A Grupo de amenaza respaldado por China La compañía, mejor conocida por apuntar a organizaciones en Asia con campañas de ciberespionaje, está expandiendo su alcance a nuevas geografías, incluidas Europa, Medio Oriente y África (EMEA), con ataques que explotan nuevo malware y técnicas de vida en tierra (LoL) para expandirse. su huella.
Earth Baku, otro grupo derivado asociado con APT41 muy prolíficoRecientemente apuntó a organizaciones en Italia, Alemania, los Emiratos Árabes Unidos (EAU) y Qatar, y utilizó infraestructura de comando y control (C2) con sede en Georgia y Rumania, según investigadores de Trend Micro.
El cambio regional representa un cambio reciente en la estrategia del actor de amenazas persistentes avanzadas APT41, que ha sido rastreado activamente desde al menos 2012 y que normalmente apunta a la región de Asia y el Pacífico, según un informe. publicación de blog reciente por los investigadores de Trend Micro Ted Lee y Theo Chen. De hecho, Mandiant también observó recientemente que APT41 participaba en una campaña sostenida de ciberespionaje contra organizaciones de múltiples sectores en el Reino Unido y países de toda Europa, además de Taiwán, uno de los principales países en los que suele operar.
En otros ataques recientes en nuevas regiones, el actor también diversifica su malware y sus tácticas con el uso de aplicaciones públicas como servidores IIS para el acceso inicial y la implementación de red de godzilla Según Trend Micro, otros cargadores como StealthVector y StealthReacher utilizados en la campaña para difundir la última puerta trasera modular de APT41, SneakCross, demuestran que Earth Baku está fortaleciendo sus capacidades para evadir la detección, señalaron los investigadores.
Earth Baku también utilizó varias herramientas nuevas posteriores a la explotación que demuestran que el grupo combina herramientas personalizadas y disponibles públicamente, incluidas Puerta trasera de hardware RakshasaTailScale para persistencia y MEGAcmd para exfiltración eficiente de datos, para que el grupo pueda mover mayores volúmenes de datos robados de manera más eficiente, observaron los investigadores.
Todo esto significa que no sólo APT41 tiene otro subgrupo más Hace su trabajo sucio, pero también tiene un “perfil de amenaza en evolución y cada vez más sofisticado, que potencialmente puede plantear desafíos importantes para las defensas de ciberseguridad”, señalaron en la publicación.
Evolución de las herramientas y tácticas de APT41
APT41 en un descriptor genérico de peligroso Colectivo de grupos de amenaza chinos. (llamados Winnti, Wicked Panda, Barium y Suckfly) que robaron secretos comerciales, propiedad intelectual, datos de atención médica y otra información confidencial de organizaciones y entidades estadounidenses de todo el mundo para la cuenta del gobierno chino. Hace cuatro años, el gobierno de EE.UU. acusación de cinco miembros de la APT41 por actividades relacionadas con ataques contra más de 100 empresas en todo el mundo. Sin embargo, el grupo sigue siendo muy activo, en parte gracias a spin-offs como Earth Baku, que le permiten renovar su actividad con nuevas herramientas y nuevas tácticas.
Trend Micro ha seguido a Earth Baku a través de una serie de ataques recientes en EMEA que han descubierto nuevas tácticas y herramientas, incluido StealthVector. El malware es un cargador de puerta trasera personalizado que el grupo utiliza para iniciar otros archivos binarios en modo sigiloso; También es una actualización de otro que se descubrió en 2021, señalaron los investigadores.
“Aunque la estructura de configuración ha cambiado poco, ahora utiliza AES como algoritmo de cifrado en lugar del ChaCha20 personalizado”, escribieron. “En algunas variaciones, también observamos que se utilizaba un virtualizador de código para ofuscar el código, lo que hacía que el malware fuera más difícil de analizar. También heredó otras técnicas de evasión de defensa para garantizar que los componentes de la puerta trasera se ejecutaran sigilosamente. »
Trend Micro también descubrió otro malware, SneakCross, que es una puerta trasera modular que utiliza los servicios de Google para su comunicación C2 y Fibras de Windows para escapar de la detección. productos de protección de red y soluciones de detección y respuesta de terminales (EDR). Es probable que el malware sea el sucesor de la puerta trasera modular anterior de APT41, ScrambleCross; La modularidad permite al atacante “actualizar fácilmente capacidades, modificar el comportamiento y personalizar la funcionalidad para diferentes escenarios”, escribieron los investigadores.
Los últimos ataques de Earth Baku también se caracterizan por actividades posteriores a la explotación que implementan una serie de herramientas adicionales para mantener la persistencia, desarrollar privilegios y permitir el descubrimiento y la exfiltración de datos.
Protección de entornos contra APT sofisticadas
Mientras APT41 continúa fortaleciendo sus herramientas y tácticas para lograr una mayor sofisticación y agilidad, Trend Micro recomienda que las organizaciones también fortalezcan sus defensas, utilizando el principio de mínimo privilegio para restringir el acceso a datos confidenciales y monitorear de cerca los permisos de los usuarios. Los investigadores señalaron que esto hará que sea más difícil para los atacantes moverse lateralmente dentro de una red corporativa.
Los defensores también deben actualizar periódicamente los sistemas y aplicaciones y aplicar políticas estrictas de gestión de parches para cerrar las vulnerabilidades de seguridad dentro de sus sistemas, así como desarrollar medidas defensivas para identificar y mitigar las amenazas en caso de una infracción.
Además, al adoptar lo que se llama una “regla de respaldo 3-2-1” y mantener al menos tres copias de los datos de la empresa en dos formatos diferentes (incluida una copia aislada almacenada fuera del sitio), las organizaciones pueden garantizar que los datos permanezcan intactos incluso en el caso de que de un ataque exitoso, dijeron los investigadores.