A kiberbiztonsági ügynökségek az APT40 támadásaira figyelmeztetnek

Ausztrália, Kanada, Németország, Japán, Új-Zéland, Dél-Korea, az Egyesült Királyság és az Egyesült Államok kiberbiztonsági szervei közös tanácsadást adtak ki az APT40 nevű, Kínához köthető kiberkémkedő csoportról, amelyben arra figyelmeztetnek, hogy a csoport az újonnan nyilvánosságra hozott biztonsági hibákat képes a nyilvánosságra hozatalt követő órákon vagy napokon belül kihasználni.

A Bronze Mohawk, Gingham Typhoon (korábban Gadolinium), ISLANDDREAMS, Kryptonite Panda, Leviathan, Red Ladon, TA423 és TEMP.Periscope néven is ismert csoport legalább 2013 óta aktív, és feltételezések szerint Haikou-ban van a székhelye.

2021 júliusában az Egyesült Államok és szövetségesei hivatalosan a kínai állambiztonsági minisztériumhoz kötötték a csoportot, és vádat emeltek a hackercsapat több tagja ellen, akik egy többéves, különböző szektorokat célzó kampányt során próbáltak üzleti titkokat, szellemi tulajdont és nagy értékű információt ellopni.

Az elmúlt néhány évben az APT40, egy Pápua Új-Guineát célzó adathalász kampány során a ScanBox felderítő frameworköt, valamint a WinRAR hibáját (CVE-2023-38831) kihasználva, egy BOXRAT nevű backdoort telepített.

2024. március elején az új-zélandi kormány az APT40-et gyanúsította a Parlamenti Tanácsadó Iroda és a Parlamenti Szolgálat 2021-es kompromittálásával.

Az APT40 rendszeresen felderítést végez az érdeklődési körébe tartozó hálózatokon és lehetőségeket keres a célpontjai kompromittálására sebezhető, lejárt élettartamú vagy már nem karbantartott eszközök azonosításával és gyorsan telepített exploitokkal.

Az államilag támogatott hackercsoport által alkalmazott eszközök között említésre méltó a webes shellek alkalmazása a perzisztencia kialakítása érdekében, valamint az ausztrál weboldalak használata C2 célokra. Megfigyelték azt is, hogy elavult vagy javítatlan eszközöket, köztük kis irodai/otthoni irodai routereket is beépít a támadási infrastruktúrájába, hogy megpróbálja átirányítani a rosszindulatú forgalmat és elkerülni a felderítést, ami hasonló működési folyamat, mint amit más kínai székhelyű csoportok, például a Volt Typhoon használ.

A Mandiant szerint ez része a Kínából kiinduló kiberkémkedési tevékenység szélesebb körű átalakulásának, amelynek célja a rejtőzködés előtérbe helyezése a hálózati peremeszközök, az ORB hálózatok és a LotL technikák egyre nagyobb mértékű fegyverként való felhasználásával. Továbbá felderítési, jogosultság emelési és oldalirányú mozgási tevékenységeket végeznek a távoli asztali protokoll (RDP) segítségével.

Az ilyen fenyegetések által jelentett kockázatok csökkentése érdekében a szervezeteknek ajánlott megfelelő naplózási mechanizmusokat fenntartaniuk, többfaktoros hitelesítést (MFA) használniuk, patchelési rendszert bevezetniük, az elavult eszközöket lecserélniük, a nem használt szolgáltatásokat, portokat és protokollokat letiltaniuk, valamint a hálózatokat szegmentálniuk az érzékeny adatokhoz való hozzáférés megakadályozzása érdekében.

(thehackernews.com)