Mandiant的調查顯示,APT41主要開採州政府網路應用程式的安全漏洞,特別是那些以ASP.NET撰寫的應用。APT41也利用新興的安全漏洞展開攻擊,例如美國18個州使用的商用軟體USAHerds零時差漏洞CVE-2021-44207,或者是Log4j重大漏洞CVE-2021-44228。

甫宣布被Google收購的資安業者Mandiant於本周揭露,從去年5月起,該公司就觀察到由中國政府支持的駭客集團APT41正鎖定美國各州政府的電腦網路展開攻擊,直至今年2月止,至少成功入侵了美國6個州政府網路。

APT41大約自2012年就開始活躍於全球網路,FireEye(現在的Mandiant)在2019年指出APT41是個由中國共產黨贊助的駭客集團,美國司法部則在2020年起訴5名APT41成員,指控他們對包括臺灣及美國在內的各國政府與民間組織發動攻擊,且除了間諜行動之外,APT41偶爾也會攻擊其它目標以中飽私囊

Mandiant的調查顯示,APT41主要開採州政府網路應用程式的安全漏洞,特別是那些以ASP.NET撰寫的應用,多半採用.NET反序列化攻擊,但有時也會開採SQL Injection及目錄穿越(Directory Traversal)漏洞。此外,成立超過10年的APT41依舊非常靈活,總能快速地利用新興的安全漏洞展開攻擊,例如USAHerds零時差漏洞CVE-2021-44207,或者是最近最熱門的Log4j漏洞CVE-2021-44228。

USAHerds是個以ASP.NET撰寫的現成商用軟體,美國有18個州使用了USAHerds來進行動物健康管理,其CVE-2021-44207漏洞存在於其預值使用靜態的靜態驗證金鑰及解密金鑰(統稱為機器金鑰),因此,只要取得了一套軟體的機器金鑰,就能入侵任何其它使用USAHerds的系統。

APT41在去年6月就開採了CVE-2021-44207,當時它還是個尚未修補的零時差漏洞,USAHerds開發者Acclaim Systems一直到去年11月才釋出修補程式。

到了去年12月10日,當Log4j漏洞CVE-2021-44228及相關的概念性驗證程式被公布的幾個小時內,APT41便發動了攻擊,目標包括美國兩個州政府,以及許多APT41原本即鎖定的保險及金融產業組織。

Mandiant說,過去APT41的攻擊手法都是大規模地掃描及開採安全漏洞,但2021年5月到今年2月間,APT41則特別鎖定美國州政府的電腦網路,而且會重覆攻擊同一個州政府。目前尚不確定APT41的目的,僅知該集團盜走了個人身分資訊。

Mandiant也公布了APT41相關攻擊行動的網路入侵指標(IOC)供外界參考。

熱門新聞

Advertisement