Mandiant: Chińscy hakerzy z grupy APT41 włamali się do co najmniej 6 administracji stanowych w USA

APT41, sponsorowany przez państwo podmiot zajmujący się zagrożeniami powiązany z Chinami, włamał się do co najmniej sześciu sieci rządowych Stanów Zjednoczonych w okresie od maja 2021 r. do lutego 2022 r., przestawiając swoje wektory ataków w celu wykorzystania podatnych na ataki aplikacji internetowych.

Wykorzystane luki w zabezpieczeniach obejmowały „lukę dnia zerowego w aplikacji USAHERDS ( CVE-2021-44207 ), a także niesławną obecnie lukę dnia zerowego w Log4j ( CVE-2021-44228 )”, poinformowali badacze z Mandiant w raporcie opublikowanym we wtorek. , nazywając to „celową kampanią”.

Firma zajmująca się cyberbezpieczeństwem i reagowaniem na incydenty zauważyła, że ​​poza włamaniami do sieci, uporczywe ataki obejmowały również wykorzystywanie exploitów, takich jak deserializacja , wstrzykiwanie SQL i podatność na przechodzenie katalogów .

Płodne , zaawansowane, trwałe zagrożenie, znane również pod pseudonimami Barium i Winnti, ma doświadczenie w atakowaniu organizacji zarówno w sektorze publicznym, jak i prywatnym w celu organizowania działań szpiegowskich równolegle z operacjami motywowanymi finansowo.

Na początku 2020 r. grupa została powiązana z globalną kampanią włamań, która wykorzystywała różne exploity obejmujące Citrix NetScaler/ADC, routery Cisco i Zoho ManageEngine Desktop Central, aby zaatakować dziesiątki podmiotów w 20 krajach szkodliwymi ładunkami.

Najnowsze ujawnienie kontynuuje trend APT41, który szybko dokooptuje nowo ujawnione luki w zabezpieczeniach, takie jak Log4Shell, w celu uzyskania wstępnego dostępu do sieci docelowych, w tym dwóch rządów stanowych USA oraz firm ubezpieczeniowych i telekomunikacyjnych, w ciągu kilku godzin od upublicznienia tego faktu.

Włamania trwały aż do lutego 2022 roku, kiedy ekipa hakerska ponownie skompromitowała dwie ofiary rządu stanowego USA, które zostały zinfiltrowane po raz pierwszy w maju i czerwcu 2021 roku, „demonstrując ich nieustanną chęć uzyskania dostępu do sieci rządu stanowego” – powiedzieli naukowcy.

Co więcej, przyczółek ustanowiony po wykorzystaniu Log4Shell zaowocował wdrożeniem nowego wariantu modułowego backdoora C++ o nazwie KEYPLUG w systemach Linux, ale nie przed przeprowadzeniem rozległego rozpoznania i zbierania poświadczeń w środowiskach docelowych.

Podczas ataków zaobserwowano również dropper w pamięci o nazwie DUSTPAN (znany również jako StealthVector ), który został zaaranżowany w celu wykonania następnego ładunku, wraz z zaawansowanymi narzędziami post-kompromisowymi, takimi jak DEADEYE , program ładujący złośliwe oprogramowanie, który jest odpowiedzialny za uruchomienie implantu LOWKEY .

Naukowcy twierdzą, że główny z wielu różnych technik, metod unikania i możliwości wykorzystywanych przez APT41 obejmował „znacznie zwiększone” wykorzystanie usług Cloudflare do komunikacji dowodzenia i kontroli (C2) oraz eksfiltracji danych.

Chociaż Mandiant zauważył, że znalazł dowody na to, że przeciwnicy wykradli informacje umożliwiające identyfikację osób, które zwykle są zgodne z operacją szpiegowską, ostateczny cel kampanii jest obecnie niejasny.

Odkrycia oznaczają również drugi przypadek, w którym chińska grupa państw narodowych wykorzystała luki w zabezpieczeniach wszechobecnej biblioteki Apache Log4j do penetracji celów.

