Grupo de Hackers APT41 en una Prolongada Misión de Infiltración en las Redes del Gobierno Estatal de EE.UU.

[post-views]
marzo 14, 2022 · 3 min de lectura
Grupo de Hackers APT41 en una Prolongada Misión de Infiltración en las Redes del Gobierno Estatal de EE.UU.

Los actores APT41 comprometieron seis y contando redes del gobierno estatal de EE. UU. comenzando en mayo del año pasado. APT41 llevó a cabo numerosas explotaciones de aplicaciones web de cara al público, incluyendo el uso del notorio día cero en Log4j, y aprovechando un CVE-2021-44207 en la aplicación web USAHERDS, que se utiliza en 18 estados para monitorear e informar sobre la salud animal. Los ataques recientes se caracterizan por adversarios que utilizan herramientas post-compromiso como un descargador DeadEye que es responsable de lanzar el backdoor LOWKEY.

Detección de Actividades del Grupo de Hackers APT41

Para asegurarse de que su organización no esté en la lista de víctimas de APT41, use las siguientes reglas para detectar comandos sospechosos del grupo APT41 modificando tareas programadas existentes que se ejecuten bajo el contexto de SYSTEM:

Creaciones Persistentes del Dropper DEADEYE de APT-41 (vía Cmdline)

Ejecución Sospechosa de APT41 por Tarea Programada Modificada (vía creación de proceso)

Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro y AWS OpenSearch.

Las reglas están alineadas con el último marco de trabajo MITRE ATT&CK® v.10, abordando la táctica de Ejecución con Tarea/Trabajo Programado (T1053) como la técnica principal.

Las reglas son proporcionadas por nuestros perspicaces desarrolladores de Threat Bounty Kyaw Pyiyt Htet and Nattatorn Chuensangarun, manteniendo un ojo atento a las amenazas emergentes.

Los expertos en ciberseguridad son más que bienvenidos a unirse al programa Threat Bounty para aprovechar el poder de la comunidad y ser recompensados por su contenido de detección de amenazas.

Ver Detecciones Unirse a Threat Bounty

Intrusiones de APT41 en el Gobierno de EE.UU.

APT41 es un notorio grupo de hackers patrocinado por el estado chino. El actor de la amenaza también se conoce como TA415, Double Dragon, Barium, GREF, Wicked Spider y Wicked Panda.

Según evidencia reciente, APT41 ha vulnerado al menos seis sistemas de gobiernos estatales de EE.UU. desde 2021, y no hay señales de que esta campaña de hackeo de meses llegue a un alto el fuego en el futuro previsible. Las investigaciones de Mandiant revelaron que los actores APT41 han estado apuntando activamente a víctimas de alto perfil en 2021-22, concentrándose principalmente en intrusiones en el gobierno de EE.UU. APT41 desplegó una serie de enfoques novedosos, estrategias evasivas y capacidades, según el informe anterior.

Después de obtener acceso a una red a través de una vulnerabilidad de inyección SQL en una aplicación comprometida, los adversarios vulneran la red utilizando un nuevo exploit de día cero. Una vez dentro de la red de la víctima, los actores de APT41 realizan actividades de reconocimiento y cosecha de credenciales. La banda también personalizó su malware a los entornos de sus víctimas, actualizando regularmente los datos codificados en una publicación específica del foro, permitiendo que el malware obtenga instrucciones desde el servidor de comando y control de los atacantes. Para inhibir los intentos de ingeniería inversa, el APT mejoró el malware que utilizan con VMProtect, integrando también otro método anti-análisis al emparejar un DeadEye empaquetado con VMProtect en numerosas secciones del disco.

En la actualidad, la prevención y detección de amenazas es fundamental. La presión continua y creciente de actores amenazantes patrocinados por el estado desde China and Rusia en redes a nivel estatal demanda medidas eficientes para contrarrestar a los adversarios. Regístrese gratis en la plataforma Detection as Code de SOC Prime para hacer que la detección de amenazas sea más fácil, rápida y eficiente con las mejores prácticas de la industria y experiencia compartida. La plataforma también permite a los profesionales de SOC compartir contenido de detección, participar en iniciativas de la industria de primer nivel y monetizar sus valiosas aportaciones.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Acceder a la Funcionalidad de Uncoder AI a través de API 2 min de lectura Plataforma SOC Prime Acceder a la Funcionalidad de Uncoder AI a través de API by Steven Edwards Buscar en el Mercado de Detección de Amenazas de Uncoder AI 2 min de lectura Plataforma SOC Prime Buscar en el Mercado de Detección de Amenazas de Uncoder AI by Steven Edwards Traducir de Sigma a 48 idiomas 2 min de lectura Plataforma SOC Prime Traducir de Sigma a 48 idiomas by Steven Edwards
Todas las noticias