Un aviso conjunto de agencias internacionales de ciberseguridad y fuerzas del orden advierte sobre las tácticas utilizadas por el grupo de hackers patrocinado por el estado chino APT 40 y su secuestro de enrutadores SOHO para lanzar ataques ciberespionaje.
APT 40, también conocido como Kryptonite Panda, GINGHAM TYPHOON, Leviathan y Bronze Mohawk, ha estado activo desde al menos 2011, apuntando a organizaciones gubernamentales e importantes entidades privadas en los Estados Unidos y Australia.
Anteriormente, APT40 estuvo vinculado a una ola de ataques dirigidos a más de 250.000 servidores Microsoft Exchange utilizando vulnerabilidades de ProxyLogon y campañas que involucraban la explotación de fallas en software ampliamente utilizado, como WinRAR.
Descripción general del negocio APT40
Según lo declarado por autoridades de ciberseguridad y agencias gubernamentales en Australia, Estados Unidos, Reino Unido, Canadá, Nueva Zelanda, Alemania, Corea y Japón, APT40 explota vulnerabilidades en infraestructura pública y dispositivos de red perimetrales en lugar de la interacción humana, como correos electrónicos de phishing y Ingeniería social.
Se sabe que los actores de amenazas explotan rápidamente nuevas vulnerabilidades tan pronto como se divulgan públicamente, y el aviso destaca fallas en Log4J, Atlassian Confluence y Microsoft Exchange como ejemplos.
“En particular, APT40 tiene la capacidad de transformar y adaptar rápidamente pruebas de concepto (POC) para explotar nuevas vulnerabilidades y utilizarlas inmediatamente contra redes objetivo que posean la infraestructura de la vulnerabilidad asociada”, se puede leer en el comunicado de prensa. asesoramiento conjunto escrito por la ACSC de Australia.
“APT40 lleva a cabo periódicamente operaciones de reconocimiento contra redes de interés, incluidas redes en los países de las agencias perpetradoras, en busca de oportunidades para comprometer sus objetivos. »
Después de piratear un servidor o dispositivo de red, los piratas informáticos chinos implementan shells web para lograr persistencia mediante Secure Socket Funnelling y luego utilizan credenciales válidas capturadas mediante Kerberoasting con RDP para el movimiento lateral a través de una red.
De particular interés es que los actores maliciosos comúnmente irrumpen en enrutadores de pequeñas oficinas/oficinas domésticas (SOHO) al final de su vida útil utilizando vulnerabilidades de día N y los secuestran para usarlos como infraestructura operativa. Estos dispositivos pirateados actúan como servidores proxy de red utilizados por APT40 para lanzar ataques mientras se mezclan con el tráfico legítimo proveniente del enrutador pirateado.
También se sabe que otros grupos chinos de APT utilizan redes de retransmisión operativas (ORB), que consisten en enrutadores EoL pirateados y dispositivos IoT. Estas mallas de proxy son administradas por ciberdelincuentes independientes que brindan acceso a múltiples actores patrocinados por el estado (SPA) para representar el tráfico malicioso.
En la fase final de los ataques de ciberespionaje, APT40 accede a recursos compartidos de SMB y extrae datos a un servidor de comando y control (C2) mientras elimina registros de eventos e implementa software para mantener una presencia sigilosa en la red pirata.
Fuente: CISA
Estudios de caso
El aviso contiene dos estudios de caso de 2022, que sirven como buenos ejemplos para resaltar las tácticas y procedimientos de APT40.
En el primer caso, que abarca de julio a septiembre de 2022, APT40 aprovechó una aplicación web personalizada para afianzarse en la red de una organización australiana.
Utilizando web shells, realizaron reconocimiento de red, accedieron a Active Directory y extrajeron datos confidenciales, incluidas credenciales privilegiadas.
Fuente: CISA
El segundo caso de estudio involucra un incidente que ocurrió entre abril y mayo de 2022, cuando APT40 comprometió una organización al explotar las vulnerabilidades de RCE en un portal de inicio de sesión de acceso remoto.
Implementaron shells web, capturaron cientos de pares de nombre de usuario y contraseña, códigos MFA y tokens web JSON (JWT) y, en última instancia, elevaron sus privilegios para recuperar un servidor SQL interno.
Detectar y mitigar ataques
El aviso proporciona una serie de recomendaciones para mitigar y defenderse contra APT40 y otras amenazas cibernéticas similares patrocinadas por el estado, incluidas rutas de archivos conocidas utilizadas por los actores de amenazas para implementar herramientas y malware.
Las recomendaciones de defensa enfatizan el uso de parches oportunos, registros integrales y segmentación de la red.
Además, se recomienda deshabilitar los puertos y servicios no utilizados, utilizar firewalls de aplicaciones web (WAF), aplicar el principio de privilegio mínimo, utilizar autenticación multifactor (MFA) para servicios de acceso remoto y reemplazar equipos al final de su vida útil (EoL). .
Reemplazar los equipos de red de borde al final de su vida útil es una prioridad porque se espera que este tipo de dispositivos estén expuestos al público y, si ya no reciben parches, son un objetivo valioso para todo tipo de actores de amenazas.