ZeroLogon 已被黑客组织大量用于全球范围内的工业攻击

赛门铁克安全研究人员刚刚披露了波及 17 个市场区域，针对汽车、工程、制药、托管服务提供商等领域的大规模 ZeroLogon 漏洞攻击。在这些活跃的网络攻击背后，据说都有 Cicada 的身影（又名 APT10、Stone Panda 和 Cloud Hopper）。

http://hackernews.cc/wp-content/uploads/2020/11/1-6.png

（来自：Symantec）

2009 年开始浮出水面的 Cicada，被美方认为有境外背景，且曾向日本多个组织机构发起过网络攻击。

从目前已知的信息来看，新一轮攻击的模样似乎没有什么不同。时间从 2019 年 10 月中旬，一直活跃到至少今年 10 月。

赛门铁克指出，Cicada 使用了包括 DLL 侧载、网络侦察、凭据盗窃、能够安装浏览器根证书并解码数据的命令行实用程序、PowerShell 脚本、RAR 文档等在内的工具和技术，并且利用了合法的云托管服务提供商来下载、打包和泄露其窃取的文件信息。

需要指出的是，该组织最近还扩展了他们的工具包阵容，能够对评级为 10 分的 ZeroLogon 漏洞（CVE-2020-1472）展开利用。

尽管微软已于 8 月对其进行披露和修补，但广大用户仍有被域控制器账户劫持或欺骗、以及导致活动目录身份服务被破坏等安全风险。

此外 Cicada 针对攻击目标推出了定制的 Backdoor.Hartip 恶意软件，此前从未与 APT 有过关联。

据说该组织专注于窃取信息和开展网络间谍行动，包括公司记录、人力资源文档、会议备忘录、费用信息等在内的感兴趣数据，通常会被打包并提交到 Cicada 的命令与控制服务器中。

研究人员指出，攻击者在受害者网络上耗费的时间不尽相同，或者沉寂一段时间后又再次活跃。遗憾的是，由于代码本身被加花，赛门铁克难以准确推断该组织的确切目标。

不过 DLL 侧载和 FuckYouAnti 等名称的运用，此前已被另一份有关 APT 的 Cylance 报告所披露。此外还有 Cicada 之前利用过的 QuasarRAT 和 Backdoor.Hartip 。

赛门铁克总结道：Cicada 显然有许多资源和技能去支撑其发动类似复杂而广泛的攻击，其危险性依然不容小觑。

（消息来源：cnBeta；封面来自网络）