【精選威脅情資 #3】日本組織遭遇高複雜度的長期攻擊行動

‍

奧義智慧團隊長期追蹤國內外資安事件、各種駭侵樣態，並彙整解析全球網路威脅情資來源，提供客戶高品質情資報告。我們將每個月精選出二至三篇情資，整理成部落格與大家分享，有興趣的話歡迎從奧義智慧 Facebook 粉絲專頁追蹤最新消息！

追蹤奧義智慧，隨時掌握最新資安動向

‍

根據賽門鐵克 (Symantec) 研究，有相關證據顯示，名為 Cicada 的 APT 組織與針對 17 個地區與多種產業領域的攻擊事件有所關聯。

‍

情資描述

針對多個日本企業的大規模攻擊行動正在進行，其中，更包含了遍布全球多達 17 個地區的設備，參與在疑似情報蒐集的行動之中，此攻擊的規模與複雜程度，顯示其應來自較大且具豐沛資源的 APT 組織。博通 (Broadcom) 旗下的企業安全部門賽門鐵克 (Symantec) 研究後指出此波駭客行動的攻擊者應為 Cicada，常見別稱為 APT10、Stone Panda、Cloud Hopper。

‍

TTP

Cicada 過去因攻擊與日本有所關聯的組織、以及曾針對 MSPs 發動攻擊而聞名，他們在這波攻擊行動中，使用了就地取材攻擊（Living-off-the-land attack，或稱離地攻擊）以及自製的惡意程式，而其中一個檔名為 Backdoor.Hartip 的自製惡意程式，賽門鐵克指出在過去的研究中是未曾見過的。

Cicada 透過不正常方式濫用了合法的雲端檔案託管服務以進行滲透，此外，他們亦在攻擊的不同階段中利用 DLL Side-loading 技術，包含用在載入前述提到的 Backdoor.Hartip 惡意程式等。研究更指出觀察到攻擊者正在開發針對 Zerologon 漏洞 (CVE-2020–1472) 的攻擊工具，詳細攻擊細節可參閱其研究報告。

閱讀奧義部落格，深入瞭解 Zerologon 漏洞與其成因：
三秒入侵 Windows AD：Zerologon 災難級漏洞的完整解析‍

入侵指標 (IOCs)

Hash
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IPs

178[.]73.210.238
188[.]119.112.225
213[.]252.246.245
45[.]14.224.93
45[.]67.230.134
81[.]7.7.159
95[.]179.143.32

參考資料

1. Japan-Linked Organizations Targeted in Long-Running and Sophisticated Attack Campaign