首页 >> 网络安全 >>极客新闻 >> 中国APT10黑客使用Zerologon攻击日本组织
详细内容

中国APT10黑客使用Zerologon攻击日本组织

时间:2020-11-19     作者:Sergiu Gatlan   阅读

在试图利用Windows Zerologon漏洞来攻击来自全球17个地区的多个行业的日本公司和子公司时,观察到一个中国政府资助的黑客组织。


这项全球性的网络间谍活动是根据赛门铁克的Threat Hunter Team(跟踪攻击的Broadcom部门)收集的信息归因于APT10国家支持的黑客。


赛门铁克研究人员在检测到客户网络上可疑的DLL侧载活动后发现了这些攻击。


赛门铁克表示:“最初的Cloud Analytics警报使我们的威胁搜寻小组可以识别此活动的进一步受害者,对该活动进行更全面的了解,并将此活动归因于Cicada。”


竞选受害者

从2019年10月中旬到2020年10月初,APT10黑客一直在运行这一活动大约整整一年。


在某些情况下,APT10行为者活跃了整整一年,并且在受害者的网络中未被发现,这表明他们拥有有效隐藏其恶意活动的工具和技巧。


赛门铁克解释说: “受到打击的公司主要是大型的知名组织,其中许多与日本或日本公司有联系,这是将受害者捆绑在一起的主要因素之一。”


虽然下面嵌入的地图显示,APT10的攻击也以中国境内的公司为目标,但该公司是日本公司的子公司,与此活动中的许多其他目标一样。

2.jpg

在用于归因于攻击的信息中,赛门铁克的研究人员还提到了用于在目标服务器的所有网络上传递恶意有效负载的定制加载程序。


还可以使用类似的混淆技术,陆地上的生活工具和QuasarRAT最终有效载荷(APT10常用的后门),以及同时针对多个组织进行协调,来发现它们。


还观察到APT10攻击者使用Zerologon攻击来窃取域凭据,并在成功利用易受攻击的设备后完全控制整个域。


从9月下半月开始,由伊朗支持的MuddyWater黑客组织(又名SeedWorm和MERCURY)和 出于经济动机的TA505(Chimborazo)威胁组织也积极利用了此漏洞 。


受到威胁的参与者在受感染网络中花费的时间从几天到几乎一整年变化很大,在某些情况下,几个月的完全沉默后,活动又重新开始。


针对五眼的中国黑客

APT10  (也称为Menupass,Stone Panda,Cloud Hopper)自2009年以来一直活跃,其历史目标是来自美国,欧洲和日本的政府组织和私人公司。


他们以专注于从受感染目标中窃取军事,情报和商业信息而闻名,并且经常将攻击重点放在日本实体上。


在美国政府起诉2名APT10黑客在2018年十二月,显示出组成功地损害美国航空航天局喷气推进实验室,美国政府机构,管理服务供应商(MSP) -包括IBM和惠普企业。


APT1黑客还违反了美国海军系统,窃取了超过100,000个人的机密信息。


起诉后,五眼情报联盟中的所有国家(美国,加拿大,英国,新西兰和澳大利亚)发表了声明,将知识产权和敏感的商业数据盗窃归功于中国APT集团。


日本外务省新闻秘书大须武(Takeshi Osuga)也说:“日本已经确定了由APT10袭击的连续性袭击各种国内目标……并坚决谴责这种袭击。”


日本公司也是勒索软件的重要目标

以色列网络安全情报公司KELA今天发布的一份报告显示,到2020年6月至2020年10月之间,至少有11家日本公司成为勒索软件攻击的受害者。


KELA说:“受影响的公司来自制造业,建筑业和政府相关行业,主要受害者的年收入分别约为1430亿美元,330亿美元和20亿美元。”


自2020年6月以来,其他几个日本组织的网络也遭到破坏,包括但不限于公司,大学和日本未公开的政府部门。勒索软件帮派成员很容易使用此访问权限来交付有效负载和加密系统。


更糟的是,为了表明各行各业的日本组织所面临的风险,KELA还发现属于日本公司,政府和教育机构的数据要么在暗网上主动共享,要么需求很高。

.
更多

1589982338979126.png


ots网络社区

www.ots-sec.cn

联系方式
更多

投稿邮箱:1481840992@qq.com

交流群2群:622534175

ots网络社区3群:1078548359

关注我们
更多
技术支持: 建站ABC | 管理登录