공격의 동기는 불분명하지만 미국과 중국 간의 지속적인 무역 전쟁과 전개되는 COVID-19 전염병이 원인 일 가능성이 있습니다.
중국 정부를 대표하여 활동하고있는 것으로 알려진 다목적 고급 지속 위협 그룹 인 APT41은 최근 몇 달간 상대적인 소실 이후 활동을 급격히 증가시켰다.
활동을 추적 한 FireEye의 연구원들은 APT41이 75 월 20 일과 11 월 XNUMX 일 사이에만 XNUMX 명의 고객을 공격했다고 밝혔다.
대상 조직은 미국, 영국, 캐나다, 호주, 프랑스, 일본 및 인도를 포함하여 20 개국에 분산되어 있습니다. 정부, 국방, 은행, 의료, 제약 및 통신 부문을 포함하여 거의 20 개 부문의 조직이 영향을 받았습니다.
FireEye는 소수의 공격만으로 실제 보안 문제가 발생했지만 기술 된 최근 몇 년 동안 중국의 위협 행위자가 가장 광범위한 악성 캠페인 중 하나 인 APT41의 활동.
FireEye의 수석 보안 아키텍트 인 Chris Glyer는 APT41의 갑작스런 활동의 원인이 불분명하다고 말합니다. FireEye의 현재 가시성에 기반한 공격은 표적으로 보이지만 APT41의 행동에 대한 구체적인 동기 나 의도를 밝히는 것은 어렵다고 그는 말했다.
그러나 미국과 중국 간의 지속적인 무역 전쟁과 펼쳐지는 COVID-19 전염병이 발생할 가능성이 있습니다. 이러한 사건들이 무역, 여행, 커뮤니케이션, 제조, 연구 및 국제 관계를 포함한 다양한 주제에 대한 정보를 얻기 위해 중국을 몰고 갈 가능성이 있습니다.
Glyer는“광범위한 타겟팅 세트에 대한 가장 가능성있는 설명은 APT41이 임무 목표를 빠르게 완료 할 수 있도록 현재와 미래의 잠재적 인 수집 요구 사항을 모두 가능하게하는 것입니다.
여러 공격에서 위협 행위자는 이전에 알려진 원격 코드 실행 결함을 악용하려고 시도했습니다 (CVE-2019-19781)는 ACC (Citrix Application Delivery Controller) 및 Citrix Gateway 장치에 있습니다. 이 결함은 지난 XNUMX 월에 처음 공개되었으며, XNUMX 월에이 취약점을 악용 할 수있게되었습니다.
이 결함은 기업 환경에 널리 배포되는 Citrix 기술에 영향을 미치고 악용하는 것이 얼마나 사소하기 때문에 보안 연구원들 사이에서 상당한 우려를 불러 일으켰습니다. Citrix가 패치를 갖기 전에이 결함에 대한 익스플로잇을 사용할 수있게되면서 우려가 더욱 심해졌습니다. Citrix와 DHS의 CISA (Cybersecurity and Infrastructure Security Agency)를 포함한 다른 조직이 조직에 가능한 한 빨리 결함을 패치하거나 보호 할 것을 촉구했지만 많은 시스템이 여전히 패치가 적용되지 않았으며 버그에 취약한 것으로 여겨집니다.
위험한 취약점
CVE-2019-19781을 통해 공격자는 취약한 장치에서 임의의 코드를 실행할 수 있습니다. 최악의 시나리오 중 하나는 공격자가 ADC 장치를 손상시키고 장치에 저장된 자격 증명에 액세스 한 다음 자격 증명과 네트워크 액세스를 사용하여 피해자의 내부 네트워크 내에서 측면으로 이동하고 권한을 에스컬레이션하는 것입니다.
Glyer에 따르면 APT41은 최신 캠페인을 겨냥한 여러 조직 중 하나에서 Citrix 결함을 성공적으로 악용 한 것으로 보입니다.
최근 몇 주 동안 FireEye 연구원들은 중국 기반의 위협 행위자가 제로 데이 취약점을 악용하려는 것을 관찰했습니다.CVE-2020-10189]에서 Zoho ManageEngine. 이 결함은 이달 초에 공개되었으며이를 악용하기위한 개념 증명은 이미 공개되어 있습니다. FireEye는 XNUMX 명 이상의 고객에게 Zoho 버그를 악용하려는 공격을 계산했습니다. 그중 XNUMX 개 이상이 시스템에 감염되어 악성 코드가 설치되었습니다.
FireEye는 FireEye가 관찰 한 모든 착취 시도에서 Cobalt Strike 및 Meterpreter와 같은 공개 툴만 활용했다고 이번 주 보고서에서 밝혔다. 글 라이어는 41 년에 APT2020이 가장 활발한 위협 그룹 중 하나로 부상했다고 밝혔다.
"APT41은 우리가 추적하는 가장 풍부하고 유능한 위협 행위자 중 하나입니다."라고 그는 말합니다. “조직은 블로그에 제공된 정보를 가져와 APT41의 대상이되었는지 평가해야합니다.."
FireEye는 이전에 APT41을 이중 사이버 범죄 및 스파이 그룹으로 설명했습니다. 중국 정부를 대표하는 스파이 활동은 이전에 의료, 첨단 기술 및 통신 분야에 중점을 두었습니다. APT41의 운영 방식은 일반적으로 피해자 네트워크에 대한 전략적 액세스를 침입, 확립 및 유지하는 것이 었습니다. 반면 파이어 아이는이 그룹의 재정적으로 동기를 부여한 사이버 범죄 활동은 순전히 개인적인 이익을위한 것이라고 말했다.
관련 콘텐츠 :
Jai Vijayan은 IT 무역 저널리즘 분야에서 20 년 이상의 경험을 쌓은 노련한 기술 기자입니다. 그는 가장 최근에는 Computerworld의 수석 편집자였으며 출판 관련 정보 보안 및 데이터 개인 정보 보호 문제를 다루었습니다. 그의 20 년 동안… 전체 자료보기
더 많은 통찰력
