APT 41, los grupos de hackers chinos lanzaron un ataque cibernético masivo en docenas de países de todo el mundo utilizando exploits que desencadenan las vulnerabilidades en los productos Cisco, Citrix, Zoho.
Varios países están siendo atacados, incluidos Australia, Canadá, Dinamarca, Finlandia, Francia, India, Italia, Japón, Malasia, México, Filipinas, Polonia, Qatar, Arabia Saudita, Singapur, Suecia, Suiza, Emiratos Árabes Unidos, Reino Unido y Estados Unidos.
En este ataque se están explotando 3 productos principales: Citrix Application Delivery Controller, enrutadores Cisco y Zoho ManageEngine Desktop Central.
Atacante dirigido a varios gobiernos y sectores privados, incluidos los de salud, alta tecnología, educación superior, legal, manufactura, medios de comunicación, sin fines de lucro, petróleo y gas, petroquímicos, farmacéuticos, bienes raíces, telecomunicaciones, transporte, viajes y servicios públicos.
Investigadores de FireEye observaron que el ataque se realizó entre el 20 de enero y el 11 de marzo.
Detalles de explotación de vulnerabilidad
Este ataque se observó inicialmente cuando los actores de amenazas intentaron explotar la vulnerabilidad CVE-2019-19781 de Citrix Application Delivery Controller (ADC) el 20 de enero de 2020.
El intento de explotación consistió en la ejecución del comando ‘file / bin / pwd’ que les ayuda a identificar el sistema vulnerable y parcheado en la red de la víctima.
En febrero, los actores de APT 41 comenzaron a descargar la carga útil desconocida del Protocolo de transferencia de archivos (FTP) y la carga útil llamada “bsd” que parecía una puerta trasera.
Según el informe de FireEye “Observamos un aumento significativo en la explotación de CVE-2019-19781 el 24 y el 25 de febrero. El comportamiento de explotación fue casi idéntico a la actividad del 1 de febrero, donde solo cambió el nombre de la carga útil ‘un’. “
Explotando Cisco Router
El investigador observó otro intento exitoso de explotación en los enrutadores Cisco RV320 que se implementaron en redes de telecomunicaciones el 21 de febrero de 2020.
“No se sabe qué exploit específico se utilizó, pero hay un módulo Metasploit que combina dos CVE ( CVE-2019-1653 y CVE-2019-1652 ) para permitir la ejecución remota de código en los enrutadores de pequeñas empresas Cisco RV320 y RV325 y utiliza wget para descargue la carga útil especificada ”, dijo FireEye.
Explotación de Zoho ManageEngine Bug de día cero
Los actores de APT atacaron otra vez a varias organizaciones que implementaron las versiones de Zoho ManageEngine Desktop Central antes de 10.0.474 ( CVE-2020-10189) que contenían una vulnerabilidad de ejecución remota de código de día cero.
FireEye observó que APT41 utiliza 91.208.184 [.] 78 para intentar explotar la vulnerabilidad de Zoho ManageEngine en más de una docena de clientes de FireEye y cinco clientes se vieron comprometidos durante el intento.
Los atacantes APT 41 cargan directamente “logger.zip”, un programa simple basado en Java, que contenía un conjunto de comandos para usar PowerShell para descargar y ejecutar install.bat y storesyncsvc.dll.
Además, los atacantes aprovechan la herramienta de línea de comandos BITSAdmin de Microsoft para descargar install.bat que les ayuda a instalar persistencia para una versión de prueba del cargador Cobalt Strike BEACON.
El investigador cree que el código shell de BEACON que se descargó del servidor C2 puede usarse para intentar diversificar el acceso posterior a la explotación a los sistemas comprometidos.
