FireEye：無視疫情散布，中國駭客攻擊散布在逾20個國家的Citrix與Zoho漏洞

• 發布日期：109-06-03
• 發布單位：刑事警察大隊

參考網站：
iThome  FireEye：無視疫情散布，中國駭客攻擊散布在逾20個國家的Citrix與Zoho漏洞 https://www.ithome.com.tw/news/136573

美國資安業者FireEye本周指出，專門替中國政府從事間諜行動的駭客集團APT41，並未因武漢肺炎疫情的爆發而偃旗息鼓，反而趁著各國忙著防疫的同時，在今(109)年的1月20日到3月11日間，針對全球的Citrix NetScaler/ADC、思科路由器及Zoho ManageEngine Desktop Central的安全漏洞展開大規模的攻擊，波及全球逾20個國家的設備或系統。
被APT41此波攻擊鎖定的產業，涵蓋了金融、建築、國防工業基地、政府組織、健康照護機構、製藥、房地產、電信、交通、旅遊、高科技、教育機構、製造業、媒體業、石油工業及公用事業等，而且它們分布在北美、歐洲、及亞洲地區等逾20個國家。
根據FireEye的觀察，APT41是在今年1月20日啟動新一波的攻擊行動，該集團開採了存在於Citrix設備上的CVE-2019-19781漏洞、ManageEngine Desktop Central統一終端管理解決方案的CVE-2020-10189漏洞，以及思科路由器上的CVE-2019-1653與CVE-2019-1652漏洞，以在相關的設備與服務中植入後門。
值得注意的是，這些漏洞都是最近半年內才被揭露或修補的，顯示APT41集團的資源非常豐富，且動作迅速。
FireEye也發現，APT41在今年2月2日到2月19日之間幾乎毫無行動，猜測可能跟中國政府忙著封城與隔離有關。
FireEye指出，這是中國間諜集團最近幾年來最廣泛的攻擊行動之一，APT41在開採上述漏洞之後，於受害系統上植入坊間既有的Cobalt Strike與Meterpreter等木馬程式，但依照APT41過去的習慣，該集團會先分析及理解受害組織的內部架構之後，才會進一步部署更先進的惡意程式。