W styczniu 2022 r. Microsoft szczegółowo opisał kampanię ataków zorganizowaną przez Hafnium – podmiot zajmujący się zagrożeniami stojący za szeroko zakrojonym wykorzystywaniem luk Exchange Server rok temu – który wykorzystał tę lukę do „atakowania infrastruktury wirtualizacji w celu rozszerzenia ich typowego namierzania”.

Jeśli już, to najnowsze działania są kolejną oznaką stale dostosowującego się przeciwnika, który jest w stanie zmieniać cele, a także udoskonalać swój arsenał złośliwego oprogramowania, aby atakować podmioty na całym świecie, które są w strategicznym interesie.

Nieustanne działania tego aktora przeciwko sektorom opieki zdrowotnej, zaawansowanym technologiom i telekomunikacji na przestrzeni lat zwróciły uwagę Departamentu Sprawiedliwości Stanów Zjednoczonych, który w 2020 r. wydał zarzuty pięciu członkom grupy, umieszczając hakerów w cyberprzestrzeni FBI.

„APT41 może szybko dostosować swoje początkowe techniki dostępu poprzez ponowne narażenie środowiska za pomocą innego wektora lub poprzez szybką operacjonalizację nowej luki” – powiedzieli naukowcy. „Grupa demonstruje również chęć przezbrojenia i wdrażania możliwości za pomocą nowych wektorów ataku, w przeciwieństwie do trzymania ich na przyszłość”.

W ramach powiązanego rozwoju, Grupa Analizy Zagrożeń Google poinformowała , że ​​podjęła kroki w celu zablokowania kampanii phishingowej zorganizowanej przez inną chińską grupę wspieraną przez państwo, oznaczone jako APT31 (aka Zirconium) w zeszłym miesiącu, która miała na celu ataki na ,,użytkowników Gmaila powiązanych z rządem USA. „

Podziel się postem:

Najnowsze:

Mobilne

Gemini Live już dostępne po polsku!

Google nieustannie rozwija swoje produkty i usługi, a jednym z najciekawszych jest Gemini – zaawansowany model sztucznej inteligencji, który oferuje szeroki wachlarz możliwości. Od niedawna Gemini Live, czyli funkcja umożliwiająca swobodną rozmowę z AI, jest dostępna w języku polskim! Co to oznacza dla polskich użytkowników i jak można wykorzystać tę nową funkcjonalność?

Bezpieczeństwo

Luka w zabezpieczeniach BitLockera w Windows 11: Czy Twoje dane są bezpieczne?

Szyfrowanie dysków to jedna z podstawowych metod ochrony danych w erze cyfrowej. Użytkownicy systemów Windows często korzystają z wbudowanego narzędzia BitLocker, aby zabezpieczyć swoje poufne informacje przed niepowołanym dostępem. Jednak ostatnie doniesienia z Chaos Communication Congress (CCC) w Niemczech wskazują na poważną lukę w zabezpieczeniach BitLockera w systemie Windows 11, która może narazić dane użytkowników na ryzyko.

Bezpieczeństwo

Złamanie Enigmy: Przełomowy moment w historii kryptologii

Złamanie szyfru Enigmy przez polskich kryptologów na przełomie grudnia 1932 i stycznia 1933 roku to jedno z najważniejszych wydarzeń w historii kryptologii i II wojny światowej. Ten artykuł skupia się na wydarzeniach z tego okresu, które doprowadziły do przełomowego momentu w dekryptażu niemieckiej maszyny szyfrującej. Niemcy, przekonani o niemożliwości złamania Enigmy, używali jej do zabezpieczania tajnej korespondencji wojskowej i dyplomatycznej. Sukces polskich matematyków, Mariana Rejewskiego, Jerzego Różyckiego i Henryka Zygalskiego, dał aliantom ogromną przewagę, umożliwiając odczytywanie niemieckich komunikatów i przewidywanie ich ruchów.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *