賽門鐵克安全研究人員剛剛披露了波及17個市場區域，針對汽車、工程、製藥、託管服務提供商等領域的大規模ZeroLogon漏洞攻擊。在這些活躍的網絡攻擊背後，據說都有Cicada的身影（又名APT10、Stone Panda和Cloud Hopper）。

（來自：Symantec）

2009 年開始浮出水面的Cicada，被美方認為有境外背景，且曾向日本多個組織機構發起過網絡攻擊。

從目前已知的信息來看，新一輪攻擊的模樣似乎沒有什麼不同。時間從2019 年10 月中旬，一直活躍到至少今年10 月。

賽門鐵克指出，Cicada 使用了包括DLL 側載、網絡偵察、憑據盜竊、能夠安裝瀏覽器根證書並解碼數據的命令行實用程序、PowerShell 腳本、RAR 文檔等在內的工具和技術，並且利用了合法的雲託管服務提供商來下載、打包和洩露其竊取的文件信息。

需要指出的是，該組織最近還擴展了他們的工具包陣容，能夠對評級為10 分的ZeroLogon 漏洞（CVE-2020-1472）展開利用。

儘管微軟已於8月對其進行披露和修補，但廣大用戶仍有被域控制器賬戶劫持或欺騙、以及導致活動目錄身份服務被破壞等安全風險。

此外Cicada 針對攻擊目標推出了定制的Backdoor.Hartip 惡意軟件，此前從未與APT 有過關聯。

據說該組織專注於竊取信息和開展網絡間諜行動，包括公司記錄、人力資源文檔、會議備忘錄、費用信息等在內的感興趣數據，通常會被打包並提交到Cicada 的命令與控制服務器中。

研究人員指出，攻擊者在受害者網絡上耗費的時間不盡相同，或者沉寂一段時間後又再次活躍。遺憾的是，由於代碼本身被加花，賽門鐵克難以準確推斷該組織的確切目標。

不過DLL 側載和FuckYouAnti 等名稱的運用，此前已被另一份有關APT 的Cylance 報告所披露。此外還有Cicada 之前利用過的QuasarRAT 和Backdoor.Hartip 。

賽門鐵克總結道：Cicada 顯然有許多資源和技能去支撐其發動類似複雜而廣泛的攻擊，其危險性依然不容小覷。