Alerta para atividades de grupo APT da China

Em julho de 2021, o Reino Unido atribuiu o APT40 ao governo chinês. Vários membros do grupo foram acusados ??de uma campanha de vários anos para roubar segredos comerciais, propriedade intelectual e informações valiosas de vários setores.

O APT40 monitora ativamente novas vulnerabilidades em softwares amplamente utilizados, como Log4j , Atlassian Confluence e Microsoft Exchange. O grupo realiza regularmente reconhecimento de redes em vários países para encontrar dispositivos vulneráveis ??e implementar explorações rapidamente.

Uma característica importante das táticas do grupo é o uso de web shells para estabelecer e manter o acesso ao ambiente da vítima, bem como o uso de sites australianos como servidor C2. O grupo também incorpora dispositivos desatualizados ou não atualizados em sua infraestrutura, como roteadores SOHO , para redirecionar o tráfego malicioso e evitar a detecção. Um estilo semelhante de operação é comum a outros grupos chineses, como o Volt Typhoon.

O APT40 tem sido associado a várias ondas de ataques nos últimos anos. Isso inclui o uso da estrutura ScanBox para reconhecimento e exploração de uma vulnerabilidade no WinRAR ( CVE-2023-38831 , pontuação CVSS: 7,8).

De acordo com a Mandiant, as atividades do APT40 fazem parte de uma tendência mais ampla da espionagem cibernética chinesa que visa aumentar a furtividade. Grupos de hackers estão usando cada vez mais dispositivos na borda da rede (Edge of Network, Edge Computing ), redes ORB ( Operational Relay Box ) e métodos LotL ( Living off the Land ) para permanecerem sem serem detectados.

Créditos: CISO Advisor