Hackergruppe APT41 auf monatelanger Mission, um die Netzwerke der US-Bundesstaaten zu kompromittieren
Inhaltsverzeichnis:
Die APT41-Akteure haben seit Mai letzten Jahres sechs und zunehmend US-amerikanische Staatsregierungsnetzwerke kompromittiert. APT41 führte zahlreiche Exploits von öffentlich zugänglichen Webanwendungen durch, einschließlich der Nutzung des berüchtigten Zero-Day in Log4j, und nutzte eine CVE-2021-44207 in der USAHERDS-Webanwendung, die in 18 Bundesstaaten verwendet wird, um die Tiergesundheit zu überwachen und zu berichten. Jüngste Angriffe sind dadurch gekennzeichnet, dass Gegner Post-Compromise-Tools wie den Downloader DeadEye verwenden, der für das Starten der LOWKEY-Backdoor verantwortlich ist.
Erkennen der Aktivitäten der Hackergruppe APT41
Um sicherzustellen, dass Ihre Organisation nicht auf der Liste der Opfer von APT41 steht, verwenden Sie die folgenden Regeln, um verdächtige Befehle der APT41-Gruppe zu erkennen, indem Sie bestehende geplante Aufgaben ändern, die im Kontext von SYSTEM ausgeführt werden:
APT-41s DEADEYE Dropper Persistent Creations (über Cmdline)
Verdächtige APT41-Ausführung durch geänderte geplante Aufgabe (über Prozesscreation)
Diese Erkennung verfügt über Übersetzungen für die folgenden SIEM-, EDR- und XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro und AWS OpenSearch.
Die Regeln sind mit dem neuesten MITRE ATT&CK®-Framework v.10 abgestimmt und berücksichtigen die Ausführungstaktik mit Scheduled Task/Job (T1053) als primäre Technik.
Die Regeln werden von unseren aufmerksamen Threat-Bounty-Entwicklern bereitgestellt Kyaw Pyiyt Htet and Nattatorn Chuensangarun, die aufmerksam auf aufkommende Bedrohungen achten.
Experten für Cybersicherheit sind herzlich eingeladen, dem Threat Bounty-Programm beizutreten, um die Macht der Gemeinschaft zu nutzen und für ihre Inhalte zur Bedrohungserkennung belohnt zu werden.
Erkennungen anzeigen Am Threat Bounty teilnehmen
APT41s US-Regierungsintrusionen
APT41 ist eine berüchtigte, staatlich gesponserte chinesische Hackergruppe. Die Bedrohungsakteure sind auch bekannt als TA415, Double Dragon, Barium, GREF, Wicked Spider und Wicked Panda.
Laut jüngeren Beweisen hat APT41 seit 2021 mindestens sechs US-Regierungssysteme angegriffen, und es gibt keine Anzeichen dafür, dass diese monatelange Hackingkampagne in naher Zukunft eingestellt wird. Mandiants Untersuchungen enthüllten dass APT41-Akteure 2021-22 aktiv hochkarätige Opfer ins Visier genommen haben und sich hauptsächlich auf US-Regierungseinbrüche konzentrierten. APT41 setzte eine Reihe neuer Ansätze, ausweichender Strategien und Fähigkeiten ein, so der oben genannte Bericht.
Nachdem sie über eine SQL-Injektionslücke in einer kompromittierten Anwendung auf ein Netzwerk zugegriffen haben, dringen Angreifer mit einem brandneuen Zero-Day-Exploit in das Netzwerk ein. Sobald sie im Netzwerk des Opfers sind, führen die APT41-Akteure Aufklärungs- und Anmeldeinformations-Sammelaktivitäten durch. Die Bande passte ihre Malware auch an die Umgebung ihrer Opfer an und aktualisierte regelmäßig die kodierten Daten in einem bestimmten Forenbeitrag. Dadurch kann die Malware Anweisungen vom Befehl- und Kontrollserver der Angreifer erhalten. Um Reverse-Engineering-Versuche zu verhindern, verbesserte die APT die von ihnen verwendete Malware mit VMProtect und integrierte auch eine weitere Anti-Analyse-Methode, indem sie ein VMProtect-verpacktes DeadEye in zahlreiche Disk-Bereiche einfügten.
In der heutigen Zeit sind Bedrohungsprävention und -erkennung von größter Wichtigkeit. Der fortwährende und wachsende Druck von staatlich gesponserten Bedrohungsakteuren aus China and Russland auf staatliche Netzwerke erfordert effiziente Maßnahmen, um den Gegnern entgegenzuwirken. Melden Sie sich kostenlos bei der Detection-as-Code-Plattform von SOC Prime an, um die Bedrohungserkennung einfacher, schneller und effizienter mit den besten Praktiken der Branche und geteilter Expertise zu gestalten. Die Plattform ermöglicht es SOC-Profis außerdem, Erkennungsinhalte zu teilen, an erstklassigen Brancheninitiativen teilzunehmen und ihren wertvollen Beitrag zu monetarisieren.
