Агентства кибербезопасности Австралии, Канады, Германии, Японии, Новой Зеландии, Южной Кореи, Великобритании и США выпустили совместное предупреждение о кибершпионской группе APT40, связанной с Китаем, которая способна использовать эксплойты для новых уязвимостей в течение нескольких часов или дней после их публичного раскрытия.
«APT40 ранее нацеливалась на организации в различных странах, включая Австралию и США,» заявили агентства. «Примечательно, что APT40 обладает способностью быстро адаптировать и использовать доказательства концепции (PoC) уязвимостей для проведения разведывательных и эксплуатационных операций.»
Это враждебная группа, также известная как Bronze Mohawk, Gingham Typhoon (ранее Gadolinium), ISLANDDREAMS, Kryptonite Panda, Leviathan, Red Ladon, TA423 и TEMP.Periscope, активно действует с 2011 года, проводя кибератаки на объекты в Азиатско-Тихоокеанском регионе. Как выяснили в vpnРоссия, группа базируется в Хайкоу.
В июле 2021 года США и их союзники официально связали группу с Министерством государственной безопасности Китая (MSS), обвинив нескольких участников в организации многолетней кампании, направленной на кражу торговых секретов, интеллектуальной собственности и ценной информации.
Атаки, связанные с APT40
За последние несколько лет APT40 была связана с волнами вторжений, включающих использование разведывательной платформы ScanBox, а также эксплуатацию уязвимости в WinRAR (CVE-2023-38831, CVSS 7.8) в рамках фишинговой кампании, направленной на Папуа-Новую Гвинею, с целью доставки бэкдора BOXRAT.
В марте этого года правительство Новой Зеландии обвинило эту группу в компрометации Офиса парламентского советника и Парламентской службы в 2021 году.
«APT40 идентифицирует новые эксплойты в широко используемом публичном ПО, таком как Log4j, Atlassian Confluence и Microsoft Exchange, чтобы нацелиться на инфраструктуру соответствующих уязвимостей,» заявили авторы предупреждения.
«APT40 регулярно проводит разведку сетей, представляющих интерес, включая сети в странах, выпустивших предупреждение, в поисках возможностей для компрометации своих целей. Эта регулярная разведка позволяет группе выявлять уязвимые, устаревшие или более не поддерживаемые устройства в интересующих сетях и быстро развертывать эксплойты.»
правительство Новой Зеландии
Как производятся взломы
Ключевыми аспектами тактики этой поддерживаемой государством группы являются использование веб-шеллов для установления постоянного присутствия и поддержания доступа к среде жертвы, а также использование австралийских сайтов для командных и управляющих (C2) целей.
Также отмечено, что APT40 использует устаревшие или непатченные устройства, включая маршрутизаторы для малых офисов/домашних офисов (SOHO), как часть своей атакующей инфраструктуры для перенаправления вредоносного трафика и обхода обнаружения, что похоже на методы, используемые другими группами из Китая, такими как Volt Typhoon.
Согласно данным Mandiant, принадлежащей Google, это является частью более широкого перехода в кибершпионаже, исходящего из Китая, который нацелен на повышение скрытности, используя сетевые периферийные устройства, сети операционных реле (ORB) и методы «жизни на месте» (LotL) для уклонения от обнаружения.
Атаки также включают проведение разведки, повышение привилегий и боковое перемещение, используя протокол удаленного рабочего стола (RDP) для кражи учетных данных и вывода интересующей информации.
Для снижения рисков, связанных с такими угрозами, организациям рекомендуется поддерживать адекватные механизмы логирования, применять многофакторную аутентификацию (MFA), внедрять надежную систему управления патчами, заменять устаревшее оборудование, отключать неиспользуемые службы, порты и протоколы, а также сегментировать сети для предотвращения доступа к конфиденциальным данным.
Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.
Максим - ведущий тестировщик VPN в проекте vpnRussia, протестировал более 100 VPN-сервисов. С образованием в области информационных технологий, Максим специализируется на анализе и оценке производительности VPN, их безопасности и удобства использования. Его ключевые задачи включают проведение всесторонних тестов VPN-сервисов, выявление уязвимостей и проблем, а также подготовку детальных отчетов для пользователей.