ZeroLogon 已被黑客組織大量用于全球范圍內(nèi)的工業(yè)攻擊

來(lái)源：cnBeta 發(fā)布時(shí)間：2020-11-22瀏覽：3653次

ZeroLogon 已被黑客組織大量用于全球范圍內(nèi)的工業(yè)攻擊

賽門(mén)鐵克安全研究人員剛剛披露了波及 17 個(gè)市場(chǎng)區(qū)域，針對(duì)汽車、工程、制藥、托管服務(wù)提供商等領(lǐng)域的大規(guī)模 ZeroLogon 漏洞攻擊。在這些活躍的網(wǎng)絡(luò)攻擊背后，據(jù)說(shuō)都有 Cicada 的身影（又名 APT10、Stone Panda 和 Cloud Hopper）。 （來(lái)自：Symantec） 2009 年開(kāi)始浮出水面的 Cicada，被美方認(rèn)為有境外背景，且曾向日本多個(gè)組織機(jī)構(gòu)發(fā)起過(guò)網(wǎng)絡(luò)攻擊。 從目前已知的信息來(lái)看，新一輪攻擊的模樣似乎沒(méi)有什么不同。時(shí)間從 2019 年 10 月中旬，一直活躍到至少今年 10 月。 賽門(mén)鐵克指出，Cicada 使用了包括 DLL 側(cè)載、網(wǎng)絡(luò)偵察、憑據(jù)盜竊、能夠安裝瀏覽器根證書(shū)并解碼數(shù)據(jù)的命令行實(shí)用程序、PowerShell 腳本、RAR 文檔等在內(nèi)的工具和技術(shù)，并且利用了合法的云托管服務(wù)提供商來(lái)下載、打包和泄露其竊取的文件信息。 需要指出的是，該組織最近還擴(kuò)展了他們的工具包陣容，能夠?qū)υu(píng)級(jí)為 10 分的 ZeroLogon 漏洞（CVE-2020-1472）展開(kāi)利用。 盡管微軟已于 8 月對(duì)其進(jìn)行披露和修補(bǔ)，但廣大用戶仍有被域控制器賬戶劫持或欺騙、以及導(dǎo)致活動(dòng)目錄身份服務(wù)被破壞等安全風(fēng)險(xiǎn)。 此外 Cicada 針對(duì)攻擊目標(biāo)推出了定制的 Backdoor.Hartip 惡意軟件，此前從未與 APT 有過(guò)關(guān)聯(lián)。 據(jù)說(shuō)該組織專注于竊取信息和開(kāi)展網(wǎng)絡(luò)間諜行動(dòng)，包括公司記錄、人力資源文檔、會(huì)議備忘錄、費(fèi)用信息等在內(nèi)的感興趣數(shù)據(jù)，通常會(huì)被打包并提交到 Cicada 的命令與控制服務(wù)器中。 研究人員指出，攻擊者在受害者網(wǎng)絡(luò)上耗費(fèi)的時(shí)間不盡相同，或者沉寂一段時(shí)間后又再次活躍。遺憾的是，由于代碼本身被加花，賽門(mén)鐵克難以準(zhǔn)確推斷該組織的確切目標(biāo)。 不過(guò) DLL 側(cè)載和 FuckYouAnti 等名稱的運(yùn)用，此前已被另一份有關(guān) APT 的 Cylance 報(bào)告所披露。此外還有 Cicada 之前利用過(guò)的 QuasarRAT 和 Backdoor.Hartip 。 賽門(mén)鐵克總結(jié)道：Cicada 顯然有許多資源和技能去支撐其發(fā)動(dòng)類似復(fù)雜而廣泛的攻擊，其危險(xiǎn)性依然不容小覷。         （消息來(lái)源：cnBeta；封面來(lái)自網(wǎng)絡(luò)）