APT41正利用Citrix，Cisco和Zoho漏洞攻击全球

iso60001  11小时前

近日，安全公司FireEye表示，他们跟踪到疑似和中国有关的APT41组织正利用Citrix，Cisco和Zoho等产品中的漏洞对全球发起攻击。

APT41至少从2012年开始活跃，行动目的不固定。该组织曾对多个行业的公司发起了攻击，包括游戏、医疗、高科技、高等教育、电信和旅游服务等行业。

与其他和中国有关联的APT组织不同，该组织在网络攻击活动中使用了定制的恶意软件，目前专家在已发生的攻击事件中发现了46种不同的恶意软件家族和工具。

据FireEye表示，在1月20日到3月11日之间，该组织攻击了超过75名目标，是近年来观察到的来自中国的攻击面最大的组织。影响行业涉及银行，国防工业，建筑，政府，科技，医疗保健，高等教育，制造业，法律，媒体，石油和天然气，非盈利，制药，石化，房地产，运输，旅行，电信等。

影响的国家包括美国，加拿大，瑞士，菲律宾，澳大利亚，英国，阿联酋，芬兰，法国，马来西亚，丹麦，墨西哥，卡塔尔，沙特阿拉伯，瑞典，日本和波兰等。

专家表示，目前尚不清楚攻击者是进行了大规模的随机攻击，还是有针对性的发起攻击。

攻击者从1月20日开始利用了Citrix Application Delivery Controller（ADC）、Citrix Gateway和Citrix SD-WAN WANOP设备中的CVE-2019-1978漏洞，对受害公司网络发起攻击。但在1月23日至2月1日期间，FireEye没有观察到任何攻击，而这次恰好和2020年1月24日至1月30日的中国农历新年假期吻合。

而且FireEye也没有观察到APT41在2020年2月2日到2月19日之间发起攻击，这可能和COVID-19所导致的隔离有关。

而到了2月21日，FireEye还发现了利用Cisco RV320和RV325路由器的相关漏洞发起攻击的行为。

3月8日，APT41接着开始利用Zoho ManageEngine Desktop Central的CVE-2020-10189漏洞。攻击者可借此在目标系统以SYSTEM权限执行代码，完全控制ManageEngine系统，

而在之前APT41曾开展了大量的攻击准备活动，例如对NetSarang软件进行改造，对部分目标进行快速的信息收集。在APT41近期发起的攻击中，会先使用已公开使用的工具，例如Meterpreter和Cobalt Strike，在确定受害者是高价值目标后，再部署更高级的恶意软件。