Tin tặc APT41 do Trung Quốc hậu thuẫn đã nhắm mục tiêu vào 13 tổ chức trên toàn thế giới vào năm ngoái

APT41 do Trung Quốc hậu thuẫn

Mối đe dọa dai dẳng nâng cao của Trung Quốc (APT) được theo dõi là Winnti (hay còn gọi là APT41) đã nhắm mục tiêu vào ít nhất 13 tổ chức trải dài về mặt địa lý trên khắp Hoa Kỳ, Đài Loan, Ấn Độ, Việt Nam và Trung Quốc trong bối cảnh bốn chiến dịch khác nhau vào năm 2021.

“Các ngành công nghiệp được nhắm mục tiêu bao gồm khu vực công, sản xuất, chăm sóc sức khỏe, hậu cần, khách sạn, giáo dục, cũng như truyền thông và hàng không”, công ty Group-IB cho biết trong một báo cáo được chia sẻ với The Hacker News.

Điều này cũng bao gồm cuộc tấn công vào Air India được đưa ra ánh sáng vào tháng 6 năm 2021 như một phần của chiến dịch có mật danh ColunmTK. Ba chiến dịch khác đã được gán các biệt danh DelayLinkTK, Mute-Pond và Gentle-Voice dựa trên các tên miền được sử dụng trong các cuộc tấn công.

APT41, còn được gọi là Barium, Bronze Atlas, Double Dragon, Wicked Panda, hoặc Winnti, là một nhóm mối đe dọa mạng phong phú của Trung Quốc được biết là thực hiện hoạt động gián điệp do nhà nước bảo trợ song song với các hoạt động có động cơ tài chính ít nhất kể từ năm 2007.

Tin tặc APT41

Mô tả năm 2021 là một “năm dữ dội đối với APT41”, các cuộc tấn công do kẻ thù gắn kết chủ yếu liên quan đến việc tận dụng việc tiêm SQL vào các miền được nhắm mục tiêu làm vectơ truy cập ban đầu để xâm nhập vào mạng nạn nhân, tiếp theo là cung cấp đèn hiệu Cobalt Strike tùy chỉnh vào các điểm cuối.

Xem tiếp:   Cảnh báo của CISA về các Flaws bị khai thác tích cực trong Nền tảng giám sát mạng Zabbix

Các nhà nghiên cứu cho biết: “Các thành viên APT41 thường sử dụng phương pháp lừa đảo, khai thác các lỗ hổng khác nhau (bao gồm cả Proxylogon) và tiến hành các cuộc tấn công lỗ hổng hoặc chuỗi cung ứng để gây tổn hại ban đầu cho nạn nhân của họ,” các nhà nghiên cứu cho biết.

Các hành động khác được thực hiện sau khai thác bao gồm việc thiết lập sự bền bỉ cho đến đánh cắp thông tin xác thực và tiến hành trinh sát thông qua các kỹ thuật sống ngoài đất liền (LotL) để thu thập thông tin về môi trường bị xâm phạm và di chuyển ngang qua mạng.

Công ty có trụ sở tại Singapore cho biết họ đã xác định được 106 máy chủ Cobalt Strike duy nhất được APT41 sử dụng độc quyền từ đầu năm 2020 đến cuối năm 2021 để ra lệnh và kiểm soát. Hầu hết các máy chủ không còn hoạt động.

Các phát hiện đánh dấu việc tiếp tục lạm dụng khung mô phỏng đối thủ hợp pháp của các tác nhân đe dọa khác nhau cho các hoạt động độc hại sau xâm nhập.

Nikita Rostovtsev, Nhà phân tích mối đe dọa của Group-IB, cho biết: “Trước đây, công cụ này được đánh giá cao bởi các băng nhóm nhắm mục tiêu vào các ngân hàng, trong khi ngày nay, nó phổ biến với các tác nhân đe dọa khác nhau bất kể động cơ của chúng là gì, bao gồm cả các nhà điều hành khét tiếng”.

Xem tiếp:   Tin tặc APT41 Trung Quốc xâm nhập ít nhất 6 chính quyền tiểu bang của Hoa Kỳ: Mandiant

.

Related Posts

Check Also

Tin tặc sử dụng ứng dụng OAuth độc hại để chiếm dụng máy chủ email

Hôm thứ Năm, Microsoft đã cảnh báo về một cuộc tấn công đối mặt với …