APP下载

中国APT骇客组织锁定日本组织发动攻击,并企图打造滥用Zerologon漏洞的工具

消息来源:baojiabao.com 作者: 发布时间:2024-06-20

报价宝综合消息中国APT骇客组织锁定日本组织发动攻击,并企图打造滥用Zerologon漏洞的工具
图片来源: 

Symantec

能够让骇客取得网域控制权的Zerologon漏洞(CVE-2020-1472),在今年9月底开始被发现运用于攻击行动,然而,骇客滥用这个漏洞范围可能更广。在11月17日,博通(Broadcom)旗下的赛门铁克(Symantec),揭露一起锁定日本组织、为期近1年的APT攻击。由于台湾与日本之间的互动密切,因此我们也应该留意这起事件后续发展,以免成为骇客攻击日本组织的管道。

这起事件骇客自2019年10月中旬开始行动,大约直到今年10月初,为期接近1年,这段期间骇客运用了多种攻击手法,而其中最引起关注的部分,就是他们利用了今年8月才被揭露的Zerologon漏洞。至于攻击者的身份,赛门铁克认为是中国-在背后撑腰的骇客组织Cicada(又名APT10、Stone Panda、Cloud Hopper)。

究竟他们如何发现这起攻击行动?赛门铁克表示,他们从其中1个用户的网络上,侦测到恶意的DLL侧载(DLL Side-loading)行为,进而对于此起事件进行调查。

对于攻击的范围,赛门铁克指出,这起事件骇客攻击的区域相当分散,遍及17个国家,从分布图来看,位于南亚和东亚许多国家都在其中,包含台湾、中国、印度、韩国、泰国、越南、新加坡,菲律宾等,同时下手的目标遍及多种行业,包含车厂、药厂、工程单位,以及托管服务供应商(MSP)等,而这些受害者的共通点,就是当中许多都与日本或是日本企业有所关连,而且该公司也在这些受害单位的网络环境里,看到类似的DLL侧载手法。其中,他们特别提及汽车产业里,连同专门供应零组件的厂商也受到波及,赛门铁克认为,攻击者可能对于这个产业特别有兴趣,是此波攻击行动的首要目标。

然而,为何骇客能够发动攻击接近1年而不被察觉?赛门铁克指出,与这个骇客组织于行动的多个阶段中,运用DLL侧载一类的手法来规避侦测有关,此外,骇客也就地取材(Living off the Land,LotL),运用了不少Windows操作系统内建的工具,如WMIExec、PowerShell,来执行攻击行动。其中,赛门铁克看到此次攻击行动中,出现新的恶意软件Backdoor.Hartip,就是透过DLL侧载的手法来暗中执行。再者,最近他们发现攻击者正在部署能够滥用Zerologon漏洞的工具,但除此之外,该公司并未透露其他细节。

至于赛门铁克认定攻击者是Cicada的原因,是因为他们发现骇客所使用的DLL工具,特征与另一家资安公司Cylance于2019年6月公布的内容相符,包含了侧载的DLL被命名为FuckYouAnti,其.NET载入器以相同的工具进行混淆处理,而最终在受害企业的网络上植入的后门都是QuasarRAT等。该公司认为,这个骇客组织的攻击手法变化多端,企业应当严加提防。

2020-11-19 20:07:00

相关文章