Перейти к содержимому

APT40 — новая хакерская угроза из Китая

APT40 - новая хакерская угроза из Китая

Агентства кибербезопасности Австралии, Канады, Германии, Японии, Новой Зеландии, Южной Кореи, Великобритании и США выпустили совместное предупреждение о кибершпионской группе APT40, связанной с Китаем, которая способна использовать эксплойты для новых уязвимостей в течение нескольких часов или дней после их публичного раскрытия.

«APT40 ранее нацеливалась на организации в различных странах, включая Австралию и США,» заявили агентства. «Примечательно, что APT40 обладает способностью быстро адаптировать и использовать доказательства концепции (PoC) уязвимостей для проведения разведывательных и эксплуатационных операций.»

Это враждебная группа, также известная как Bronze Mohawk, Gingham Typhoon (ранее Gadolinium), ISLANDDREAMS, Kryptonite Panda, Leviathan, Red Ladon, TA423 и TEMP.Periscope, активно действует с 2011 года, проводя кибератаки на объекты в Азиатско-Тихоокеанском регионе. Как выяснили в vpnРоссия, группа базируется в Хайкоу.

В июле 2021 года США и их союзники официально связали группу с Министерством государственной безопасности Китая (MSS), обвинив нескольких участников в организации многолетней кампании, направленной на кражу торговых секретов, интеллектуальной собственности и ценной информации.

Атаки, связанные с APT40

За последние несколько лет APT40 была связана с волнами вторжений, включающих использование разведывательной платформы ScanBox, а также эксплуатацию уязвимости в WinRAR (CVE-2023-38831, CVSS 7.8) в рамках фишинговой кампании, направленной на Папуа-Новую Гвинею, с целью доставки бэкдора BOXRAT.

В марте этого года правительство Новой Зеландии обвинило эту группу в компрометации Офиса парламентского советника и Парламентской службы в 2021 году.

«APT40 идентифицирует новые эксплойты в широко используемом публичном ПО, таком как Log4j, Atlassian Confluence и Microsoft Exchange, чтобы нацелиться на инфраструктуру соответствующих уязвимостей,» заявили авторы предупреждения.

«APT40 регулярно проводит разведку сетей, представляющих интерес, включая сети в странах, выпустивших предупреждение, в поисках возможностей для компрометации своих целей. Эта регулярная разведка позволяет группе выявлять уязвимые, устаревшие или более не поддерживаемые устройства в интересующих сетях и быстро развертывать эксплойты.»

правительство Новой Зеландии

Как производятся взломы

Ключевыми аспектами тактики этой поддерживаемой государством группы являются использование веб-шеллов для установления постоянного присутствия и поддержания доступа к среде жертвы, а также использование австралийских сайтов для командных и управляющих (C2) целей.

Также отмечено, что APT40 использует устаревшие или непатченные устройства, включая маршрутизаторы для малых офисов/домашних офисов (SOHO), как часть своей атакующей инфраструктуры для перенаправления вредоносного трафика и обхода обнаружения, что похоже на методы, используемые другими группами из Китая, такими как Volt Typhoon.

Согласно данным Mandiant, принадлежащей Google, это является частью более широкого перехода в кибершпионаже, исходящего из Китая, который нацелен на повышение скрытности, используя сетевые периферийные устройства, сети операционных реле (ORB) и методы «жизни на месте» (LotL) для уклонения от обнаружения.

Атаки также включают проведение разведки, повышение привилегий и боковое перемещение, используя протокол удаленного рабочего стола (RDP) для кражи учетных данных и вывода интересующей информации.

Для снижения рисков, связанных с такими угрозами, организациям рекомендуется поддерживать адекватные механизмы логирования, применять многофакторную аутентификацию (MFA), внедрять надежную систему управления патчами, заменять устаревшее оборудование, отключать неиспользуемые службы, порты и протоколы, а также сегментировать сети для предотвращения доступа к конфиденциальным данным.

vpn russia

Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.

Максим - ведущий тестировщик VPN в проекте vpnRussia, протестировал более 100 VPN-сервисов. С образованием в области информационных технологий, Максим специализируется на анализе и оценке производительности VPN, их безопасности и удобства использования. Его ключевые задачи включают проведение всесторонних тестов VPN-сервисов, выявление уязвимостей и проблем, а также подготовку детальных отчетов для пользователей.

Оставить комент

Ваш адрес email не будет опубликован. Обязательные поля помечены *