Os hackers chineses usam Cisco, Citrix, Zoho Exploits e atacam!

Hackers chineses

De acordo com FireEye, Hackers chineses estão por trás de uma série de ataques recentes que eles usam Explorações Zoho, Citrix e Cisco para segmentar dispositivos, usados ​​por várias empresas em todo o mundo. Os pesquisadores disseram que por trás dos ataques está o equipe de hackers do estado APT41. A maioria dos ataques são visadas.

A campanha começou em janeiro de 2020 e provavelmente terá como alvo empresas atualmente encarregadas de organizar tarefas e funcionários que agora estão trabalhando remotamente devido ao COVID-19.

Ataques similares ocorrem há anos

Segundo o FireEye, a recente campanha do APT41 é um dos ataques mais extensos espionagem, realizada por hackers chineses, nos últimos anos.

“De 20 de janeiro a 11 de março, o FireEye monitorou a tentativa do APT41 de explorar vulnerabilidades no Citrix NetScaler / ADC, roteadores Cisco e Zoho ManageEngine Desktop Central ”, o relatório da empresa afirma.

O APT41 é uma das equipes de hackers chinesas de maior sucesso. Acredita-se estar associado a Governo chinês. Está ativo pelo menos desde 2012 e é conhecido por operações e ataques de espionagem direcionados a grandes indústrias e usuários comuns.

Os hackers chineses geralmente começam com emails de spear-phishing para penetrar na rede de destino e usar cargas úteis de malware para violar todo o ambiente.

Explorações Citrix

Explorações Citrix

Nesta recente campanha, hackers chineses estão atacando empresas em vários setores: bancos e empresas financeiras, agências governamentais, empresas de tecnologia, empresas de petróleo e gás, telecomunicações, serviços de saúde, mídia e empresas de construção.

Como mencionado acima, os hackers chineses realizam principalmente ataques direcionados. As empresas alvo estão localizadas em muitos países (EUA, Reino Unido, França, Itália, Japão, Arábia Saudita e Suíça, etc.).

“Não está claro se o APT41 varreu a Internet e tentou a exploração em massa ou se escolheu um subconjunto de organizações específicas para atingir. No entanto, eles parecem ser ataques direcionados “, acrescentaram os pesquisadores do FireEye.

Os hackers chineses aproveitaram a vulnerabilidade CVE-2019-19781 afetando Servidores Citrix Application Controller (NetScaler ADC) e Citrix Gateway (NetScaler Gateway).

Durante esses ataques, houve flutuações. Os hackers chineses eram muito ativos ou pararam completamente suas atividades.

Segundo o FireEye, os intervalos coincidem com o feriado chinês e as medidas de quarentena tomadas pelo governo chinês em resposta à pandemia do COVID-19.

“É possível que esse declínio na atividade esteja relacionado a medidas de quarentena devido ao COVID-19 na China. No entanto, os hackers chineses podem ter permanecido ativos de outras maneiras, o que não conseguimos observar “, disseram os pesquisadores.

Explorações da Cisco

Zoho e Cisco façanhas

Em 21 de fevereiro, hackers chineses violaram o roteador Cisco RV320 uma agência de telecomunicações, mas os pesquisadores da FireEye não conseguiram determinar quais Cisco exploram os hackers que costumavam atacar.

“Ainda não se sabe o que ele fará depois de deixar o cargo Módulo Metasploit, que combina duas vulnerabilidades (CVE-2019-1653 e CVE-2019-1652), que permitem execução remota de código em roteadores “, disse o FireEye.

O APT41 aproveitou a vulnerabilidade de dia zero CVE-2020-10189 no Zoho ManageEngine, que permite que hackers executem código como SYSTEM / root em sistemas não informados.

Desde 8 de março, um dia após o Zoho corrigir o CVE-2020-10189, os hackers chineses atacaram os clientes FireEye e conseguiram invadir os sistemas de pelo menos cinco pessoas.

Os hackers instalaram uma versão de teste Carregador de greve de cobalto BEACON e instalou outro Porta dos fundos usado para baixar um VMPprotected Meterpreter downloader.

Esta não é a primeira vez que o APT41 usa explorações públicas para atingir sistemas vulneráveis.

“Esta nova atividade desta equipe mostra a rapidez com que as vulnerabilidades publicadas recentemente podem ser exploradas.”