中国黑客组织Winnti针对全球组织的网络攻击概述
关键要点
- 攻击者 :中国黑客组织Winnti(也称APT41或Wicked Spider)对全球80多个组织进行了攻击。
- 受影响的组织 :包括美国的软件开发和酒店行业,13个组织的网络被成功侵入。
- 攻击手段 :包括供应链攻击、钓鱼操作、 watering hole 入侵和SQL注入。
- 技术工具 :黑客利用Cobalt Strike等软件来识别网络漏洞,并采用代码混淆技术进行攻击。
据BleepingComputer 报道,去年全球80多个组织遭到中国黑客组织Winnti (也称APT41 或WickedSpider
)的攻击,其中13个组织的网络成功被入侵。此外,香港、英国、爱尔兰大学的网站,以及印度政府和泰国军方的一些网站也在该组织的攻击范围之内。Group-
IB 的报告显示,这些攻击包括了供应链攻击、钓鱼操作、watering hole入侵和SQL注入等多种方式。
Winnti被发现利用专业软件和通用软件,包括Cobalt Strike,来识别潜在的网络漏洞。研究人员指出,黑客对CobaltStrike的载荷进行了编码,采用base64格式,并被分解为775个字符,整个过程重复了154次后才写入文件。与此同时,Winnti还使用了超过106个伪装成Microsoft、Cloudflare和Facebook的SSL证书来部署CobaltStrike。
以下是该攻击的详细信息:
攻击特点 | 描述
—|—
攻击目标 | 80多个组织,包括美国软件和酒店公司
成功入侵 | 13个组织的网络被成功攻击
攻击方式 | 供应链攻击、钓鱼、watering hole入侵、SQL注入
使用工具 | Cobalt Strike(通过代码混淆技术进行攻击)
编码方式 | base64编码,775字符分段,重复154次
建议 :受影响的组织应提高网络安全防护措施,加强对钓鱼和供应链攻击的防范,定期检查和更新安全系统。
