行业新闻与博客

安全研究人员描述了他们自称是中国 APT 小组最近进行的最广泛的威胁活动之一，它们利用了许多客户组织的 Citrix 和 Zoho 端点。

FireEye 在一份新报告中解释说，由州政府赞助的 APT41 小组在 1月20日至 3月11日期间开展工作，以针对 Citrix NetScaler / ADC，Cisco 路由器和 Zoho ManageEngine Desktop Central 产品的攻击为 75 个客户。

尽管该小组似乎是在预先选定的目标群体中开展工作，但受害组织的范围却很广，包括电信，制造业，医疗保健，政府，石油和天然气，高等教育，国防，工业，制药，金融，高科技，石化，运输，建筑，公用事业，媒体，非营利，法律，房地产和旅行。

受害者遍布全球，分布在美国，加拿大，瑞士，菲律宾，澳大利亚，英国，阿联酋，芬兰，法国，马来西亚，丹麦，墨西哥，卡塔尔，沙特阿拉伯，瑞典，日本和波兰。

他们的第一个目标是 CVE-2019-19781 漏洞暴露的 Citrix ADC 和网关设备。尽管 CVE 仅在 2019 年 12月17日发布，但该团队花了不到一个月的时间才开始使用它。

FireEye 指出，农历新年假期前后活动减少，并且在 2月2日至 19日之间再次下降，这与该国实施严格的新 Covid-19 隔离措施相吻合。

该小组随后于 2月21日继续在电信公司开发 Cisco RV320 路由器，可能使用结合了 CVE-2019-1653 和 CVE-2019-1652 的 Metasploit 模块。

APT41 甚至可以更快地利用 Zoho ManageEngine Desktop Central 产品中的新漏洞（CVE-2020-10189）。PoC 于 3月5日发布，该小组仅在三天后就开始尝试利用超过 12 个 FireEye 客户来使用 CVE，导致其中至少 5 个客户受到损害。

供应商说，突袭突显了这一特殊 APT 集团的机智和敏捷性。

“虽然 APT41 以前曾进行过广泛的初始进入活动，例如对 Netsarang 软件进行木马化，但这种扫描和利用只针对我们的部分客户，并且似乎显示出 APT41 的操作速度快且收集要求高，”结论。

“值得注意的是，我们仅看到这些利用攻击利用了 Cobalt Strike 和 Meterpreter 等公开可用的恶意软件。这些后门功能齐全，但在以前的事件中，APT41 一直在等待部署更高级的恶意软件，直到他们完全了解它们的位置并进行了一些初步侦察。”

但是，FireEye 发言人告诉 Infosecurity，该活动的动机仍然是个谜。APT41 之所以与众不同，是因为以前曾观察到它对传统的由国家赞助的网络间谍活动和个人财物进行攻击。

本文由机器译制 ：https://www.infosecurity-magazine.com/news/apt41-exploited-cisco-citrix-and/