Tin tặc APT41 Trung Quốc xâm nhập ít nhất 6 chính quyền tiểu bang của Hoa Kỳ: Mandiant

APT41, tác nhân đe dọa được nhà nước bảo trợ có liên kết với Trung Quốc, đã xâm phạm ít nhất sáu mạng của chính phủ tiểu bang Hoa Kỳ từ tháng 5 năm 2021 đến tháng 2 năm 2022 bằng cách trang bị lại các vectơ tấn công của nó để tận dụng các ứng dụng web dễ bị tấn công.

Các lỗ hổng bị khai thác bao gồm “lỗ hổng zero-day trong ứng dụng USAHERDS (CVE-2021-44207) cũng như zero-day nổi tiếng hiện nay trong Log4j (CVE-2021-44228)”, các nhà nghiên cứu từ Mandiant cho biết trong một báo cáo được công bố hôm thứ Ba. , gọi nó là một “chiến dịch có chủ ý”.

Bên cạnh các vụ xâm phạm web, các cuộc tấn công dai dẳng cũng liên quan đến việc vũ khí hóa khai thác quá trình giải , chèn SQL và các lỗ hổng truyền tải thư mục, công ty ứng phó sự cố và an ninh mạng lưu ý.

Mối đe dọa dai dẳng tiên tiến sung mãn, còn được gọi với biệt danh Barium và Winnti, có thành tích nhắm mục tiêu vào các tổ chức ở cả khu vực công và tư để điều phối hoạt động gián điệp song song với các hoạt động có động cơ tài chính.

Vào đầu năm 2020, nhóm được liên kết với một chiến dịch xâm nhập toàn cầu sử dụng nhiều cách khai thác liên quan đến Citrix NetScaler / ADC, bộ định tuyến của Cisco và Zoho Desktop Central để tấn công hàng chục thực thể ở 20 quốc gia bằng các trọng tải độc hại.

Xem tiếp:   Các nhà nghiên cứu cảnh báo người dùng Iran về các chiến dịch lừa đảo qua SMS lan rộng

Tiết lộ mới nhất tiếp tục xu hướng APT41 nhanh chóng đồng chọn các lỗ hổng mới được tiết lộ như Log4Shell để có được quyền truy cập ban đầu vào các mạng mục tiêu của hai chính quyền tiểu bang Hoa Kỳ cùng với các công ty bảo hiểm và viễn thông trong vòng vài giờ sau khi nó được công khai.

Các cuộc xâm nhập tiếp tục diễn ra tốt đẹp vào tháng 2 năm 2022 khi nhóm tấn công xâm nhập lại hai nạn nhân của chính phủ tiểu bang Hoa Kỳ đã xâm nhập lần đầu tiên vào tháng 5 và tháng 6 năm 2021, “thể hiện mong muốn không ngừng của họ để truy cập vào mạng của chính phủ tiểu bang”, các nhà nghiên cứu cho biết.

Hơn nữa, chỗ đứng được thiết lập sau khi khai thác Log4Shell dẫn đến việc triển khai một biến thể mới của cửa hậu C ++ mô-đun được gọi là KEYPLUG trên các hệ thống Linux, nhưng không phải trước khi thực hiện trinh sát mở rộng và thu thập thông tin xác thực của các môi trường mục tiêu.

Cũng quan sát thấy trong các cuộc tấn công là một ống nhỏ giọt trong bộ nhớ có tên là DUSTPAN (hay còn gọi là StealthVector) được điều khiển để thực thi tải trọng ở giai đoạn tiếp theo, cùng với các công cụ xử lý sau thỏa hiệp tiên tiến như DEADEYE, một trình tải phần mềm độc hại chịu trách nhiệm khởi chạy bộ cấy LOWKEY.

Xem tiếp:   Đài truyền hình nhà nước Iran IRIB Lượt truy cập bởi phần mềm độc hại hủy diệt Wiper

Các nhà nghiên cứu cho biết, đứng đầu trong số các kỹ thuật, phương pháp trốn tránh và khả năng được sử dụng bởi APT41 liên quan đến việc sử dụng “tăng đáng kể” các dịch vụ Cloudflare cho giao tiếp lệnh và kiểm soát (C2) và lọc dữ liệu, các nhà nghiên cứu cho biết.

Mặc dù Mandiant lưu ý rằng họ đã tìm thấy bằng chứng về việc kẻ thù lấy cắp thông tin nhận dạng cá nhân thường liên quan đến hoạt động gián điệp, mục tiêu cuối cùng của chiến dịch hiện vẫn chưa rõ ràng.

Phát hiện này cũng đánh dấu lần thứ hai một nhóm nhà nước Trung Quốc lạm dụng các lỗi bảo mật trong thư viện Apache Log4j phổ biến để xâm nhập các mục tiêu.

Vào tháng 1 năm 2022, đã trình bày chi tiết về một chiến dịch tấn công được thực hiện bởi Hafnium – tác nhân đe dọa đằng sau việc khai thác rộng rãi các lỗ hổng của Exchange Server một năm trước – đã sử dụng lỗ hổng này để “tấn công cơ sở hạ tầng ảo hóa nhằm mở rộng mục tiêu thông thường của họ.”

Nếu bất cứ điều gì, các hoạt động mới nhất là một dấu hiệu khác của một kẻ thù liên tục thích ứng có khả năng thay đổi các cột mục tiêu của nó cũng như tinh chỉnh kho vũ khí phần mềm độc hại của nó để tấn công các thực thể trên khắp thế giới có lợi ích chiến lược.

Xem tiếp:   Microsoft tìm thấy FoxBlade Phần mềm độc hại tấn công Ukraine vài giờ trước khi Nga xâm lược

Các hoạt động không gian mạng của APT41 nhằm vào các lĩnh vực chăm sóc sức khỏe, công nghệ cao và viễn thông trong những năm qua đã thu hút sự chú ý của Bộ Tư pháp Hoa Kỳ, nơi đã đưa ra cáo buộc chống lại 5 thành viên của nhóm vào năm 2020, hạ gục các tin tặc vào vị trí truy nã gắt gao nhất của FBI. danh sách.

Các nhà nghiên cứu cho biết: “APT41 có thể nhanh chóng điều chỉnh các kỹ thuật truy cập ban đầu của chúng bằng cách tái xâm nhập môi trường thông qua một vector khác hoặc bằng cách nhanh chóng vận hành một lỗ hổng bảo mật mới. “Nhóm cũng thể hiện sự sẵn sàng trang bị lại và triển khai các khả năng thông qua các vectơ tấn công mới thay vì giữ chúng để sử dụng trong tương lai.”

Trong một diễn biến liên quan, Nhóm phân tích mối đe dọa của Google cho biết họ đã thực hiện các bước để chặn một chiến dịch lừa đảo được dàn dựng bởi một nhóm khác được nhà nước Trung Quốc hậu thuẫn được theo dõi là APT31 (hay còn gọi là Zirconium) vào tháng trước nhằm vào “những người dùng Gmail cấp cao có liên kết với chính phủ Hoa Kỳ”. “

.

Related Posts

Check Also

Những kẻ tấn công có thể sử dụng tín hiệu điện từ để điều khiển màn hình cảm ứng từ xa

Các nhà nghiên cứu đã chứng minh cái mà họ gọi là “cuộc tấn công …