情境示意圖,Photo credit: Artem Smus on https://unsplash.com/photos/T6sqjmY094M

美國資安業者FireEye本周指出,專門替中國政府從事間諜行動的駭客集團APT41,並未因武漢肺炎疫情的爆發而偃旗息鼓,反而趁著各國忙著防疫的同時,在今年的1月20日到3月11日間,針對全球的Citrix NetScaler/ADC、思科路由器及Zoho ManageEngine Desktop Central的安全漏洞展開大規模的攻擊,波及全球逾20個國家的設備或系統。

被APT41此波攻擊鎖定的產業,涵蓋了金融、建築、國防工業基地、政府組織、健康照護機構、製藥、房地產、電信、交通、旅遊、高科技、教育機構、製造業、媒體業、石油工業及公用事業等,而且它們分布在北美、歐洲、及亞洲地區等逾20個國家。

根據FireEye的觀察,APT41是在1月20日啟動新一波的攻擊行動,該集團開採了存在於Citrix設備上的CVE-2019-19781漏洞、ManageEngine Desktop Central統一終端管理解決方案的CVE-2020-10189漏洞,以及思科路由器上的CVE-2019-1653與CVE-2019-1652漏洞,以在相關的設備與服務中植入後門。

值得注意的是,這些漏洞都是最近半年內才被揭露或修補的,顯示APT41集團的資源非常豐富,且動作迅速。

FireEye也發現,APT41在今年2月2日到2月19日之間幾乎毫無行動,猜測可能跟中國政府忙著封城與隔離有關。

FireEye指出,這是中國間諜集團最近幾年來最廣泛的攻擊行動之一,APT41在開採上述漏洞之後,於受害系統上植入坊間既有的Cobalt Strike與Meterpreter等木馬程式,但依照APT41過去的習慣,該集團會先分析及理解受害組織的內部架構之後,才會進一步部署更先進的惡意程式。


Advertisement

更多 iThome相關內容