APT41 эксплуатирует уязвимости в решениях Cisco, Citrix и Zoho

Прeступники изо APT41 aтaкoвaли цeли в бaнкax, финaнсoвoм сeктoрe, прaвитeльствe, нeфтeгaзoвoй прoмышлeннoсти и пр.

Китaйскaя кибeрпрeступнaя группирoвкa APT41 (тaк жe извeстнaя, кaк Double Dragon) oргaнизoвaлa цeлый полоса aтaк, в кoтoрыx испoльзoвaлись эксплoиты к уязвимoстeй в устрoйствax Citrix, Cisco и Zoho в различных отраслях промышленности ровно по всему миру.

Как отметили специалисты с компании FireEye, недавняя вредоносная период APT41 является одной из самых масштабных из-за последние годы. В период с 20 января в соответствии с 11 марта специалисты зафиксировали попытки APT41 проэксплуатировать уязвимости в программно-аппаратном обеспечении Citrix NetScaler/ADC (CVE-2019-19781), маршрутизаторах Cisco и Согласно Zoho ManageEngine Desktop Central.

В ходе последней кампании преступники с APT41 атаковали цели в банках и финансовом секторе, правительстве, нефтегазовой промышленности, телекоммуникациях, здравоохранении, средствах массовой информации и производстве. В время данной серии целенаправленных атак злоумышленники сосредоточили свое не заговаривать зубы на организациях в разных странах, начиная США, Великобританию, Францию, Италию, Японию, Саудовскую Аравию и Швейцарию.

«21 февраля APT41 скомпрометировала маршрутизатор Cisco RV320 телекоммуникационной организации. Хрен его знает, какой именно эксплоит использовался, однако существует модуль Metasploit, объединяющий CVE-2019-1653 и CVE-2019-1652 чтобы обеспечения возможности удаленного выполнения стих на маршрутизаторах Cisco RV320 и RV325 в (видах малого бизнеса и использующий wget во (избежание размещения определенной полезной нагрузки», — сообщили эксперты.

Преступники как и эксплуатировали уязвимость (CVE-2020-10189) в Zoho ManageEngine, позволяющую удаленно производить код ​​без авторизации с правами суперпользователя либо — либо SYSTEM. На следующий журфикс после исправления уязвимости CVE-2020-10189 , преступники атаковали побольше десятка систем и смогли запачкать как минимум пять с них. Затем злоумышленники разместили пробную версию загрузчика Cobalt Strike BEACON и внедрили опять один бэкдор для загрузки VMProtected Meterpreter.

Шпрундель

Комментарии и уведомления в настоящее время закрыты..

Комментарии закрыты.