.
As agências de segurança de oito países, lideradas pela Austrália, emitiram um comunicado que detalha a estratégia usada pelo agente de ameaças alinhado à China APT40 – também conhecido como Kryptonite Panda, GINGHAM TYPHOON, Leviathan e Bronze Mohawk – e descobriram que ele prioriza o desenvolvimento de explorações para vulnerabilidades recém-descobertas e pode atacá-las em poucas horas.
O aviso descreve o APT40 como um “grupo cibernético patrocinado pelo estado” e a República Popular da China (RPC) como esse patrocinador. As agências que criaram o aviso — que vêm da Austrália, EUA, Canadá, Nova Zelândia, Japão, Coreia do Sul, Reino Unido e Alemanha — acreditam que o APT40 “conduz operações cibernéticas maliciosas para o Ministério da Segurança do Estado (MSS) da RPC”.
O desenvolvimento do aviso foi liderado pela Austrália, porque o Centro de Segurança Cibernética (ACSC) da Diretoria de Sinais do país foi informado em 2022 de um ataque APT40 a uma organização local não identificada.
O ACSC garantiu a permissão da organização vítima e “implantou sensores baseados em host em hosts provavelmente afetados na rede da organização”. As informações que fluíram desses sensores permitiram que os analistas de resposta a incidentes do ACSC mapeassem as atividades do APT40.
O aviso é o resultado e sugere que o APT40 “possui a capacidade de transformar e adaptar rapidamente provas de conceito (POCs) de exploração de novas vulnerabilidades e utilizá-las imediatamente contra redes-alvo que possuem a infraestrutura da vulnerabilidade associada”. A gangue também monitora redes de interesse para procurar alvos não corrigidos.
“Esse reconhecimento regular permite que o grupo identifique dispositivos vulneráveis, fora de uso ou sem manutenção em redes de interesse e implemente rapidamente exploits”, alerta o comunicado.
Esses esforços produzem resultados, porque alguns sistemas não foram corrigidos para problemas identificados em 2017. Algumas das vulnerabilidades que o APT40 tem como alvo são notícias antigas – Log4J (CVE 2021 44228), Atlassian Confluence (CVE-2021-31207, CVE-2021- 26084) e Microsoft Exchange (CVE-2021-31207, CVE 2021-34523, CVE-2021-34473) estão no topo da lista de alvos.
Para atingir suas vítimas, o APT40 parece procurar um dispositivo em uma entidade não relacionada, para usar como ponto de lançamento. No caso do ataque observado pelo ACSC, esse dispositivo provavelmente estava localizado em uma pequena empresa ou residência. Esse dispositivo sonda um alvo usando táticas que fazem o ataque parecer parte de tráfego legítimo.
“O APT40 adotou a tendência global de usar dispositivos comprometidos, incluindo dispositivos small-office/home-office (SOHO), como infraestrutura operacional e redirecionadores de último salto para suas operações na Austrália”, observa o aviso. “Muitos desses dispositivos SOHO estão no fim da vida útil ou não foram corrigidos e oferecem um alvo fácil para exploração de N-day.”
No entanto, estourar caixas SOHO “permitiu que as agências de criação caracterizassem e rastreassem melhor os movimentos desse grupo”.
E esses movimentos fazem com que o grupo use shells da web e busque credenciais de usuário válidas que permitam obter acesso persistente.
O malware é eventualmente instalado, tendo como objetivo a exfiltração de informações.
O aviso descreve táticas de mitigação que supostamente oferecem defesas decentes contra o APT40. Elas não são ciência de foguetes: registro, gerenciamento de patches e segmentação de rede estão todos listados.
O mesmo ocorre com a autenticação multifator, a desativação de serviços de rede não utilizados, o uso de firewalls de aplicativos da web, o acesso com privilégios mínimos e a substituição de equipamentos em fim de vida útil.
O aviso também lista e vincula dez amostras de malware implantadas pelo APT4 e inclui dois estudos de caso. Os últimos documentos, no entanto, agora são antigos o suficiente para que os patrimônios de TI das vítimas tenham sido remediados – o APT40 pode muito bem ter passado para outras táticas desde então. ®
.
