Le groupe de hackers APT41 en quête de plusieurs mois pour infiltrer les réseaux des gouvernements d’État américains

Les acteurs d’APT41 ont compromis six réseaux gouvernementaux d’états américains et plus depuis mai de l’année dernière. APT41 a exploité de nombreuses applications web aux visages publics, y compris en utilisant une faille notoire de type zero-day dans Log4j, et en exploitant un CVE-2021-44207 dans l’application web USAHERDS, utilisée dans 18 états pour surveiller et rendre compte de la santé animale. Les attaques récentes se caractérisent par l’utilisation par les adversaires d’outils post-compromission tels qu’un téléchargeur DeadEye responsable du lancement de la porte dérobée LOWKEY.

Détection des Activités du Groupe de Hackers APT41

Pour vous assurer que votre organisation ne figure pas parmi les victimes d’APT41, utilisez les règles suivantes pour détecter les commandes suspectes du groupe APT41 en modifiant les tâches planifiées existantes qui s’exécutent sous le contexte de SYSTEM :

Créations Persistantes du Dropper DEADEYE d’APT-41 (via Cmdline)

Exécution Suspecte d’APT41 par Tâche Planifiée Modifiée (via création de processus)

Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, et AWS OpenSearch.

Les règles sont alignées avec le dernier cadre MITRE ATT&CK® v.10, abordant la tactique d’Exécution avec Tâche Planifiée/Tâche (T1053) comme technique principale.

Les règles sont fournies par nos développeurs Threat Bounty perspicaces Kyaw Pyiyt Htet and Nattatorn Chuensangarun, gardant un œil attentif sur les menaces émergentes.

Les experts en cybersécurité sont plus que bienvenus pour rejoindre le programme Threat Bounty afin de profiter de la puissance de la communauté et d’être récompensés pour leur contenu de détection de menaces.

Voir les Détections Rejoindre Threat Bounty

Intrusions d’APT41 dans le Gouvernement Américain

APT41 est un groupe de hackers notoire parrainé par l’État chinois. L’acteur de menace est également connu sous le nom de TA415, Double Dragon, Barium, GREF, Wicked Spider et Wicked Panda.

Selon des preuves récentes, APT41 a violé au moins six systèmes de gouvernement d’état américain depuis 2021, et il n’y a aucun signe que cette campagne de piratage de plusieurs mois arrive à un cessez-le-feu dans un avenir proche. Les enquêtes de Mandiant ont révélé que les acteurs d’APT41 ont activement ciblé des victimes de haut niveau en 2021-22, se concentrant principalement sur les intrusions dans le gouvernement américain. APT41 a déployé un certain nombre de nouvelles approches, de stratégies d’évasion et de capacités, selon le rapport ci-dessus.

Après avoir accédé à un réseau par une vulnérabilité d’injection SQL dans une application compromise, les adversaires violent le réseau en utilisant une toute nouvelle faille zero-day. Une fois dans le réseau de la victime, les acteurs d’APT41 effectuent des activités de reconnaissance et de collecte d’identifiants. Le groupe a également personnalisé son malware en fonction de l’environnement de ses victimes, mettant régulièrement à jour les données encodées sur un post de forum spécifique, permettant au malware de recevoir des instructions du serveur de commande et de contrôle des attaquants. Pour inhiber les tentatives de rétro-ingénierie, l’APT a amélioré le malware qu’ils utilisent avec VMProtect, intégrant également une autre méthode anti-analyse en associant un DeadEye emballé avec VMProtect dans de nombreuses sections de disque.

De nos jours, la prévention & la détection des menaces est primordiale. La pression continue et croissante des acteurs de menace parrainés par l’État de Chine and Russie sur les réseaux de niveau étatique demande des mesures efficaces pour contrer les adversaires. Inscrivez-vous gratuitement à la plateforme Detection as Code de SOC Prime pour rendre la détection des menaces plus facile, plus rapide et plus efficace avec les meilleures pratiques de l’industrie et l’expertise partagée. La plateforme permet également aux professionnels du SOC de partager du contenu de détection, de participer à des initiatives de premier plan du secteur et de monétiser leur contribution précieuse.