Grupul de hackeri chinezi APT40, cunoscut și sub numele de Kryptonite Panda, GINGHAM TYPHOON, Leviathan și Bronze Mohawk, a fost avertizat de agențiile internaționale de securitate cibernetică și de aplicarea legii cu privire la tactici utilizate pentru preluarea controlului routerelor SOHO pentru a lansa atacuri de cyber-spionaj.
Acest grup, activ din cel puțin 2011, a vizat organizațiile guvernamentale și entitățile private cheie din SUA și Australia.
APT40 a fost conectat anterior la o serie de atacuri care au vizat peste 250.000 de servere Microsoft Exchange folosind vulnerabilitățile ProxyLogon și campanii care implicau exploatarea defectelor în software-ul larg utilizat, cum ar fi WinRAR.
Autoritățile de securitate cibernetică și agențiile guvernamentale din Australia, Statele Unite, Regatul Unit, Canada, Noua Zeelandă, Germania, Coreea și Japonia au avertizat că APT40 exploatează vulnerabilități în infrastructura publică și dispozitivele de rețea de margine în loc de interacțiunea umană, cum ar fi e-mailurile de pescuit și ingineria socială.
Actorii de amenințare sunt cunoscuți pentru exploatarea rapidă a unor noi vulnerabilități pe măsură ce sunt divulgate public, cu avertizarea care evidențiază defectele în Log4J, Atlassian Confluence și Microsoft Exchange ca exemple.
„În mod remarcabil, APT40 deține capacitatea de a transforma rapid și de a adapta conceptele de dovadă a exploatării (POC-uri) ale noilor vulnerabilități și de a le utiliza imediat împotriva rețelelor țintă care dețin infrastructura vulnerabilității asociate,” se arată în avertizarea comună redactată de ACSC din Australia.
„APT40 efectuează în mod regulat recunoașteri împotriva rețelelor de interes, inclusiv rețele din țările agențiilor care redactează, căutând oportunități de compromitere a țintelor sale.”
După ce pătrund într-un server sau dispozitiv de rețea, hackerii chinezi implementează coji web pentru persistență folosind Secure Socket Funnelling și apoi folosesc acreditări valabile capturate prin Kerberoasting împreună cu RDP pentru mișcarea laterală printr-o rețea.
Din interes special, actorii de amenințare pătrund adesea în routerele de mici dimensiuni/de uz casnic (SOHO) de sfârșit de viață folosind vulnerabilități N-day și le preiau controlul pentru a acționa ca infrastructură operațională. Aceste dispozitive preluate acționează ca proxy-uri de rețea folosite de APT40 pentru a lansa atacuri, amestecându-se cu traficul legitim care provine de la routerul preluat.
Alte grupuri chineze APT sunt cunoscute și pentru utilizarea rețelelor de cutii de releu operaționale (ORBs), care sunt formate din routere EoL preluate și dispozitive IoT. Aceste plase de proxy sunt administrate de infractori cibernetici independenți care oferă acces la mai mulți actori sponsorizați de stat (APTs) pentru a face proxy de trafic rău intenționat.
În faza finală a atacurilor de cyber-spionaj, APT40 accesează partajările SMB și exfiltează date către un server de comandă și control (C2) în timp ce elimină jurnalele de evenimente și implementă software pentru a menține o prezență furtunoasă în rețeaua compromisă.
Avertizarea conține două studii de caz din 2022, care servesc ca exemple bune pentru evidențierea tacticilor și procedurilor APT40.
În primul caz, întins pe perioada iulie-septembrie 2022, APT40 a exploatat o aplicație web personalizată pentru a stabili un punct de sprijin în rețeaua unei organizații australiene.
Folosind coji web, au efectuat recunoașteri de rețea, au accesat Active Directory și au exfiltrat date sensibile, inclusiv acreditări privilegiate.
Al doilea studiu de caz se referă la un incident care a avut loc între aprilie și mai 2022, când APT40 a compromis o organizație prin exploatarea defectelor RCE pe un portal de conectare de acces la distanță.
Au implementat coji web, au capturat sute de perechi de nume de utilizator-parolă, coduri MFA și jeton JSON (JWT), și au escaladat în cele din urmă privilegiile lor pentru a extrage un server SQL intern.
Avertizarea oferă o serie de recomandări pentru a atenua și a se apăra împotriva lui APT40 și a amenințărilor cibernetice sponsorizate de stat similare, inclusiv căile de fișiere cunoscute utilizate de actorii de amenințare pentru a implementa instrumente și malware.
Recomandările de apărare evidențiază utilizarea unei aplicații rapide a patch-urilor, a jurnalizării cuprinzătoare și a segmentării rețelei.
În plus, se recomandă dezactivarea porturilor și serviciilor neutilizate, utilizarea firewall-urilor de aplicații web (WAFs), impunerea principiului celui mai mic privilegiu, utilizarea autentificării multifactoriale (MFA) pentru serviciile de acces la distanță, și înlocuirea echipamentelor de sfârșit de viață (EoL).
Înlocuirea echipamentelor de rețea de margine EoL este o prioritate deoarece aceste tipuri de dispozitive sunt destinate să fie expuse publicului, iar dacă nu mai primesc patch-uri, devin o țintă valoroasă pentru toate tipurile de actori de amenințare.
Leave a Reply