Uluslararası siber güvenlik ajanslarından ve kolluk kuvvetlerinden ortak bir danışma, Çin devlet destekli APT 40 Hacking Group tarafından kullanılan taktikleri ve SoHo yönlendiricilerinin siber yemek saldırıları başlatmak için kaçırılması konusunda uyarıyor.
Kriptonit Panda, Gingham Typhoon, Leviathan ve Bronz Mohawk olarak da bilinen Apt 40, ABD ve Avustralya'daki hükümet kuruluşlarını ve kilit özel kuruluşları hedefleyen en az 2011'den beri aktif.
Daha önce, APT40, Proxylogon güvenlik açıklarını ve Winrar gibi yaygın olarak kullanılan yazılımlarda kusurları içeren kampanyaları kullanarak 250.000'den fazla Microsoft Exchange sunucusunu hedefleyen bir saldırı dalgasına bağlanmıştı.
Avustralya, Amerika Birleşik Devletleri, Birleşik Krallık, Kanada, Yeni Zelanda, Almanya, Kore ve Japonya'dan siber güvenlik yetkilileri ve devlet kurumları, APT40, kimlik avı gibi halka açık altyapı ve kenar ağ cihazlarında güvenlik açıklarından yararlanıyor, örneğin e -postalar ve sosyal mühendislik.
Tehdit aktörlerinin, kamuya açıklandıkları gibi yeni güvenlik açıklarından hızla yararlandıkları bilinmektedir ve danışmanlık Log4J, Atlassian Confluence ve Microsoft Exchange'deki kusurları örnek olarak gösteriyor.
Avustralya tarafından yazılan ortak danışmanlığı, "Özellikle, APT40, yeni güvenlik açıklarının kavram kanıtı (lar) (POC'ler) ameliyat kanıtını hızla dönüştürme ve uyarlama yeteneğine sahiptir." ACSC.
"APT40, yazarlık kurumlarının ülkelerindeki ağlar da dahil olmak üzere, hedeflerinden ödün vermek için fırsatlar arıyor."
Bir sunucuyu veya ağ cihazını ihlal ettikten sonra, Çinli bilgisayar korsanları, güvenli soket hunisi kullanarak kalıcılık için web mermileri dağıtır ve ardından bir ağ üzerinden yanal hareket için RDP ile birlikte Kerberoasting ile yakalanan geçerli kimlik bilgilerini kullanır.
Özellikle ilgi çekici, tehdit aktörleri genellikle n-günü güvenlik açıklarını kullanarak küçük ofis/ev ofis (soho) yönlendiricileri ihlal eder ve operasyonel altyapı olarak hareket etmek için onları ele geçirir. Bu kaçırılmış cihazlar, kaçırılan yönlendiriciden kaynaklanan meşru trafikle harmanlanırken APT40 tarafından saldırıları başlatmak için kullanılan ağ vekilleri olarak işlev görür.
Diğer Çin APT gruplarının, kaçırılmış EOL yönlendiricilerinden ve IoT cihazlarından oluşan operasyonel röle kutusu (ORBS) ağlarını kullandığı bilinmektedir. Bu proxy ağlar, kötü niyetli trafiği vekalet etmek için devlet destekli birden fazla aktöre (APT'ler) erişim sağlayan bağımsız siber suçlular tarafından uygulanır.
Siberlik saldırılarının son aşamasında, APT40, olay günlüklerini kaldırırken ve ihlal edilen ağda gizli bir varlığı korumak için yazılımları dağıtarken SMB paylaşımlarına erişir ve verileri bir komut ve kontrol (C2) sunucusuna ekler.
Danışma, 2022 yılından itibaren APT40'ın taktiklerini ve prosedürlerini vurgulamak için iyi örnekler olarak hizmet veren iki vaka çalışması içermektedir.
Temmuz - Eylül 2022 tarihli ilk durumda, APT40, bir Avustralya kuruluşunun ağında bir dayanak oluşturmak için özel bir web uygulamasını kullandı.
Web kabuklarını kullanarak ağ keşifleri yaptılar, Active Directory'ye eriştiler ve ayrıcalıklı kimlik bilgileri de dahil olmak üzere hassas verileri söndürdüler.
İkinci vaka çalışması, APT40'ın bir uzaktan erişim giriş portalında RCE kusurlarından yararlanarak bir kuruluşu tehlikeye attığı Nisan ve Mayıs 2022 arasında meydana gelen bir olayla ilgilidir.
Web mermileri dağıttılar, yüzlerce kullanıcı adı-password çiftini, MFA kodlarını ve JSON Web jetonlarını (JWTS) yakaladılar ve sonunda dahili bir SQL sunucusunu kazımak için ayrıcalıklarını artırdılar.
Danışmanlık, Tehdit Aktörleri tarafından araç ve kötü amaçlı yazılımları dağıtmak için kullanılan bilinen dosya yolları da dahil olmak üzere APT40 ve benzer durum destekli siber tehditleri azaltmak ve savunmak için bir dizi öneri sunmaktadır.
Savunma önerileri, zamanında yama uygulaması, kapsamlı günlüğü ve ağ segmentasyonunun kullanımını vurgulamaktadır.
Buna ek olarak, kullanılmayan bağlantı noktalarını ve hizmetlerini devre dışı bırakmanız, Web Uygulaması Güvenlik Duvarlarını (WAFS) kullanmanız, en az ayrıcalık ilkesini uygulamak, uzaktan erişim hizmetleri için çok faktörlü kimlik doğrulama (MFA) kullanmanız ve yaşam sonu (EOL) değiştirmeniz önerilir. teçhizat.
EOL Edge Networking Teats'in değiştirilmesi bir önceliktir, çünkü bu tür cihazların herkese açık olarak maruz kalması amaçlanır ve artık yamalar almazlarsa, her tür tehdit aktör için değerli bir hedef olarak hareket eder.
Avustralyalı Uçakta 'Evil Twin' WiFi Saldırısı için Ücretli
Cisco, özel kötü amaçlı yazılımları dağıtmak için NX-OS Zero-Day'i uyarıyor
Bilgisayar korsanları, yıllarca gizlice veri çalmak için F5 Big-IP kötü amaçlı yazılım kullanın
Yönlendirici Maker'ın Destek Portalı Hacked, Metamask Kimlik avı ile cevaplar
Juniper, maksimum şiddet Auth Bypas
Kaynak: Bleeping Computer