ZeroLogon 已被黑客組織大量用于全球范圍內的工業攻擊

來源：cnBeta 發布時間：2020-11-22瀏覽：3734次

ZeroLogon 已被黑客組織大量用于全球范圍內的工業攻擊

賽門鐵克安全研究人員剛剛披露了波及 17 個市場區域，針對汽車、工程、制藥、托管服務提供商等領域的大規模 ZeroLogon 漏洞攻擊。在這些活躍的網絡攻擊背后，據說都有 Cicada 的身影（又名 APT10、Stone Panda 和 Cloud Hopper）。 （來自：Symantec） 2009 年開始浮出水面的 Cicada，被美方認為有境外背景，且曾向日本多個組織機構發起過網絡攻擊。 從目前已知的信息來看，新一輪攻擊的模樣似乎沒有什么不同。時間從 2019 年 10 月中旬，一直活躍到至少今年 10 月。 賽門鐵克指出，Cicada 使用了包括 DLL 側載、網絡偵察、憑據盜竊、能夠安裝瀏覽器根證書并解碼數據的命令行實用程序、PowerShell 腳本、RAR 文檔等在內的工具和技術，并且利用了合法的云托管服務提供商來下載、打包和泄露其竊取的文件信息。 需要指出的是，該組織最近還擴展了他們的工具包陣容，能夠對評級為 10 分的 ZeroLogon 漏洞（CVE-2020-1472）展開利用。 盡管微軟已于 8 月對其進行披露和修補，但廣大用戶仍有被域控制器賬戶劫持或欺騙、以及導致活動目錄身份服務被破壞等安全風險。 此外 Cicada 針對攻擊目標推出了定制的 Backdoor.Hartip 惡意軟件，此前從未與 APT 有過關聯。 據說該組織專注于竊取信息和開展網絡間諜行動，包括公司記錄、人力資源文檔、會議備忘錄、費用信息等在內的感興趣數據，通常會被打包并提交到 Cicada 的命令與控制服務器中。 研究人員指出，攻擊者在受害者網絡上耗費的時間不盡相同，或者沉寂一段時間后又再次活躍。遺憾的是，由于代碼本身被加花，賽門鐵克難以準確推斷該組織的確切目標。 不過 DLL 側載和 FuckYouAnti 等名稱的運用，此前已被另一份有關 APT 的 Cylance 報告所披露。此外還有 Cicada 之前利用過的 QuasarRAT 和 Backdoor.Hartip 。 賽門鐵克總結道：Cicada 顯然有許多資源和技能去支撐其發動類似復雜而廣泛的攻擊，其危險性依然不容小覷。         （消息來源：cnBeta；封面來自網絡）