APT41正利用Citrix,Cisco和Zoho漏洞攻击全球

iso60001  187天前

22.png

近日,安全公司FireEye表示,他们跟踪到疑似和中国有关的APT41组织正利用Citrix,Cisco和Zoho等产品中的漏洞对全球发起攻击。

APT41至少从2012年开始活跃,行动目的不固定。该组织曾对多个行业的公司发起了攻击,包括游戏、医疗、高科技、高等教育、电信和旅游服务等行业。

与其他和中国有关联的APT组织不同,该组织在网络攻击活动中使用了定制的恶意软件,目前专家在已发生的攻击事件中发现了46种不同的恶意软件家族和工具。

据FireEye表示,在1月20日到3月11日之间,该组织攻击了超过75名目标,是近年来观察到的来自中国的攻击面最大的组织。影响行业涉及银行,国防工业,建筑,政府,科技,医疗保健,高等教育,制造业,法律,媒体,石油和天然气,非盈利,制药,石化,房地产,运输,旅行,电信等。

影响的国家包括美国,加拿大,瑞士,菲律宾,澳大利亚,英国,阿联酋,芬兰,法国,马来西亚,丹麦,墨西哥,卡塔尔,沙特阿拉伯,瑞典,日本和波兰等。

33.png

专家表示,目前尚不清楚攻击者是进行了大规模的随机攻击,还是有针对性的发起攻击。

攻击者从1月20日开始利用了Citrix Application Delivery Controller(ADC)、Citrix Gateway和Citrix SD-WAN WANOP设备中的CVE-2019-1978漏洞,对受害公司网络发起攻击。但在1月23日至2月1日期间,FireEye没有观察到任何攻击,而这次恰好和2020年1月24日至1月30日的中国农历新年假期吻合。

而且FireEye也没有观察到APT41在2020年2月2日到2月19日之间发起攻击,这可能和COVID-19所导致的隔离有关。

而到了2月21日,FireEye还发现了利用Cisco RV320和RV325路由器的相关漏洞发起攻击的行为。

3月8日,APT41接着开始利用Zoho ManageEngine Desktop Central的CVE-2020-10189漏洞。攻击者可借此在目标系统以SYSTEM权限执行代码,完全控制ManageEngine系统,

而在之前APT41曾开展了大量的攻击准备活动,例如对NetSarang软件进行改造,对部分目标进行快速的信息收集。在APT41近期发起的攻击中,会先使用已公开使用的工具,例如Meterpreter和Cobalt Strike,在确定受害者是高价值目标后,再部署更高级的恶意软件。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/100465/apt/apt41-citrix-cisco-zoho-flaws.html

最新评论

昵称
邮箱
提交评论