Grupo de Hackers APT41 em Busca de Meses Violando Redes do Governo Estadual dos EUA

[post-views]
Março 14, 2022 · 4 min de leitura
Grupo de Hackers APT41 em Busca de Meses Violando Redes do Governo Estadual dos EUA

Os atores do APT41 comprometeram seis e contando redes de governos estaduais dos EUA a partir de maio do ano passado. APT41 conduziu numerosas explorações de aplicações web públicas, incluindo o uso do infame zero-day em Log4j, e explorando a CVE-2021-44207 na aplicação web USAHERDS, que é usada em 18 estados para monitorar e relatar a saúde animal. Os ataques recentes são caracterizados por adversários utilizando ferramentas de pós-comprometimento como o downloader DeadEye, responsável por lançar o backdoor LOWKEY.

Detectando As Atividades do Grupo de Hackers APT41

Para garantir que sua organização não esteja na lista de vítimas do APT41, use as seguintes regras para detectar comandos suspeitos do grupo APT41 modificando as tarefas agendadas existentes que rodam sob o contexto do SYSTEM:

Criações Persistentes do DEADEYE Dropper do APT-41 (via Cmdline)

Execução Suspeita do APT41 por Tarefa Agendada Modificada (via criação de processo)

Esta detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro e AWS OpenSearch.

As regras estão alinhadas com a última versão do framework MITRE ATT&CK® v.10, abordando a tática de Execução com Tarefa/Trabalho Agendado (T1053) como técnica principal.

As regras são fornecidas pelos nossos desenvolvedores diligentes do Threat Bounty Kyaw Pyiyt Htet and Nattatorn Chuensangarun, mantendo um olhar atento sobre as ameaças emergentes.

Especialistas em cibersegurança são mais que bem-vindos para se juntar ao programa Threat Bounty para aproveitar o poder da comunidade e ser recompensado por seus conteúdos de detecção de ameaças.

Ver Detecções Junte-se ao Threat Bounty

Intrusões do APT41 no Governo dos EUA

APT41 é um grupo de hackers notório patrocinado pelo estado chinês. O ator de ameaça também é conhecido como TA415, Double Dragon, Barium, GREF, Wicked Spider e Wicked Panda.

De acordo com evidências recentes, o APT41 violou pelo menos seis sistemas de governos estaduais dos EUA desde 2021, e não há sinais de que esta campanha de hacking de meses esteja chegando a um cessar-fogo no futuro próximo. Investigações da Mandiant revelaram que os atores do APT41 têm atacado ativamente vítimas de alto perfil em 2021-22, concentrando-se principalmente em intrusões no governo dos EUA. O APT41 implantou várias abordagens novas, estratégias evasivas e capacidades, de acordo com o relatório acima.

Após obter acesso a uma rede por meio de uma vulnerabilidade de injeção SQL em uma aplicação comprometida, os adversários violam a rede usando um exploit zero-day totalmente novo. Uma vez dentro da rede da vítima, os atores do APT41 realizam atividades de reconhecimento e coleta de credenciais. A gangue também personalizou seu malware para os ambientes de suas vítimas, atualizando regularmente os dados codificados em uma postagem específica em fórum, permitindo que o malware receba instruções do servidor de comando e controle dos atacantes. Para inibir tentativas de engenharia reversa, o APT melhorou o malware que usam com VMProtect, também integrando outro método anti-análise ao emparelhar um DeadEye empacotado com VMProtect em várias seções de disco.

Nos dias de hoje, a prevenção e detecção de ameaças é primordial. Pressão contínua e crescente de atores de ameaça patrocinados por estados como China and Rússia em redes em nível de estado exige medidas eficientes para conter os adversários. Inscreva-se gratuitamente na plataforma Detection as Code da SOC Prime para tornar a detecção de ameaças mais fácil, rápida e eficiente com as melhores práticas da indústria e expertise compartilhada. A plataforma também permite que profissionais SOC compartilhem conteúdo de detecção, participem de iniciativas de alto nível no setor e monetizem suas contribuições valiosas.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Publicações Relacionadas