Visma hackades via Citrix-konton

av | feb 8, 2019 | Säkerhet

Norska Visma hackades nyligen av hackare som kan kopplas till den kinesiska statsapparaten. Ett intrång som startade med att två Citrix-konton togs över.

Attacken och intrånget har analyserats av Recorded Future och deras rapport finns nu att läsa på nätet. Attacken startade den 17 augusti 2018 då obehöriga tog in i Vismas system via två stulna Citrix-konton. Några veckor senare så återkom hackarna och såg till att skaffa sig konton högre upp i access-kedjan, injicera kod och spåren pekar tillbaka till den kinesiska hackargruppen APT10.

In all three incidents, the attackers gained access to networks through deployments of Citrix and LogMeIn remote-access software using stolen valid user credentials. The attackers then enumerated access and conducted privilege escalation on the victim networks, utilizing DLL sideloading techniques documented in a US-CERT alert on APT10 to deliver malware. During the Visma intrusion, APT10 deployed their Trochilus malware with command and control (C2) communications encrypted using both RC4 and Salsa20 streaming ciphers rather than the typically observed RC4 variant. On the two other victim networks, the attackers deployed a unique version of the UPPERCUT (ANEL) backdoor, known to have only been used by APT10.

Recorded Future

Visma

Industrispionage

APT10 är kända sedan flera år tillbaka och de anses ingå i det statsstödda kinesiska industrispionaget som riktar sig mot väst.

We believe APT10 is the most significant Chinese state-sponsored cyber threat to global corporations known to date. On top of the breadth, volume, and targets of attacks that APT10 has conducted since at least 2016, we now know that these operations are being run by the Chinese intelligence agency, the Ministry of State Security (MSS).

APT10 tros ha legat bakom en mängd attacker bland annat en stor samlad attack mot flera IT-leverantörer 2017 där bland andra flera svenska företag fanns med och attackerades.

SVT.se

 

0 kommentarer


Mikael Winterkvist

Fyrabarns-far, farfar, morfar och egen företagare i Skellefteå med kliande fingrar. Jag skriver om fotografering, sport, dataprylar, politik, nöje, musik och film. Vid sidan av den här bloggen så jobbar jag med med det egna företaget Winterkvist.com. Familjen består av hustru, fyra barn (utflugna) och fem barnbarn.

Jag har hållit på med datorer sedan tidigt 1980-tal och drev Artic BBS innan Internet knappt existerade. Efter BBS-tiden har det blivit hemsidor, design, digitala medier och trycksaker. Under tiden som journalist jobbade jag med Mac men privat har det varit Windows som har gällt fram till vintern 2007. Då var det dags att byta och då bytte vi, företaget, helt produktionsplattform till macOS. På den vägen är det.

_____________________________________________________________________________________

Anmäl dig till Magasin Mackens nyhetsbrev

Du får förhandsinformation om Macken, våra planer och du får informationen, först och direkt till din mail. Vi lovar att inte skicka din information vidare och vi lovar att inte skicka ut mer än max ett nyhetsbrev per månad.

Anmäl dig här

_____________________________________________________________________________________

De senaste inläggen: