Grupo APT especializado en explotación de n-days | DKCERT
Una nueva guía de la Agencia Australiana de Seguridad Cibernética señala por qué es importante implementar parches tan pronto como se emitan.
Esa es la conclusión después de que la agencia se dio cuenta de un actor de amenazas chino patrocinado por el estado llamado APT40 que se enfoca en explotar vulnerabilidades de software recientemente descubiertas (día n), a menudo pocas horas después de su lanzamiento público.
Esto es según un artículo de la revista Infosecurity, cuya historia se basa en la guía emitida, que fue preparada en colaboración entre agencias de seguridad cibernética de EE. UU., Reino Unido, Canadá, Nueva Zelanda, Alemania, Corea del Sur y Japón. En esto, parece que APT40 explota una infraestructura pública vulnerable en lugar de utilizar técnicas que requieren la interacción del usuario y que normalmente se difunden a través de campañas de phishing.
El método consiste en que APT40 realiza periódicamente reconocimientos de las redes de destino para identificar dispositivos vulnerables, obsoletos o que ya no se mantienen en las redes de interés. El propósito de esto es implementar exploits rápidamente. Parece que este reconocimiento permite al grupo explotar vulnerabilidades recientes conocidas públicamente en software ampliamente utilizado como Log4j, Atlassian Confluence y Microsoft Exchange a los pocos días o incluso horas de su lanzamiento público. Es decir, cuando se trata del llamado día n; n-día se refiere al período entre la divulgación de una vulnerabilidad y el parcheo de los sistemas afectados. Que se llame día n es una expresión del hecho de que es arbitrario cuando se solucionan las vulnerabilidades.
La guía destaca el hecho notable de que APT40 tiene la capacidad de transformar y adaptar rápidamente pruebas de concepto (POC) de explotación de nuevas vulnerabilidades y utilizarlas «instantáneamente» contra redes que tienen la infraestructura para la vulnerabilidad asociada. Aparentemente, no se trata solo de vulnerabilidades recién descubiertas, sino también de vulnerabilidades antiguas, y se menciona que las vulnerabilidades de 2017 fueron explotadas por APT40.
Una vez dentro de una red, APT40 se especializa en técnicas de evasión y persistencia para exfiltrar datos confidenciales en nombre del Ministerio de Seguridad del Estado de China, estiman las agencias.
La guía establece además que APT40 también ha adoptado lo que llama una tendencia global de explotar dispositivos comprometidos, incluidas las pequeñas oficinas/oficinas en el hogar (SOHO), un punto de lanzamiento para ataques que se mezclan con tráfico legítimo. Debería ocultar la actividad maliciosa.
Esta técnica también es utilizada regularmente por otros actores patrocinados por el estado en China, y para APT40, esto representa una evolución en los métodos de APT40. Anteriormente, se sabía que el grupo utilizaba sitios web australianos comprometidos como servidores de comando y control para sus operaciones.
Enlaces:
https://www.infosecurity-magazine.com/news/chinese-state-exploits/