威胁信号报告

APT41 - 涉及全球黑客活动的国家级攻击者起诉事件

描述

本周，美国司法部（USDOJ）起诉五名中国籍公民，指控其参与针对全球100多家企业的网络犯罪活动。根据公告，受攻击的行业包括软件开发公司、计算机硬件制造商、电信供应商、社交媒体公司、视频游戏公司、非营利组织、大学、智库和外国政府。此外，香港的亲民主政治人士和活动家也成为攻击目标。

该组织（被称为APT41、Barium、Winnti、Wicked Panda和Wicked Spider）负责窃取源代码、代码签名证书、客户账户数据以及其他与商业运营相关的知识产权。

9月14日，根据美国哥伦比亚特区地方法院发布的逮捕令，两名男子在马来西亚实兆远省被捕。另有五名男子被通缉，目前仍在中国境内潜逃。通过FortiGuard Labs的情报共享合作伙伴关系以及我们在网络威胁联盟（CTA）的成员身份，已交换了危害指标（IOC），以确保我们能够为已识别的IOC提供防护覆盖。

重要性分析

APT41自2011年开始活动，与供应链攻击和入侵流行软件供应商有关。安装量巨大的知名软件被植入恶意软件。该组织的作案手法是入侵可访问源代码仓库的开发人员工作站，然后在合法软件中安装后门和其他恶意软件。这些入侵还促进了勒索软件和加密货币劫持方案的安装，利用受害者计算机资源挖掘加密货币。

该组织还与使用PlugX/Fast/Korplug/、Winnti/Pasteboy和Shadowpad恶意软件有关，其中Korplug和Winnti自2012年以来一直是主要的恶意软件家族。为维持持久性，该组织被观察到执行DLL侧加载技术来启动恶意软件，如HK Door、Crosswalk等。

其他供应商将APT41视为一个组织。然而，Symantec（CTA成员）在其博客中表示，他们发现了两个不同但相关的行动组为国家服务，分别被称为Blackfly和Grayfly。Blackfly主要专注于网络犯罪，而Grayfly专注于网络间谍活动。

影响严重性

由于这些活动仅在有限的定向攻击中观察到，严重性应视为中等。

AV和IPS覆盖状态

运行最新定义的用户受到以下AV签名保护：

• Korplug签名
• Plug X签名
• Motnug签名
• ShadowPad签名

运行最新定义的用户受到以下IPS签名保护：

• China.Chopper.Web.Shell.Client.Connection
• WINNTI.BotnetBackdoor.Cobalt.Strike.Beacon
• Citrix.Application.Delivery.Controller.VPNs.Directory.Traversal (CVE-2019-19781)
• Pulse.Secure.SSL.VPN.HTML5.Information.Disclosure (CVE-2019-11510)
• D-Link.DIR866L.PingTest.Remote.Code.Execution (CVE-2019-16920)
• Nostromo.nhttpd.http_verify.Directory.Traversalv (CVE-2019-16278)
• Cisco.RV320.Routers.Command.Injection (CVE-2019-1652)
• Cisco.RV320.Routers.Information.Disclosure (CVE-2019-1653)
• Zoho.ManageEngine.DC.getChartImage.Remote.Code.Execution (CVE-2020-10189)

与此事件相关的所有网络IOC均被WebFiltering客户端阻止。

发布日期

2020年9月17日

标签

威胁信号

FortiGate设备触发

不适用

威胁参与者类型

国家级