Alerta US-CERT AA20-275A – Fique Seguro
Índice:
Em 1º de outubro, a Agência de Cibersegurança e Segurança de Infraestrutura publicou um parecer conjunto de cibersegurança da CISA e do FBI sobre a atividade ameaçadora afiliada ao Ministério da Segurança do Estado da China, emitido como o Alerta AA20-275A.
Este alerta foi enviado para ressoar com as tensões crescentes entre os Estados Unidos e a China, que se seguiram a acusações de medidas de controle insuficientes tomadas pela China devido ao surto de coronavírus, bem como acusações de violações dos direitos humanos, espionagem e roubo de propriedade intelectual.
A SOC Prime, como pioneira e organização líder no setor para Detecção como Código, está sempre de olho nas ameaças emergentes para ajudar os profissionais de segurança a se defenderem proativamente contra elas. Em resposta ao Alerta AA20-275A, sentimos nossa responsabilidade de fornecer às infraestruturas críticas informações sobre a gravidade das ameaças e instruções de mitigação usando as capacidades do Threat Detection Marketplace. Aqui você pode encontrar informações sobre o conteúdo de detecção mais visado que aborda ferramentas e frameworks comumente implementados pelos atores de ameaça chineses, bem como vulnerabilidades-chave exploradas por grupos APT.
Atores de Ameaça
Uma variedade de indústrias dos EUA tem sido alvo dos crimes cibernéticos direcionados atribuídos aos grupos de APT patrocinados pelo estado chinês. Em suas atividades maliciosas, os infames atores de ameaça mencionados no Alerta AA20-275A atingiram instalações críticas de manufatura, instituições financeiras e governamentais, ativos da indústria de defesa, organizações de saúde e instituições educacionais.
| Atores de ameaça chineses | Conteúdo de Detecção |
| APT3 | Conteúdo para detectar ataques APT3 |
| APT10 | Conteúdo para detectar ataques APT10 |
| APT19 | Conteúdo para detectar ataques APT19 |
| APT40 (também conhecido como Leviathan) | Conteúdo para detectar ataques APT40 |
| APT41 | Conteúdo para detectar ataques APT41 |
Ferramentas & Frameworks
Abaixo, fornecemos links para o conteúdo de detecção em Hacktools comumente utilizados pelos atores de ameaça chineses associados aos ataques orquestrados de TTPs que visam redes empresariais e mencionados no Alerta AA20-275A.
| Ferramentas usadas pelos atores de ameaça chineses | Conteúdo acionável no Threat Detection Marketplace |
| Cobalt Strike | Conteúdo contra o Cobalt Strike |
| Mimikatz | Conteúdo para detectar Mimikatz |
| PoisonIvy | Conteúdo para detectar PoisonIvy |
| PowerShell Empire | Conteúdo para detectar PowerShell Empire |
| China Chopper Web Shell | Conteúdo para detectar China Chopper Web Shell |
Vulnerabilidades CVE
Para proteger redes empresariais críticas, é vital adotar recomendações técnicas sobre o patch de vulnerabilidades conhecidas. Para reduzir a vulnerabilidade geral da infraestrutura, as organizações precisam manter um ciclo de patching. O Threat Detection Marketplace fornece conteúdo acionável para identificar atividades maliciosas conectadas à exploração de vulnerabilidades listadas no Alerta AA20-275A.
| Vulnerabilidade | Conteúdo para detectar atividade maliciosa |
| CVE-2012-0158 | Conteúdo para detectar CVE-2012-0158 |
| CVE-2020-5902 | Conteúdo para detectar CVE-2020-5902 |
| CVE-2019-19781 | Conteúdo para detectar CVE-2019-19781 |
| CVE-2019-11510 | Conteúdo para detectar CVE-2019-11510 |
| CVE-2020-10189 | Conteúdo para detectar CVE-2020-10189 |
Pronto para experimentar o SOC Prime Threat Detection para melhorar suas soluções de segurança? Inscreva-se gratuitamente. Ou junte-se ao Programa Threat Bounty para desenvolver seu próprio conteúdo e compartilhá-lo com a comunidade do Threat Detection Marketplace.