主页保安蝉团队在新攻击中利用了ZeroLogon

蝉团队在新攻击中利用了ZeroLogon

研究人员已经利用最近发现的ZeroLogon漏洞发现了一项针对企业的全球运动。 网络攻击被认为是蝉黑客团队(也称为APT10,石熊猫和Cloud Hopper)的工作。

零登录
蝉团队正在通过新的黑客活动利用ZeroLogon

从历史上看,黑客组织-于2009年首次发现,是美国认为由黑客组织资助的组织。 中国政府 -针对与日本有联系的组织,最近一波攻击似乎与以往没有什么不同。

她的研究员 赛门铁克 据报道,Cicada集团最近的目标是一些涉足汽车,制药,工程和管理服务行业的公司(MSP).

据该公司称,自2019年XNUMX月中旬以来,蝉团队的最后一波攻击一直很活跃,一直持续到今年至少XNUMX月。

蝉似乎拥有资源,并使用各种工具和技术。 其中一些是DLL侧面加载,网络身份验证,凭据盗窃,实用程序 命令行程序 能够安装浏览器根证书和解码 数据。 当然,所有这些都是为了接收和提取被盗信息。

黑客团队工具包中最近还增加了一种能够利用ZeroLogon的工具。 ZeroLogon被列为CVE-2020-1472,CVSS等级为10,并于XNUMX月由Microsoft公布并更正。 该漏洞可用于伪造域控制器帐户和域侵权,以及Active Directory身份验证侵权。

Cicada还发布了Backdoor.Hartip,这是一种自定义形式的恶意软件,在APT中我们从未见过。

该小组似乎专注于信息盗窃。 他感兴趣的数据是 公司记录,HR文档等-通常是“打包”并转移到Cicada命令与控制(C2)服务器。

“攻击者在受害者网络上花费的时间各不相同,攻击者在一些网络上花费大量时间。 受害者研究人员说:“而在其他网络中仅停留几天”。 “在某些情况下,入侵者也呆了一会儿 网络 然后阻止了她 活动 几个月后又重新开始了。”

研究人员说,他们有一些证据表明这是蝉群。 其中一些是使用DLL侧载和DLL名称,包括“ FuckYouAnti”,Ciclance先前在Cicada报告中引用了该名称,并且最终的有效载荷结合了先前使用的QuasarRAT来自Cicada以及Backdoor.Hartip。

资料来源:zdnet.com

spot_img

实时新闻