Gruppo di Hacker APT41 in una Missione di Mesi per Violare le Reti Governative degli Stati Uniti
Indice:
Gli attori di APT41 hanno compromesso sei reti governative statunitensi e più dall’inizio di maggio dello scorso anno. APT41 ha condotto numerose esplorazioni di applicazioni web pubblicamente accessibili, inclusa l’uso del famoso zero-day in Log4j, e sfruttando un CVE-2021-44207 nell’applicazione web USAHERDS, utilizzata in 18 stati per monitorare e riferire sulla salute animale. Gli attacchi recenti sono caratterizzati da avversari che utilizzano strumenti post-compromesso come un downloader DeadEye, responsabile del lancio del backdoor LOWKEY.
Rilevare le Attività del Gruppo Hacker APT41
Per garantire che la tua organizzazione non sia nella lista delle vittime di APT41, utilizza le seguenti regole per rilevare comandi sospetti del gruppo APT41 modificando le attività pianificate esistenti che vengono eseguite con il contesto di SYSTEM:
Creazioni Persistenti del Dropper DEADEYE di APT-41 (tramite Cmdline)
Esecuzione Sospetta di APT41 tramite Compito Programmato Modificato (tramite creazione processo)
Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro e AWS OpenSearch.
Le regole sono allineate con l’ultima versione del framework MITRE ATT&CK® v.10, affrontando la tattica di Esecuzione con Attività/Job Programmato (T1053) come tecnica principale.
Le regole sono fornite dai nostri perspicaci sviluppatori di Threat Bounty Kyaw Pyiyt Htet and Nattatorn Chuensangarun, che tengono d’occhio le minacce emergenti.
Gli esperti di cybersecurity sono più che benvenuti a unirsi al programma Threat Bounty per sfruttare la potenza della comunità e ottenere ricompense per il loro contenuto di rilevamento minacce.
Visualizza Rilevamenti Unisciti a Threat Bounty
Intrusioni del Governo USA da parte di APT41
APT41 è un noto gruppo di hacking sponsorizzato dallo stato cinese. L’attore della minaccia è anche conosciuto come TA415, Double Dragon, Barium, GREF, Wicked Spider e Wicked Panda.
Secondo recenti prove, APT41 ha violato almeno sei sistemi governativi statunitensi dal 2021, e non ci sono segni che questa campagna di hacking di mesi stia per cessare nel prossimo futuro. Le indagini di Mandiant hanno rivelato che gli attori di APT41 hanno attivamente preso di mira vittime di alto profilo nel 2021-22, concentrandosi principalmente sulle intrusioni governative statunitensi. APT41 ha impiegato numerosi approcci innovativi, strategie evasive e capacità, secondo il suddetto rapporto.
Dopo aver avuto accesso a una rete tramite una vulnerabilità di iniezione SQL in un’applicazione compromessa, gli avversari penetrano nella rete utilizzando un nuovissimo sfruttamento zero-day. Una volta nella rete della vittima, gli attori di APT41 eseguono attività di ricognizione e raccolta credenziali. La gang ha anche personalizzato il suo malware per l’ambiente delle sue vittime, aggiornando regolarmente i dati codificati in un post specifico del forum, consentendo al malware di ricevere istruzioni dal server di comando e controllo degli aggressori. Per inibire i tentativi di reverse engineering, l’APT ha migliorato il malware che usano con VMProtect, integrando anche un altro metodo anti-analisi abbinando un DeadEye confezionato con VMProtect in varie sezioni del disco.
Oggi, la prevenzione e il rilevamento delle minacce sono fondamentali. La pressione continua e crescente da parte di attori con minacce sponsorizzate dallo stato da Cina and Russia sulle reti a livello statale richiede misure efficaci per contrastare gli avversari. Iscriviti gratuitamente alla piattaforma Detection as Code di SOC Prime per rendere la rilevazione delle minacce più semplice, veloce ed efficiente con le migliori pratiche del settore e l’esperienza condivisa. La piattaforma consente inoltre ai professionisti SOC di condividere contenuti di rilevamento, prendere parte a iniziative di settore di alto livello e monetizzare i loro preziosi contributi.
