月中旬，一直活躍到至少今年 10 月。 賽門鐵克指出，Cicada 使用了包括 DLL 側(cè)載、網(wǎng)絡(luò)偵察、憑據(jù)盜竊、能夠安裝瀏覽器根證書并解碼數(shù)據(jù)的命令行實用程序、PowerShell 腳本、RAR 文檔等在內(nèi)的工具和技術(shù)，并且利用了合法的云托管服務(wù)提供商來下載、打包和泄露其竊取的文件信息。 需要指出的是，該組織最近還擴展了他們的工具包陣容，能夠?qū)υu級為 10 分的 ZeroLogon 漏洞（CVE-2020-1472）展開利用。 盡管微軟已于 8 月對其進行披露和修補，但廣大用戶仍有被域控制器賬戶劫持或欺騙、以及導(dǎo)致活動目錄身份服務(wù)被破壞等安全風(fēng)險。 此外 Cicada 針對攻擊目標推出了定制的 Backdoor.Hartip 惡意軟件，此前從未與 APT 有過關(guān)聯(lián)。 據(jù)說該組織專注于竊取信息和開展網(wǎng)絡(luò)間諜行動，包括公司記錄、人力資源文檔、會議備忘錄、費用信息等在內(nèi)的感興趣數(shù)據(jù)，通常會被打包并提交到 Cicada 的命令與控制服務(wù)器中。 研究人員指出，攻擊者在受害者網(wǎng)絡(luò)上耗費的時間不盡相同，或者沉寂一段時間后又再次活躍。遺憾的是，由于代碼本身被加花，賽門鐵克難以準確推斷該組織的確切目標。 不過 DLL 側(cè)載和 FuckYouAnti 等名稱的運用，此前已被另一份有關(guān) APT 的 Cylance 報告所披露。此外還有 Cicada 之前利用過的 QuasarRAT 和 Backdoor.Hartip 。 賽門鐵克總結(jié)道：Cicada 顯然有許多資源和技能去支撐其發(fā)動類似復(fù)雜而廣泛的攻擊，其危險性依然不容小覷。         （消息來源：cnBeta；封面來自網(wǎng)絡(luò)）