中国APT41通过USAHerds App入侵美国政府网络

Mandiant security 的安全研究人员最近发布了一份报告，详细介绍了他们对 APT41 近期活动的调查结果——APT41是一家据信有中国政府支持的网络犯罪组织。根据 Mandiant 的说法，APT41 设法结合使用Log4j 攻击和零日漏洞来破坏多个美国政府网络。

零日和Log4j一起使用

有问题的零日漏洞存在于名为 USAHerds 的应用程序中。它是美国各地畜牧业者用作“动物健康信息管理系统”的工具。该应用程序已经存在多年了。然而，直到最近 APT41 才设法滥用其中的安全漏洞。

APT41 被认为是一个国家资助的中国组织，传统上从事网络间谍活动。在这次最新的攻击中，研究人员发现了新工具、逃避检测的新方法以及威胁参与者采用的新技术。

用于访问美国网络的漏洞被跟踪为 CVE-2021-44207。该攻击使用了双管齐下的方法，还利用了臭名昭著的Log4j 漏洞。 USAHerds 中的漏洞已于 2021 年 11 月修补，并依赖于应用程序对硬编码、静态验证和加密密钥的使用，最终允许在系统上远程执行代码。

据研究人员称，该应用程序在所有已安装的实例之间共享这些静态密钥，而不是在每次安装时生成唯一的密钥，这是一个重大的安全问题。

APT41 至少访问了六个网络

没有办法知道 APT41 是如何设法获取共享密钥值的，但是一旦他们有权访问这些值，他们就可以访问运行 USAHerds 应用程序的“任何服务器”。尽管已知有 6 个美国政府网络在这次攻击中遭到破坏，但 Mandiant 预计还有更多的受害者根本没有记录在案。

APT41 长期以来一直以美国实体为目标，与同一组织相关的攻击可追溯到 2019 年。该组织以在规避和渗透目标时使用先进技术而闻名。