ZeroLogon已被黑客组织大量用于全球范围内的工业攻击

访问：

阿里云双11全球狂欢季返场继续 – 双核8G云服务器首年286.44元

（来自：Symantec）

2009 年开始浮出水面的 Cicada，被美方认为有境外背景，且曾向日本多个组织机构发起过网络攻击。

从目前已知的信息来看，新一轮攻击的模样似乎没有什么不同。时间从 2019 年 10 月中旬，一直活跃到至少今年 10 月。

赛门铁克指出，Cicada 使用了包括 DLL 侧载、网络侦察、凭据盗窃、能够安装浏览器根证书并解码数据的命令行实用程序、PowerShell 脚本、RAR 文档等在内的工具和技术，并且利用了合法的云托管服务提供商来下载、打包和泄露其窃取的文件信息。

需要指出的是，该组织最近还扩展了他们的工具包阵容，能够对评级为 10 分的 ZeroLogon 漏洞（CVE-2020-1472）展开利用。

尽管微软已于 8 月对其进行披露和修补，但广大用户仍有被域控制器账户劫持或欺骗、以及导致活动目录身份服务被破坏等安全风险。

此外 Cicada 针对攻击目标推出了定制的 Backdoor.Hartip 恶意软件，此前从未与 APT 有过关联。

据说该组织专注于窃取信息和开展网络间谍行动，包括公司记录、人力资源文档、会议备忘录、费用信息等在内的感兴趣数据，通常会被打包并提交到 Cicada 的命令与控制服务器中。

研究人员指出，攻击者在受害者网络上耗费的时间不尽相同，或者沉寂一段时间后又再次活跃。遗憾的是，由于代码本身被加花，赛门铁克难以准确推断该组织的确切目标。

不过 DLL 侧载和 FuckYouAnti 等名称的运用，此前已被另一份有关 APT 的 Cylance 报告所披露。此外还有 Cicada 之前利用过的 QuasarRAT 和 Backdoor.Hartip 。

赛门铁克总结道：Cicada 显然有许多资源和技能去支撑其发动类似复杂而广泛的攻击，其危险性依然不容小觑。

本文素材来自互联网

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!