El grupo cibercriminal chino APT40 explota las vulnerabilidades del Día N a un ritmo rápido

El grupo cibercriminal chino APT40 explota las vulnerabilidades del Día N a un ritmo rápido

APT40, un Actor patrocinado por el estado chinoapunta a vulnerabilidades de software recién descubiertas con el objetivo de explotarlas en cuestión de horas, según un aviso conjunto del gobierno.

El aviso, elaborado por la Agencia de Seguridad de Infraestructura y Ciberseguridad, el FBI y la Agencia de Seguridad Nacional de Estados Unidos, así como agencias gubernamentales de Australia, Reino Unido, Canadá, Nueva Zelanda, Alemania, Corea del Sur y Japón, dice el grupo cibernético. organizaciones dirigidas en una variedad de dominios diferentes, utilizando técnicas comúnmente utilizadas por otros actores patrocinados por el estado en China. Por ejemplo, ha atacado repetidamente a las redes australianas y sigue siendo una amenaza constante, advirtieron las agencias.

En lugar de utilizar técnicas que requieren la interacción del usuario, el grupo parece preferir explotar la infraestructura vulnerable y de acceso público y priorizar la obtención de credenciales válidas. A menudo lanza exploits públicos tan pronto como están disponibles, creando una situación de «carrera por parchear» para las organizaciones.

“Es interesante centrarse en la infraestructura pública. Esto demuestra que están buscando el camino de menor resistencia; ¿Por qué molestarse con elaboradas campañas de phishing cuando simplemente puede atacar directamente las vulnerabilidades expuestas? «, explica Tal Mandel Bar, director de producto de DoControl.

APT apunta a errores descubiertos recientemente, pero también tiene muchos exploits más antiguos, dijeron las agencias. Por lo tanto, es necesario implementar un esfuerzo global de gestión de la vulnerabilidad.

“Es imperativo que los equipos de seguridad parcheen rápidamente las vulnerabilidades y estén atentos a los avisos de fuentes confiables, especialmente en el caso de APT40, que se adapta rápidamente. Explotaciones públicas de prueba de concepto (PoC)“”, escribió Darren Guccione, director ejecutivo y cofundador de Keeper Security, en un correo electrónico a Dark Reading. “Dado que este grupo explota regularmente dispositivos vulnerables, al final de su vida útil o que ya no reciben mantenimiento (incluidas vulnerabilidades que se remontan a 2017), es imperativo que las organizaciones actualicen periódicamente su software y apliquen parches lo antes posible. Los dispositivos que ya no reciben mantenimiento o que no pueden repararse rápidamente deben desconectarse. »

Esfuerzos intensivos de reconocimiento del APT40

Según el informe conjunto, APT40 lleva a cabo regularmente operaciones de reconocimiento contra redes de interés, «incluidas redes en los países de las agencias de origen, buscando oportunidades para comprometer sus objetivos». Luego, el grupo implementa shells web para brindar persistencia y se enfoca en extraer información de repositorios confidenciales.

“Los datos robados por APT40 tienen dos propósitos: se utilizan para el espionaje estatal y posteriormente transferido a empresas chinas«escribió Chris Grove, director de estrategia de ciberseguridad de Nozomi Networks, en una declaración enviada por correo electrónico a Dark Reading. «Las organizaciones con datos u operaciones críticas deben tomar en serio estas advertencias gubernamentales y fortalecer sus defensas según los resultados. Una de las capacidades que ayuda a los defensores a rastrear este tipo de amenazas es el sistema avanzado de detección de anomalías, que actúa como un detector de intrusiones para los atacantes que pueden «vivir de la tierra» y evitar implementar malware que revelaría su presencia.

APT40 también evolucionó sus técnicas, utilizando terminales comprometidos, como dispositivos de factor de forma pequeño o de oficina en el hogar (SOHO) para sus operaciones, lo que finalmente permitió a las agencias de derechos de autor rastrear mejor al grupo. Esta táctica, infamemente utilizado por Volt Typhoones uno de los varios aspectos de la actividad del grupo que es similar a otros grupos de amenazas respaldados por China, como Kryptonite Panda, Gingham Typhoon, Leviathan y Bronze Mohawk, señaló el aviso.

En el aviso, las agencias proporcionan técnicas de mitigación para los cuatro tipos principales de tácticas, técnicas y procedimientos (TTP) utilizados por APT40, incluido el acceso inicial, la ejecución, la persistencia y la escalada de privilegios.