中国APT骇客组织锁定日本组织发动攻击，并企图打造滥用Zerologon漏洞的工具

能够让骇客取得网域控制权的Zerologon漏洞（CVE-2020-1472），在今年9月底开始被发现运用于攻击行动，然而，骇客滥用这个漏洞范围可能更广。在11月17日，博通（Broadcom）旗下的赛门铁克（Symantec），揭露一起锁定日本组织、为期近1年的APT攻击。由于台湾与日本之间的互动密切，因此我们也应该留意这起事件后续发展，以免成为骇客攻击日本组织的管道。

这起事件骇客自2019年10月中旬开始行动，大约直到今年10月初，为期接近1年，这段期间骇客运用了多种攻击手法，而其中最引起关注的部分，就是他们利用了今年8月才被揭露的Zerologon漏洞。至于攻击者的身份，赛门铁克认为是中国-在背后撑腰的骇客组织Cicada（又名APT10、Stone Panda、Cloud Hopper）。

究竟他们如何发现这起攻击行动？赛门铁克表示，他们从其中1个用户的网络上，侦测到恶意的DLL侧载（DLL Side-loading）行为，进而对于此起事件进行调查。

对于攻击的范围，赛门铁克指出，这起事件骇客攻击的区域相当分散，遍及17个国家，从分布图来看，位于南亚和东亚许多国家都在其中，包含台湾、中国、印度、韩国、泰国、越南、新加坡，菲律宾等，同时下手的目标遍及多种行业，包含车厂、药厂、工程单位，以及托管服务供应商（MSP）等，而这些受害者的共通点，就是当中许多都与日本或是日本企业有所关连，而且该公司也在这些受害单位的网络环境里，看到类似的DLL侧载手法。其中，他们特别提及汽车产业里，连同专门供应零组件的厂商也受到波及，赛门铁克认为，攻击者可能对于这个产业特别有兴趣，是此波攻击行动的首要目标。

然而，为何骇客能够发动攻击接近1年而不被察觉？赛门铁克指出，与这个骇客组织于行动的多个阶段中，运用DLL侧载一类的手法来规避侦测有关，此外，骇客也就地取材（Living off the Land，LotL），运用了不少Windows操作系统内建的工具，如WMIExec、PowerShell，来执行攻击行动。其中，赛门铁克看到此次攻击行动中，出现新的恶意软件Backdoor.Hartip，就是透过DLL侧载的手法来暗中执行。再者，最近他们发现攻击者正在部署能够滥用Zerologon漏洞的工具，但除此之外，该公司并未透露其他细节。

至于赛门铁克认定攻击者是Cicada的原因，是因为他们发现骇客所使用的DLL工具，特征与另一家资安公司Cylance于2019年6月公布的内容相符，包含了侧载的DLL被命名为FuckYouAnti，其.NET载入器以相同的工具进行混淆处理，而最终在受害企业的网络上植入的后门都是QuasarRAT等。该公司认为，这个骇客组织的攻击手法变化多端，企业应当严加提防。