Mandiant: Chińscy hakerzy z grupy APT41 włamali się do co najmniej 6 administracji stanowych w USA

APT41, sponsorowany przez państwo podmiot zajmujący się zagrożeniami powiązany z Chinami, włamał się do co najmniej sześciu sieci rządowych Stanów Zjednoczonych w okresie od maja 2021 r. do lutego 2022 r., przestawiając swoje wektory ataków w celu wykorzystania podatnych na ataki aplikacji internetowych.

Wykorzystane luki w zabezpieczeniach obejmowały „lukę dnia zerowego w aplikacji USAHERDS ( CVE-2021-44207 ), a także niesławną obecnie lukę dnia zerowego w Log4j ( CVE-2021-44228 )”, poinformowali badacze z Mandiant w raporcie opublikowanym we wtorek. , nazywając to „celową kampanią”.

Firma zajmująca się cyberbezpieczeństwem i reagowaniem na incydenty zauważyła, że ​​poza włamaniami do sieci, uporczywe ataki obejmowały również wykorzystywanie exploitów, takich jak deserializacja , wstrzykiwanie SQL i podatność na przechodzenie katalogów .

Płodne , zaawansowane, trwałe zagrożenie, znane również pod pseudonimami Barium i Winnti, ma doświadczenie w atakowaniu organizacji zarówno w sektorze publicznym, jak i prywatnym w celu organizowania działań szpiegowskich równolegle z operacjami motywowanymi finansowo.

Na początku 2020 r. grupa została powiązana z globalną kampanią włamań, która wykorzystywała różne exploity obejmujące Citrix NetScaler/ADC, routery Cisco i Zoho ManageEngine Desktop Central, aby zaatakować dziesiątki podmiotów w 20 krajach szkodliwymi ładunkami.

Najnowsze ujawnienie kontynuuje trend APT41, który szybko dokooptuje nowo ujawnione luki w zabezpieczeniach, takie jak Log4Shell, w celu uzyskania wstępnego dostępu do sieci docelowych, w tym dwóch rządów stanowych USA oraz firm ubezpieczeniowych i telekomunikacyjnych, w ciągu kilku godzin od upublicznienia tego faktu.

Włamania trwały aż do lutego 2022 roku, kiedy ekipa hakerska ponownie skompromitowała dwie ofiary rządu stanowego USA, które zostały zinfiltrowane po raz pierwszy w maju i czerwcu 2021 roku, „demonstrując ich nieustanną chęć uzyskania dostępu do sieci rządu stanowego” – powiedzieli naukowcy.

Co więcej, przyczółek ustanowiony po wykorzystaniu Log4Shell zaowocował wdrożeniem nowego wariantu modułowego backdoora C++ o nazwie KEYPLUG w systemach Linux, ale nie przed przeprowadzeniem rozległego rozpoznania i zbierania poświadczeń w środowiskach docelowych.

Podczas ataków zaobserwowano również dropper w pamięci o nazwie DUSTPAN (znany również jako StealthVector ), który został zaaranżowany w celu wykonania następnego ładunku, wraz z zaawansowanymi narzędziami post-kompromisowymi, takimi jak DEADEYE , program ładujący złośliwe oprogramowanie, który jest odpowiedzialny za uruchomienie implantu LOWKEY .

Naukowcy twierdzą, że główny z wielu różnych technik, metod unikania i możliwości wykorzystywanych przez APT41 obejmował „znacznie zwiększone” wykorzystanie usług Cloudflare do komunikacji dowodzenia i kontroli (C2) oraz eksfiltracji danych.

Chociaż Mandiant zauważył, że znalazł dowody na to, że przeciwnicy wykradli informacje umożliwiające identyfikację osób, które zwykle są zgodne z operacją szpiegowską, ostateczny cel kampanii jest obecnie niejasny.

Odkrycia oznaczają również drugi przypadek, w którym chińska grupa państw narodowych wykorzystała luki w zabezpieczeniach wszechobecnej biblioteki Apache Log4j do penetracji celów.

W styczniu 2022 r. Microsoft szczegółowo opisał kampanię ataków zorganizowaną przez Hafnium – podmiot zajmujący się zagrożeniami stojący za szeroko zakrojonym wykorzystywaniem luk Exchange Server rok temu – który wykorzystał tę lukę do „atakowania infrastruktury wirtualizacji w celu rozszerzenia ich typowego namierzania”.

Jeśli już, to najnowsze działania są kolejną oznaką stale dostosowującego się przeciwnika, który jest w stanie zmieniać cele, a także udoskonalać swój arsenał złośliwego oprogramowania, aby atakować podmioty na całym świecie, które są w strategicznym interesie.

Nieustanne działania tego aktora przeciwko sektorom opieki zdrowotnej, zaawansowanym technologiom i telekomunikacji na przestrzeni lat zwróciły uwagę Departamentu Sprawiedliwości Stanów Zjednoczonych, który w 2020 r. wydał zarzuty pięciu członkom grupy, umieszczając hakerów w cyberprzestrzeni FBI.

„APT41 może szybko dostosować swoje początkowe techniki dostępu poprzez ponowne narażenie środowiska za pomocą innego wektora lub poprzez szybką operacjonalizację nowej luki” – powiedzieli naukowcy. „Grupa demonstruje również chęć przezbrojenia i wdrażania możliwości za pomocą nowych wektorów ataku, w przeciwieństwie do trzymania ich na przyszłość”.

W ramach powiązanego rozwoju, Grupa Analizy Zagrożeń Google poinformowała , że ​​podjęła kroki w celu zablokowania kampanii phishingowej zorganizowanej przez inną chińską grupę wspieraną przez państwo, oznaczone jako APT31 (aka Zirconium) w zeszłym miesiącu, która miała na celu ataki na ,,użytkowników Gmaila powiązanych z rządem USA. “

Tagi:

Podziel się postem :)

Najnowsze:

Militaria

Wyrzutnie rakietowe HIMARS już w Ukrainie. Zobacz je w akcji!

Jak poinformował ukraiński rząd, pierwsze systemy artylerii rakietowej HIMARS są już w rękach ukraińskich żołnierzy. Broń trafiła tam w ramach pomocy wojskowej Stanów Zjednoczonych i w sieci pojawiło się już nagranie rzekomo prezentujące je w akcji.

Mobilne

Aplikacje, które pomogą uniknąć mandatu podczas wakacji. Poznaj je!

Zbliżające się wakacje wiążą się z wyjazdami, a wiele osób decyduje się na podróż własnym autem. Warto jednak mieć na uwadzę, że rok 2022 stoi pod znakiem podwyżek i dotyczy to również kar za przekroczenie prędkości na polskich drogach. O “mandatach grozy” z pewnością usłyszymy tego lata wielokrotnie, a dzięki tym aplikacjom kierowcy z wyprzedzeniem dostaną informację o najbliższych fotoradarach.

Oprogramowanie

W jakim stopniu przeglądarki są dziś zgodne ze standardem HTML?

Dyskusje na temat zgodności przeglądarek z HTML5 całkowicie ucichły. Wróciliśmy do sytuacji sprzed dwóch dekad, gdy rozpatrywano jedynie zgodność stron z przeglądarką, a nie standardem. Czyżby wszyscy byli już zgodni z HTML5?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.