被谷歌收购的网络安全公司Mandiant的研究人员在周二发布的一份报告中宣称,2021年5月至2022年2月期间,号称“由国家支持的与中国有关联的黑客组织APT41”通过重新调整其攻击载体,利用面向互联网的网络应用程序的漏洞,入侵了至少六个美国州政府网络。
被利用的漏洞包括“USAHERDS应用程序中的零日漏洞(CVE-2021-44207)以及现在臭名昭著的零日漏洞Log4j(CVE-2021-44228)”,Mandiant宣称这是一个“蓄意的活动”。
这家网络安全和事件响应公司指出,除了网络入侵之外,持续性攻击还涉及利用反序列化、SQL注入和目录遍历漏洞的武器化。
Mandiant公司宣称,这个多产的高级持续性威胁组织,也被称为Barium和Winnti,有针对公共和私营部门的组织攻击的记录,以策划间谍活动与出于经济动机的行动并行。
2020年初,该组织与一场全球入侵活动有关,该活动利用涉及CitrixNetScaler/ADC、思科路由器和Zoho ManageEngine Desktop Central的各种漏洞,利,用恶意的有效载荷打击了20个国家的几十个实体。
最新披露的信息延续了“APT41组织”迅速利用新披露的漏洞(如Log4Shell)的趋势,在公开信息后数小时内就获得了对美国两个州政府以及保险和电信公司的目标网络的初始访问。
研究人员说,入侵一直持续到2022年2月,当时黑客团队再次入侵了两名美国州政府受害者,他们在2021年5月和2021年6月首次被渗透,“表明他们不断渴望访问州政府网络”。
更重要的是,在利用Log4Shell后建立的立足点导致在Linux系统上部署了一个名为KEYPLUG的模块化C++后门的新变种,但之前对目标环境进行了广泛的侦察和凭证采集。
在攻击期间还观察到了一个名为DUSTPAN(又名StealthVector)的内存内投放器,它被协调来执行下一阶段的有效载荷,以及先进的入侵后工具,如DEADEYE,一个负责启动LOWKEY植入的恶意软件加载器。
研究人员表示,在APT41使用的各种技术、规避方法和能力中,最主要的是Cloudflare服务在命令和控制(C2)通信和数据泄露方面的“大幅增加”使用。
尽管Mandiant指出,它发现了对手窃取个人身份信息的证据,这些信息通常与间谍活动一致,但该活动的最终目标目前尚不清楚。
2022年1月,微软详细介绍了Hafnium发起的攻击活动——一年前广泛利用Exchange服务器漏洞的威胁行为者——利用该漏洞“攻击虚拟化基础设施以扩展其典型目标”。
如果有的话,最新的活动是一个不断适应的对手的另一个迹象,它能够改变其目标并改进其恶意软件库,以打击世界各地具有战略利益的实体。
多年来,威胁行为者对医疗保健、高科技和电信行业的不断行动引起了美国司法部的注意,该部门于2020年对该组织的五名成员提出指控,使这些黑客在联邦调查局的网络通缉名单上占有一席之地。
研究人员说:“APT41可以通过不同的向量重新破坏环境,或通过快速操作新的漏洞来快速调整其初始访问技术。”“该组织还表明愿意通过新的攻击媒介重新装备和部署能力,而不是将它们保留下来供将来使用。”
在相关的发展中,谷歌的威胁分析小组又宣称,它已采取措施阻止上个月由另一个“中国国家支持的APT31”(又名Zirconium)组织的钓鱼活动,该活动的目标是“与美国政府有关联的知名Gmail用户。"
这些专家呀,简直是无稽之谈!!!