Πέμπτη, 21 Ιανουαρίου, 20:18
Αρχική security Κινέζοι hackers χρησιμοποιούν Cisco, Citrix, Zoho Exploits και επιτίθενται!

Κινέζοι hackers χρησιμοποιούν Cisco, Citrix, Zoho Exploits και επιτίθενται!

Κινέζοι hackers

Σύμφωνα με τη FireEye, Κινέζοι hackers βρίσκονται πίσω από μια σειρά πρόσφατων επιθέσεων που χρησιμοποιούν Zoho, Citrix και Cisco exploits για να στοχεύσουν συσκευές, που χρησιμοποιούνται από διάφορες εταιρείες σε όλο τον κόσμο. Οι ερευνητές δήλωσαν ότι πίσω από τις επιθέσεις βρίσκεται η κρατική hacking ομάδα APT41. Οι περισσότερες επιθέσεις είναι στοχευμένες.

Η εκστρατεία ξεκίνησε τον Ιανουάριο του 2020 και πιθανότατα στοχεύει επιχειρήσεις που αυτή τη στιγμή είναι απασχολημένες με την οργάνωση των καθηκόντων και των υπαλλήλων, που τώρα εργάζονται απομακρυσμένα λόγω του COVID-19.

Αντίστοιχες επιθέσεις συμβαίνουν εδώ και χρόνια

Όπως σημειώνει η FireEye, η πρόσφατη εκστρατεία της APT41 είναι μία από τις πιο εκτεταμένες επιθέσεις κατασκοπείας, που έχουν πραγματοποιήσει Κινέζοι hackers, τα τελευταία χρόνια.

“Από τις 20 Ιανουαρίου έως τις 11 Μαρτίου, η FireEye παρακολούθησε την προσπάθεια της APT41 να εκμεταλλευτεί ευπάθειες σε Citrix NetScaler / ADC, Cisco routers και Zoho ManageEngine Desktop Central”, αναφέρει η έκθεση της εταιρείας.

Η APT41 είναι μια από τις πιο επιτυχημένες κινεζικές hacking ομάδες. Πιστεύεται ότι συνδέεται με την κινεζική κυβέρνηση. Δραστηριοποιείται τουλάχιστον από το 2012 και είναι γνωστή για επιχειρήσεις κατασκοπείας και για επιθέσεις που στοχεύουν μεγάλες βιομηχανίες αλλά και απλούς χρήστες.

Οι Κινέζοι hackers ξεκινούν, συνήθως, με spear-phishing emails για να διεισδύσουν στο δίκτυο του στόχου και στη συνέχεια χρησιμοποιούν malware payloads για να παραβιάσουν ολόκληρο το περιβάλλον.

Citrix exploits

Citrix exploits

Σε αυτή την πρόσφατη εκστρατεία, οι Κινέζοι hackers επιτίθενται σε εταιρείες διαφόρων τομέων: τράπεζες και χρηματικο-οικονομικές εταιρείες, κυβερνητικές υπηρεσίες, τεχνολογικές εταιρείες, πετρέλαιο και φυσικό αέριο, τηλεπικοινωνίες, υπηρεσίες υγειονομικής περίθαλψης, μέσα μαζικής ενημέρωσης και κατασκευαστικές εταιρείες.

Όπως είπαμε και παραπάνω, οι Κινέζοι hackers πραγματοποιούν κυρίως στοχευμένες επιθέσεις. Οι εταιρείες στόχοι βρίσκονται σε πολλές χώρες (ΗΠΑ, Ηνωμένο Βασίλειο, Γαλλία, Ιταλία, Ιαπωνία, Σαουδική Αραβία και Ελβετία κ.ά.).

“Δεν είναι σαφές εάν η APT41 σάρωσε το Διαδίκτυο και επιχείρησε μαζική εκμετάλλευση ή αν επέλεξε ένα υποσύνολο συγκεκριμένων οργανισμών για να στοχεύσει. Ωστόσο, φαίνεται να είναι στοχευμένες επιθέσεις“, πρόσθεσαν οι ερευνητές της FireEye.

Οι Κινέζοι hackers εκμεταλλεύτηκαν την ευπάθεια CVE-2019-19781 που επηρεάζει το Citrix Application Controller (NetScaler ADC) και Citrix Gateway (NetScaler Gateway) servers.

Κατά τη διάρκεια αυτών των επιθέσεων, υπήρχαν διακυμάνσεις. Οι Κινέζοι hackers ήταν είτε πολύ δραστήριοι είτε σταματούσαν εντελώς τις δραστηριότητές τους.

Όπως ανακάλυψε η FireEye, τα διαλείμματα συμπίπτουν με τις κινεζικές διακοπές και με τα μέτρα καραντίνας που έλαβε η κινεζική κυβέρνηση ως απάντηση στην πανδημία του COVID-19.

“Είναι πιθανό αυτή η μείωση της δραστηριότητας να σχετίζεται με τα μέτρα καραντίνας λόγω COVID-19 στην Κίνα. Ωστόσο, οι Κινέζοι hackers μπορεί να παρέμειναν ενεργοί με άλλους τρόπους, τους οποίους δεν μπορέσαμε να παρατηρήσουμε”, ανέφεραν οι ερευνητές.

