中國APT41通過USAHerds App入侵美國政府網絡

Mandiant security 的安全研究人員最近發布了一份報告，詳細介紹了他們對 APT41 近期活動的調查結果——APT41是一家據信有中國政府支持的網絡犯罪組織。根據 Mandiant 的說法，APT41 設法結合使用Log4j 攻擊和零日漏洞來破壞多個美國政府網絡。

零日和Log4j一起使用

有問題的零日漏洞存在於名為 USAHerds 的應用程序中。它是美國各地畜牧業者用作“動物健康信息管理系統”的工具。該應用程序已經存在多年了。然而，直到最近 APT41 才設法濫用其中的安全漏洞。

APT41 被認為是一個國家資助的中國組織，傳統上從事網絡間諜活動。在這次最新的攻擊中，研究人員發現了新工具、逃避檢測的新方法以及威脅參與者採用的新技術。

用於訪問美國網絡的漏洞被跟踪為 CVE-2021-44207。該攻擊使用了雙管齊下的方法，還利用了臭名昭著的Log4j 漏洞。 USAHerds 中的漏洞已於 2021 年 11 月修補，並依賴於應用程序對硬編碼、靜態驗證和加密密鑰的使用，最終允許在系統上遠程執行代碼。

據研究人員稱，該應用程序在所有已安裝的實例之間共享這些靜態密鑰，而不是在每次安裝時生成唯一的密鑰，這是一個重大的安全問題。

APT41 至少訪問了六個網絡

沒有辦法知道 APT41 是如何設法獲取共享密鑰值的，但是一旦他們有權訪問這些值，他們就可以訪問運行 USAHerds 應用程序的“任何服務器”。儘管已知有 6 個美國政府網絡在這次攻擊中遭到破壞，但 Mandiant 預計還有更多的受害者根本沒有記錄在案。

APT41 長期以來一直以美國實體為目標，與同一組織相關的攻擊可追溯到 2019 年。該組織以在規避和滲透目標時使用先進技術而聞名。