报告说，中国政府资助的大规模黑客袭击了世界各地的公司

研究人员发现了一个大规模的黑客活动，该活动正在使用复杂的工具和技术来破坏全球公司的网络

这些黑客很可能来自中国政府资助的知名组织，他们配备了现成的和定制的工具。一种这样的工具利用了Zerologon，它是Windows服务器漏洞的名称，该漏洞已在8月修补，可为攻击者提供即时的管理员特权，以保护易受攻击的系统。

赛门铁克使用该组织的代号Cicada，该组织被普遍认为是由中国政府资助的，并带有其他研究组织的APT10，Stone Panda和Cloud Hopper的绰号。该组织至少从2009年开始就活跃于间谍式黑客活动，几乎专门针对与日本有联系的公司。尽管最近竞选活动的目标公司位于美国和其他国家/地区，但它们都与日本或日本公司有联系。

“与日本有联系的组织必须保持警惕，因为很明显，他们是这一复杂且资源丰富的团队的主要目标，而汽车行业似乎是此次攻击活动的主要目标，”安全公司Symantec的研究人员在一份文章中写道。报告。 “但是，在这些攻击针对的行业广泛的情况下，各行各业的日本组织都必须意识到自己有遭受此类活动的危险。”

攻击广泛使用了DLL侧加载，这种技术是在攻击者用恶意文件替换合法的Windows动态链接库文件时发生的。攻击者使用DLL侧面加载将恶意软件注入合法进程，从而可以防止安全软件检测到该黑客。

该广告系列还利用了能够利用Zerologon的工具。通过在一系列使用Netlogon协议的消息中发送零字符串来利用漏洞，Windows服务器使用该消息让用户登录网络。未经身份验证的人员可以使用Zerologon访问组织的皇冠上的珍宝-Active Directory域控制器，充当连接到网络的所有计算机的强大网守。 Microsoft在8月修补了关键的特权升级漏洞，但自那时以来，攻击者一直在使用它来危及尚未安装此更新的组织。 FBI和国土安全部都敦促立即修补系统。

在赛门铁克发现的攻击过程中受损的计算机包括域控制器和文件服务器。公司研究人员还发现了从某些受感染机器中窃取文件的证据。

汽车行业，也有一些制造商和组织参与了向汽车行业提供零件的活动，这表明攻击者对该行业非常感兴趣。

赛门铁克根据恶意软件和攻击代码中的数字指纹将攻击与蝉联系起来。指纹包括DLL侧加载中涉及的混淆技术和外壳代码，以及安全公司Cylance在此2019年报告中指出的以下特征：

最终的有效负载是QuasarRAT，这是Cicada过去使用的开源后门

赛门铁克研究人员写道：“行动的规模也指向了一群蝉的规模和能力。” “同时针对不同地区的多个大型组织，将需要大量资源和技能，而这些资源和技能通常仅在民族国家支持的团体中才能看到。所有受害者与日本之间的联系也指向蝉，该蝉过去以日本组织为目标。”