Cisco exploits

Zoho και Cisco exploits

Στις 21 Φεβρουαρίου, οι Κινέζοι hackers παραβίασαν το router Cisco RV320 ενός τηλεπικοινωνιακού οργανισμού, αλλά οι ερευνητές της FireEye δεν μπόρεσαν να προσδιορίσουν ποια Cisco exploits χρησιμοποίησαν οι hackers για την επίθεση.

“Δεν είναι γνωστό ποια exploits χρησιμοποιήθηκαν, αλλά υπάρχει ένα Metasploit module, που συνδυάζει δύο ευπάθειες (CVE-2019-1653 και CVE-2019-1652), που επιτρέπουν την απομακρυσμένη εκτέλεση κώδικα σε routers”, δήλωσε η FireEye.

Στη συνέχεια, η APT41 εκμεταλλεύτηκε τη zero-day ευπάθεια CVE-2020-10189 στο Zoho ManageEngine, που επιτρέπει στους hackers να εκτελούν κώδικα ως SYSTEM / root σε μη ενημερωμένα συστήματα.

Από τις 8 Μαρτίου, μια μέρα μετά τη διόρθωση της CVE-2020-10189 από τη Zoho, οι Κινέζοι hackers πραγματοποίησαν επιθέσεις σε πελάτες της FireEye και κατάφεραν να παραβιάσουν τα συστήματα τουλάχιστον πέντε ατόμων.

Έπειτα, οι hackers εγκατέστησαν μια δοκιμαστική έκδοση του Cobalt Strike BEACON loader και εγκατέστησαν ένα άλλο backdoor που χρησιμοποιήθηκε για να κατεβάσει ένα VMPprotected Meterpreter downloader.

Δεν είναι η πρώτη φορά που η APT41 χρησιμοποιεί δημόσια exploits για να στοχεύσει ευάλωτα συστήματα.

“Αυτή η νέα δραστηριότητα από αυτή την ομάδα δείχνει πόσο γρήγορα μπορούν να αξιοποιηθούν οι πρόσφατα δημοσιευμένες ευπάθειες”.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

LIVE NEWS

Mac: Πώς να δείτε ποιο μοντέλο έχετε και πότε κυκλοφόρησε

Όταν χρειάζεστε υποστήριξη για το Mac σας - ή θέλετε να εγκαταστήσετε κάποιο είδος αναβάθμισης - συνήθως πρέπει να γνωρίζετε το ακριβές...
00:02:35

Bill Gates: Θα συνεργαστεί με τον Biden για COVID-19 / κλιματική αλλαγή;

Ο συνιδρυτής της Microsoft, Bill Gates, ανέφερε στο Twitter ότι ανυπομονεί να συνεργαστεί με το νέο Αμερικανό Πρόεδρο, Joe Biden, και την...

Ποιες είναι οι φήμες που κυκλοφορούν για το iPhone 13;

Το iPhone 13 της Apple θα διαθέτει ένα επανασχεδιασμένο σύστημα Face ID που θα διαθέτει μικρότερη εγκοπή στο πάνω μέρος της οθόνης,...

Biden: Πώς αποτυπώθηκε στα social media η πολιτική μετάβαση στις ΗΠΑ;

Καθώς ο Joe Biden ορκίστηκε Πρόεδρος των ΗΠΑ, αυτή η σημαντική πολιτική μετάβαση αποτυπώθηκε και στα δημοφιλή social media. Στις 20 Ιανουαρίου,...

Το CentOS σταματά να υποστηρίζεται αλλά το RHEL προσφέρεται δωρεάν

Τον περασμένο μήνα, η Red Hat προκάλεσε μεγάλη ανησυχία στον κόσμο του Linux όταν ανακοίνωσε τη διακοπή του CentOS Linux.

Διέρρευσαν online Microsoft Office 365 κωδικοί πρόσβασης υπαλλήλων!

Μια νέα καμπάνια phishing μεγάλης κλίμακας που στοχεύει παγκόσμιους οργανισμούς βρέθηκε να παρακάμπτει το Microsoft Office 365 Advanced Threat Protection (ATP) και...

COSMOTE και Microsoft παρέχουν νέες λύσεις cloud για επιχειρήσεις

Η COSMOTE και η Microsoft επεκτείνουν τη συνεργασία τους, προσφέροντας ακόμη πιο εξελιγμένες και υψηλής ποιότητας λύσεις cloud, σε μεγάλες και μικρομεσαίες...

Οι κυβερνοεπιθέσεις στην Ανατολική Ευρώπη αυξάνονται!

Οι κυβερνοεπιθέσεις που πραγματοποιούνται σε πολλές κυβερνητικές υπηρεσίες και εταιρείες των ΗΠΑ τους τελευταίους μήνες έχουν προκαλέσει ανησυχία στις αναπτυσσόμενες χώρες της...

Η Tesla μειώνει τις τιμές του Model 3 στην Ευρώπη

Η Tesla έχει μειώσει τις τιμές του Model 3 σε πολλές ευρωπαϊκές αγορές, οι οποίες μειώσεις θα μπορούσαν εν μέρει να συνδεθούν...

iOS, Android, XBox χρήστες στο στόχαστρο νέας malvertising εκστρατείας

Πρόσφατα ανακαλύφθηκε μια νέα malvertising εκστρατεία που στοχεύει χρήστες κινητών και άλλων συνδεδεμένων συσκευών και χρησιμοποιεί αποτελεσματικές...