Mandiant称，中国的APT41黑客侵入了至少6个美国州政府

APT41是国家资助的威胁者，隶属于中国，在2021年5月至2022年2月期间，通过改造攻击向量，利用脆弱的面向互联网的Web应用，突破了至少六个美国州政府网络。

Mandiant的研究人员在周二发布的一份报告中称，被利用的漏洞包括“USASORDS应用程序（CVE-2021-44207）中的一个零日漏洞，以及现在臭名昭著的Log4j中的零日漏洞（CVE-2021-44228）。”

这家网络安全和事件响应公司指出，除了网络漏洞，持续性攻击还涉及利用反序列化、SQL注入和目录遍历漏洞的武器化。

这一多产的高级持续性威胁，也被称为钡和温蒂，有着将公共和私营部门的组织作为目标，与出于财务动机的行动同时策划间谍活动的记录。

2020年初，该集团与一场全球入侵活动有关，利用Citrix NetScaler/ADC、Cisco路由器和Zoho ManageEngine Desktop Central等多种漏洞攻击20个国家的数十家实体，并使用恶意有效负载。

最新的披露延续了APT41迅速选择新披露的漏洞（如Log4Shell）的趋势，以便在公开后的几个小时内，与保险和电信公司一起，初步进入美国两个州政府的目标网络。

入侵事件持续到2022年2月，当时黑客组织重挫了两名美国州政府受害者，他们在5月和2021年6月首次被渗透，“表明他们不断渴望进入州政府网络，”研究人员说。

更重要的是，在开发Log4Sek之后建立的立足点导致部署一个新的模块化的C++后门，称为Linux系统上的KEYPULL，但在执行目标环境的广泛的侦察和凭证获取之前。

在攻击过程中还观察到一个名为DUSTPAN（又名StealthVector）的内存滴管，该滴管是为执行下一阶段的有效载荷而精心设计的，此外还有一些先进的后妥协工具，如DEADEYE，一种负责启动低调植入的恶意软件加载程序。

研究人员说，在APT41使用的各种技术、规避方法和能力中，最主要的是“大幅增加”使用Cloudflare服务进行指挥与控制（C2）通信和数据过滤。

尽管Mandiant指出，他们发现了对手泄露个人身份信息的证据，这些信息通常与间谍活动有关，但这场行动的最终目标目前尚不清楚。

这些发现也标志着中国民族国家组织第二次滥用无处不在的Apache Log4j库中的安全漏洞来渗透目标。

2022年1月，微软详述了Hafnium–；一年前广泛利用Exchange服务器漏洞背后的威胁因素–；这利用了“攻击虚拟化基础设施以扩展其典型目标”的漏洞

如果说有什么区别的话，最新的活动是一个不断适应的对手的又一个迹象，它有能力改变其目标，并改进其恶意软件库，以打击世界各地具有战略利益的实体。

多年来，这名威胁行为人对医疗保健、高科技和电信行业的持续行动引起了美国司法部的注意，司法部于2020年对该组织的五名成员提出了指控，使黑客在FBI的网络头号通缉名单上占有一席之地。

研究人员说：“APT41可以通过一个不同的载体重新破坏环境，或者通过快速操作一个新的漏洞，从而快速调整其初始访问技术。”。“该组织还表示愿意通过新的攻击载体来重新装备和部署能力，而不是将其保留以备将来使用。”

在一项相关的发展中，谷歌的威胁分析小组表示，它已采取措施阻止另一家中国政府支持的组织上月发起的网络钓鱼活动，该组织被追踪为APT31（又名Zyrium），目标是“与美国政府有关联的高知名度Gmail用户”