駭侵組織Cicada針對日本組織發動大規模攻擊活動

資安廠商賽門鐵克(Symantec)揭露一起針對日本組織之大規模駭侵攻擊行動,且該行動中主要利用近期名為Zerologon之高風險資安漏洞進行攻擊。

該起攻擊行動可追溯自2019年10月中旬至2020年10月上旬止,為期近1年。攻擊目標為日本汽車、製藥及機械製造業者,攻擊範圍除日本製造業於日本本土之工廠與辦公室外,亦涵蓋其全球據點,包括美國、墨西哥、英國、法國、德國、比利時、阿拉伯聯合大公國、印度、中國、泰國、越南、香港、台灣、菲律賓、南韓及新加坡等16個國家之分公司。

賽門鐵克表示已掌握充分證據,可證明此次攻擊行動來自駭侵組織Cicada(又名APT10、Stone Panda或Could Hopper)。此次攻擊過程中,除使用以往慣用之攻擊手法外,於多個攻擊階段大量運用DLL Side Loading攻擊手法以規避資安防禦偵測機制,亦使用離地攻擊(Living off the Land, LotL)技術隱匿攻擊行為。此外,賽門鐵克發現駭客利用近期發現之高風險資安漏洞Zerologon(CVE-2020-1472),該漏洞能使駭客於極短時間內駭侵企業內網,掌握內網服務目錄網域(Active Directory, AD)之控制權。

Reference

資料來源:

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cicada-apt10-japan-espionage

APT Exploits Microsoft Zerologon Bug: Targets Japanese Companies

https://www.zdnet.com/article/cicada-hacking-group-exploits-zerologon-launches-new-backdoor-in-automotive-industry-attack-wave/