APT41 эксплуатирует уязвимости в решениях Cisco, Citrix и Zoho

APT41 эксплуатирует уязвимости в решениях Cisco, Citrix и Zoho

Преступники из APT41 атаковали цели в банках, финансовом секторе, правительстве, нефтегазовой промышленности и пр.

image

Китайская киберпреступная группировка APT41 (так же известная, как Double Dragon) организовала целый ряд атак, в которых использовались эксплоиты для уязвимостей в устройствах Citrix, Cisco и Zoho в различных отраслях промышленности по всему миру.

Как отметили специалисты из компании FireEye, недавняя вредоносная кампания APT41 является одной из самых масштабных за последние годы. В период с 20 января по 11 марта специалисты зафиксировали попытки APT41 проэксплуатировать уязвимости в программно-аппаратном обеспечении Citrix NetScaler/ADC (CVE-2019-19781), маршрутизаторах Cisco и ПО Zoho ManageEngine Desktop Central.

В ходе последней кампании преступники из APT41 атаковали цели в банках и финансовом секторе, правительстве, нефтегазовой промышленности, телекоммуникациях, здравоохранении, средствах массовой информации и производстве. Во время данной серии целенаправленных атак злоумышленники сосредоточили свое внимание на организациях в разных странах, включая США, Великобританию, Францию, Италию, Японию, Саудовскую Аравию и Швейцарию.

«21 февраля APT41 скомпрометировала маршрутизатор Cisco RV320 телекоммуникационной организации. Неизвестно, какой именно эксплоит использовался, но существует модуль Metasploit, объединяющий CVE-2019-1653 и CVE-2019-1652 для обеспечения возможности удаленного выполнения кода на маршрутизаторах Cisco RV320 и RV325 для малого бизнеса и использующий wget для размещения определенной полезной нагрузки», — сообщили эксперты.

Преступники также эксплуатировали уязвимость (CVE-2020-10189) в Zoho ManageEngine, позволяющую удаленно выполнять код ​​без авторизации с правами суперпользователя или SYSTEM. На следующий день после исправления уязвимости CVE-2020-10189 , преступники атаковали более десятка систем и смогли скомпрометировать как минимум пять из них. Затем злоумышленники разместили пробную версию загрузчика Cobalt Strike BEACON и внедрили еще один бэкдор для загрузки VMProtected Meterpreter.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle