研究人员发现了一场大规模的黑客活动,使用复杂的工具和技术入侵了世界各地的公司网络。
这些黑客很可能来自一个由中国政府资助的知名组织,他们配备了现成的和定制的工具。其中一个这样的工具利用了Windows服务器漏洞的名称Zerologon,该漏洞在8月份打了补丁,可以让攻击者在易受攻击的系统上获得即时管理员特权。
赛门铁克使用的代号是Cicada,外界普遍认为该公司是由中国政府资助的,沐鸣开户测速还使用了来自其他研究机构的绰号:APT10、石熊猫和云Hopper。至少从2009年开始,该组织就一直在从事间谍式的黑客活动,而且几乎只针对与日本有关的公司。该组织与任何使用Cicada这个名称的公司都没有关系或联系。尽管最近打击行动的目标公司位于美国和其他国家,但它们都与日本或日本公司有联系。
注意
安全公司赛门铁克(Symantec)的研究人员在一份报告中写道:“与日本有关的组织需要保持警惕,因为很明显,它们是这个经验丰富、资源充足的组织的主要目标,而汽车行业似乎是这次攻击行动的主要目标。”“然而,受到这些攻击的行业范围很广,所有行业的日本机构都需要意识到,他们面临着此类活动的风险。”
这些攻击广泛使用了DLL侧加载,当攻击者用恶意文件替换合法的Windows动态链接库文件时,就会出现这种技术。攻击者使用DLL侧加载将恶意软件注入合法进程中,这样他们可以防止黑客被安全软件发现。
战役还利用了一个工具,可以利用Zerologon。通过在一系列使用Netlogon协议的消息中发送一串零来利用工作,Windows服务器使用该协议来让用户登录到网络。没有身份验证的人可以使用Zerologon访问组织的“王冠”——Active Directory域控制器,它是连接到网络的所有机器的全能守门员。
微软在8月份修复了这个关键的特权升级漏洞,沐鸣开户测速但此后攻击者一直在利用它攻击那些尚未安装升级的组织。美国联邦调查局(FBI)和国土安全部(Department of Homeland Security)都敦促立即对系统进行补丁。
在被赛门铁克发现的攻击中,被攻击的机器包括域控制器和文件服务器。公司研究人员还发现了文件被窃取的证据,从一些被入侵的机器。
多地区多行业
目标来自多个行业,包括:
汽车业,一些参与汽车行业零部件供应的制造商和组织也被列为攻击目标,这表明攻击者对汽车业非常感兴趣
服装
企业集团
电子产品
工程
一般贸易公司
政府
工业产品
管理服务提供商
制造业
制药
专业服务
以下是各目标的地理位置图:
赛门铁克
赛门铁克根据在恶意软件和攻击代码中发现的数字指纹,将这些攻击与Cicada联系起来。这些指纹包括在DLL侧加载中涉及的混淆技术和外壳代码,以及安全公司Cylance 2019年报告中提到的以下特征:
第三阶段DLL有一个名为“FuckYouAnti”的导出
第三阶段DLL使用CppHostCLR技术注入和执行。net加载程序集
.NET加载器在conuserex v1.0.0中混淆了
最后一个有效载荷是quasarrat——Cicada过去使用的一种开源后门
赛门铁克的研究人员写道:“此次行动的规模也表明了Cicada集团的规模和能力。”“同时瞄准不同地区的多个大型组织需要大量的资源和技能,而这些资源和技能通常只有在民族国家支持的组织中才能看到。”所有受害者与日本的联系也指向了Cicada,据悉该组织过去曾以日本组织为目标。”