賽門鐵克安全研究人員剛剛披露了波及 17 個市場區(qū)域，針對汽車、工程、制藥、托管服務(wù)提供商等領(lǐng)域的大規(guī)模 ZeroLogon 漏洞攻擊。在這些活躍的網(wǎng)絡(luò)攻擊背后，據(jù)說都有 Cicada 的身影（又名 APT10、Stone Panda 和 Cloud Hopper）。

（來自：Symantec）

2009 年開始浮出水面的 Cicada，被美方認(rèn)為有境外背景，且曾向日本多個組織機(jī)構(gòu)發(fā)起過網(wǎng)絡(luò)攻擊。

從目前已知的信息來看，新一輪攻擊的模樣似乎沒有什么不同。時間從 2019 年 10 月中旬，一直活躍到至少今年 10 月。

賽門鐵克指出，Cicada 使用了包括 DLL 側(cè)載、網(wǎng)絡(luò)偵察、憑據(jù)盜竊、能夠安裝瀏覽器根證書并解碼數(shù)據(jù)的命令行實(shí)用程序、PowerShell 腳本、RAR 文檔等在內(nèi)的工具和技術(shù)，并且利用了合法的云托管服務(wù)提供商來下載、打包和泄露其竊取的文件信息。

需要指出的是，該組織最近還擴(kuò)展了他們的工具包陣容，能夠?qū)υu級為 10 分的 ZeroLogon 漏洞（CVE-2020-1472）展開利用。

盡管微軟已于 8 月對其進(jìn)行披露和修補(bǔ)，但廣大用戶仍有被域控制器賬戶劫持或欺騙、以及導(dǎo)致活動目錄身份服務(wù)被破壞等安全風(fēng)險。

此外 Cicada 針對攻擊目標(biāo)推出了定制的 Backdoor.Hartip 惡意軟件，此前從未與 APT 有過關(guān)聯(lián)。

據(jù)說該組織專注于竊取信息和開展網(wǎng)絡(luò)間諜行動，包括公司記錄、人力資源文檔、會議備忘錄、費(fèi)用信息等在內(nèi)的感興趣數(shù)據(jù)，通常會被打包并提交到 Cicada 的命令與控制服務(wù)器中。

研究人員指出，攻擊者在受害者網(wǎng)絡(luò)上耗費(fèi)的時間不盡相同，或者沉寂一段時間后又再次活躍。遺憾的是，由于代碼本身被加花，賽門鐵克難以準(zhǔn)確推斷該組織的確切目標(biāo)。

不過 DLL 側(cè)載和 FuckYouAnti 等名稱的運(yùn)用，此前已被另一份有關(guān) APT 的 Cylance 報告所披露。此外還有 Cicada 之前利用過的 QuasarRAT 和 Backdoor.Hartip 。

賽門鐵克總結(jié)道：Cicada 顯然有許多資源和技能去支撐其發(fā)動類似復(fù)雜而廣泛的攻擊，其危險性依然不容小覷。

（消息來源：cnBeta；封面來自網(wǎng)絡(luò)）

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/