FireEye：無視疫情散布，中國駭客攻擊散布在逾20個國家的Citrix與Zoho漏洞

FireEye：無視疫情散布，中國駭客攻擊散布在逾20個國家的Citrix與Zoho漏洞

文/陳曉莉 | 2020-03-26發表

國家級駭客集團APT 41在中國因武漢肺炎而封城期間，曾短暫停止行動，但隨後又針對Citrix、思科及Zoho的安全漏洞展開大規模攻擊

美國資安業者FireEye本周指出，專門替中國政府從事間諜行動的駭客集團APT41，並未因武漢肺炎疫情的爆發而偃旗息鼓，反而趁著各國忙著防疫的同時，在今年的1月20日到3月11日間，針對全球的Citrix NetScaler/ADC、思科路由器及Zoho ManageEngine Desktop Central的安全漏洞展開大規模的攻擊，波及全球逾20個國家的設備或系統。

被APT41此波攻擊鎖定的產業，涵蓋了金融、建築、國防工業基地、政府組織、健康照護機構、製藥、房地產、電信、交通、旅遊、高科技、教育機構、製造業、媒體業、石油工業及公用事業等，而且它們分布在北美、歐洲、及亞洲地區等逾20個國家。

根據FireEye的觀察，APT41是在1月20日啟動新一波的攻擊行動，該集團開採了存在於Citrix設備上的CVE-2019-19781漏洞、ManageEngine Desktop Central統一終端管理解決方案的CVE-2020-10189漏洞，以及思科路由器上的CVE-2019-1653與CVE-2019-1652漏洞，以在相關的設備與服務中植入後門。

值得注意的是，這些漏洞都是最近半年內才被揭露或修補的，顯示APT41集團的資源非常豐富，且動作迅速。

FireEye也發現，APT41在今年2月2日到2月19日之間幾乎毫無行動，猜測可能跟中國政府忙著封城與隔離有關。

FireEye指出，這是中國間諜集團最近幾年來最廣泛的攻擊行動之一，APT41在開採上述漏洞之後，於受害系統上植入坊間既有的Cobalt Strike與Meterpreter等木馬程式，但依照APT41過去的習慣，該集團會先分析及理解受害組織的內部架構之後，才會進一步部署更先進的惡意程式。