APT41, el actor de amenazas patrocinado por el estado afiliado a China, violó al menos seis redes del gobierno estatal de EE. UU. entre mayo de 2021 y febrero de 2022 al reestructurar sus vectores de ataque para aprovechar las aplicaciones web vulnerables orientadas a Internet.
Las vulnerabilidades explotadas incluyeron «una vulnerabilidad de día cero en la aplicación USAHERDS (CVE-2021-44207), así como el ahora infame día cero en Log4j (CVE-2021-44228)», investigadores de Mandiant dijo en un informe publicado el martes, calificándolo de «campaña deliberada».
Además de los compromisos web, los ataques persistentes también involucraron el uso de armas para explotar la deserialización, la inyección de SQL y las vulnerabilidades de cruce de directorios, señaló la firma de ciberseguridad y respuesta a incidentes.
La prolífica amenaza persistente avanzada, también conocida por los apodos Bario y Winnti, tiene un audio grabado de apuntar a organizaciones en los sectores público y privado para orquestar actividades de espionaje en paralelo con operaciones motivadas financieramente.
A principios de 2020, el grupo se vinculó a una campaña de intrusión global que aprovechó una variedad de exploits que involucraban a Citrix NetScaler/ADC, enrutadores Cisco y Zoho ManageEngine Desktop Central para atacar a docenas de entidades en 20 países con cargas maliciosas.
La última divulgación continúa la tendencia de APT41 de cooptar rápidamente las vulnerabilidades recientemente reveladas, como Log4Shell, para obtener acceso inicial a las redes objetivo de dos gobiernos estatales de EE. UU. junto con las empresas de seguros y telecomunicaciones a las pocas horas de hacerse público.
Las intrusiones continuaron hasta bien entrado febrero de 2022 cuando el equipo de piratería volvió a comprometer a dos víctimas del gobierno estatal de EE. UU. que fueron infiltradas por primera vez en mayo y junio de 2021, «demostrando su incesante deseo de acceder a las redes del gobierno estatal», dijeron los investigadores.
Además, el punto de apoyo establecido después de la explotación de Log4Shell dio como resultado la implementación de una nueva variante de una puerta trasera C++ modular llamada KEYPLUG en sistemas Linux, pero no sin antes realizar un amplio reconocimiento y recolección de credenciales de los entornos de destino.
También se observó durante los ataques un gotero en memoria llamado DUSTPAN (también conocido como sigiloVector) que está orquestado para ejecutar la carga útil de la siguiente etapa, junto con herramientas avanzadas posteriores al compromiso como VIGOTAun cargador de malware que es responsable de iniciar el CLAVE BAJA implante.
La principal variedad de técnicas, métodos de evasión y capacidades utilizadas por APT41 involucró el uso «sustancialmente mayor» de los servicios de Cloudflare para comunicaciones de comando y control (C2) y exfiltración de datos, dijeron los investigadores.
Aunque Mandiant señaló que encontró evidencia de que los adversarios extrajeron información de identificación personal que generalmente está en línea con una operación de espionaje, el objetivo final de la campaña actualmente no está claro.
Los hallazgos también marcan la segunda vez que un grupo de estado-nación chino ha abusado de fallas de seguridad en la omnipresente biblioteca Apache Log4j para penetrar objetivos.
En enero de 2022, Microsoft detalló una campaña de ataque montada por Hafnium, el actor de amenazas detrás de la explotación generalizada de las fallas de Exchange Server hace un año, que utilizó la vulnerabilidad para «atacar la infraestructura de virtualización para ampliar su objetivo típico».
En todo caso, las actividades más recientes son otra señal de un adversario en constante adaptación que es capaz de cambiar sus objetivos y refinar su arsenal de malware para atacar entidades en todo el mundo que son de interés estratégico.
Las operaciones cibernéticas de APT41 contra los sectores de la salud, la alta tecnología y las telecomunicaciones a lo largo de los años han llamado la atención del Departamento de Justicia de los EE. UU., que emitió cargos contra cinco miembros del grupo en 2020, lo que otorgó a los piratas informáticos un lugar entre los cibernéticos más buscados del FBI. lista.
«APT41 puede adaptar rápidamente sus técnicas de acceso inicial al volver a comprometer un entorno a través de un vector diferente, o al poner en funcionamiento rápidamente una nueva vulnerabilidad», dijeron los investigadores. «El grupo también demuestra su voluntad de reorganizar y desplegar capacidades a través de nuevos vectores de ataque en lugar de conservarlos para uso futuro».
En un desarrollo relacionado, el Grupo de Análisis de Amenazas de Google dijo tomó medidas para bloquear una campaña de phishing organizada por otro grupo respaldado por el estado chino rastreado como APT31 (también conocido como Zirconium) el mes pasado que estaba dirigido a «usuarios de Gmail de alto perfil afiliados al gobierno de EE. UU.».