选择你喜欢的标签
我们会为你匹配适合你的网址导航

    确认 跳过

    跳过将删除所有初始化信息

    ZeroLogon 已被黑客组织大量用于全球范围内的工业攻击

    安全 作者:娅米 2020-11-20 10:51:01 阅读:25

    赛门铁克安全研究人员刚刚披露了波及 17 个市场区域,针对汽车、工程、制药、托管服务提供商等领域的大规模 ZeroLogon 漏洞攻击。在这些活跃的网络攻击背后,据说都有 Cicada 的身影(又名 APT10、Stone Panda 和 Cloud Hopper)。

    (来自:Symantec)

    2009 年开始浮出水面的 Cicada,被美方认为有境外背景,且曾向日本多个组织机构发起过网络攻击。

    从目前已知的信息来看,新一轮攻击的模样似乎没有什么不同。时间从 2019 年 10 月中旬,一直活跃到至少今年 10 月。

    赛门铁克指出,Cicada 使用了包括 DLL 侧载、网络侦察、凭据盗窃、能够安装浏览器根证书并解码数据的命令行实用程序、PowerShell 脚本、RAR 文档等在内的工具和技术,并且利用了合法的云托管服务提供商来下载、打包和泄露其窃取的文件信息。

    需要指出的是,该组织最近还扩展了他们的工具包阵容,能够对评级为 10 分的 ZeroLogon 漏洞(CVE-2020-1472)展开利用。

    尽管微软已于 8 月对其进行披露和修补,但广大用户仍有被域控制器账户劫持或欺骗、以及导致活动目录身份服务被破坏等安全风险。

    此外 Cicada 针对攻击目标推出了定制的 Backdoor.Hartip 恶意软件,此前从未与 APT 有过关联。

    据说该组织专注于窃取信息和开展网络间谍行动,包括公司记录、人力资源文档、会议备忘录、费用信息等在内的感兴趣数据,通常会被打包并提交到 Cicada 的命令与控制服务器中。

    研究人员指出,攻击者在受害者网络上耗费的时间不尽相同,或者沉寂一段时间后又再次活跃。遗憾的是,由于代码本身被加花,赛门铁克难以准确推断该组织的确切目标。

    不过 DLL 侧载和 FuckYouAnti 等名称的运用,此前已被另一份有关 APT 的 Cylance 报告所披露。此外还有 Cicada 之前利用过的 QuasarRAT 和 Backdoor.Hartip 。

    赛门铁克总结道:Cicada 显然有许多资源和技能去支撑其发动类似复杂而广泛的攻击,其危险性依然不容小觑。

    (消息来源:cnBeta;封面来自网络)

    关注公众号:拾黑(shiheibook)了解更多

    [广告]赞助链接:

    选择AiDeep,让人工智能为你工作:http://www.aideep.com/
    四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
    关注数据与安全,洞悉企业级服务市场:http://www.ijiandao.com/

    图库
    关注网络尖刀微信公众号
    随时掌握互联网精彩
    赞助链接