Citrix和LogMein Remote-Access软件滥用以进行MSP攻击
安全研究人员指责中国国家赞助的黑客为一个Cyber Espionage运动针对多个全球组织。
受害者包括一家国际服装公司,该公司是一家美国律师事务所,围绕制药,技术,生物医学和汽车行业,以及一家主要的欧洲托管服务提供商(MSP)。
根据研究人员在研究的情况下,旨在窃取知识产权,并为与受害者有关的第三方的攻击创造发射板,旨在培养与受害者有关的第三方。
这三项攻击是由同一黑客船员进行的,但否则是分开的,未来记录了每日swbeplay2018官网ig。
“根据我们的可见性和可用数据,我们认为这三项攻击是独立发生的,”未来记录说。“没有数据可以暗示攻击者对Visma的访问,使他们能够针对其他两家公司。
“此外,按时间顺序,Visma是这项特定运动中的第三名受害者,该运动与其他两个入侵共享了技术特征。”
通过针对MSP,黑客正在利用公司在其安全提供者中放置的信任。
策略突出了对第三方服务的依赖 - 几乎不可避免地依赖于基于云的服务以及其他趋势 - 可以将组织暴露给额外的安全风险。
2017年11月至2018年9月,visma,零售商和美国律师事务所的整体运动从2017年11月到9月。
“在所有三起事件中,攻击者通过使用被盗的有效用户凭据的Citrix和LogMein Remote-Access软件的部署来访问网络,”
“攻击者然后枚举访问和对受害者网络的权限升级,利用文档中记录的DLL侧加载技术US-CERT警报在APT10上交付恶意软件。“
在Visma入侵期间,APT10黑客部署了他们的Trochilus恶意软件。
鞋底(Anel)后门的独特版本,该版本已被APT10(又名Stone Panda)独家使用,在其他两次攻击中均出现。
“APT10可能会受到visma的主要目标,使辅助侵入到他们的客户网络上,而不是窃取visca知识产权,”根据记录的未来。
在所有三起事件中,APT10参与者都使用先前获得的合法证书,这可能是通过第三方供应链妥协获得的。
被盗的数据通过Dropbox偷偷摸摸,该数据被不知不觉地滥用为Drop网站,使用Windows命令行工具的卷发来渗透(使用Winrar)被盗数据。
记录的未来分析了对客户网络之一的入侵,并与Rapid7合作以澄清范围,然后得出结论,APT10是竞选活动的幕后黑手。
在对目标主机网络,记录的未来平台,网络元数据,Virustotal,Farsight DNS,Shodan和其他开源智能收集技术中获取的数据后进行了分析。
操作云料斗
APT10由中国智能局支持国家安全部(MSS),根据记录的未来。
研究人员突出的三种案例远非孤立。由中国MSS赞助的正在进行的活动,称为“操作云料斗”,专门针对MSPS。
据英特尔(Intel)的未来,英特尔研究人员称,云料斗的操作通常由壳牌公司而不是中国的MSS运行,旨在窃取知识产权并对受害者的客户进行次要攻击。
Rapid7说,增加两因素身份验证可以用作防御措施来保护这种攻击。
Metapolit Pen测试工具背后的公司Rapid7的主要MDR分析师Eoin Miller评论说:“不幸的是,这是我们经常见证的邪恶行为。但是,组织可以采取一些步骤来解决这些问题。
“例如,我们建议对所有事物实施两因素身份验证。
“此外,加强针对低成本VPN提供商的身份验证尝试的评论,或者对个人用户的'out norm norm'网络或国家 /地区同样重要。
“组织还应考虑在敏感系统上实施非常严格的应用程序。”
