APT41, de door de staat gesponsorde dreigingsactor die is gelieerd aan China, heeft tussen mei 2021 en februari 2022 ten minste zes Amerikaanse staatsoverheidsnetwerken gehackt door zijn aanvalsvectoren opnieuw in te richten om te profiteren van kwetsbare internetgerichte webapplicaties.
De misbruikte kwetsbaarheden omvatten “een zero-day kwetsbaarheid in de USAHERDS-toepassing (CVE-2021-44207) evenals de nu beruchte zero-day in Log4j (CVE-2021-44228),”, onderzoekers van Mandiant zei in een dinsdag gepubliceerd rapport, dat het een ‘opzettelijke campagne’ noemt.
Naast webcompromissen, omvatten de aanhoudende aanvallen ook de bewapening van het misbruiken van deserialisatie, SQL-injectie en directory-traversal-kwetsbaarheden, merkte het cyberbeveiligings- en incidentresponsbedrijf op.
De productieve geavanceerde aanhoudende dreiging, ook bekend onder de monikers Barium en Winnti, heeft een trackrecord van organisaties in zowel de publieke als de private sector om spionageactiviteiten te organiseren parallel aan financieel gemotiveerde operaties.
Begin 2020 werd de groep gekoppeld aan een wereldwijde inbraakcampagne die gebruikmaakte van een verscheidenheid aan exploits met Citrix NetScaler/ADC, Cisco-routers en Zoho ManageEngine Desktop Central om tientallen entiteiten in 20 landen te treffen met kwaadaardige payloads.
De meest recente onthulling zet de trend voort dat APT41 snel nieuwe geopenbaarde kwetsbaarheden zoals Log4Shell coöpteert om de eerste toegang te krijgen tot doelnetwerken van twee Amerikaanse staatsregeringen naast verzekerings- en telecombedrijven binnen enkele uren nadat het bekend werd.
De inbraken gingen door tot ver in februari 2022, toen de hackploeg twee slachtoffers van de Amerikaanse staatsregering opnieuw in gevaar bracht die voor het eerst waren geïnfiltreerd in mei en juni 2021, “wat hun onophoudelijke verlangen aantoont om toegang te krijgen tot netwerken van de staatsoverheid”, aldus de onderzoekers.
Bovendien resulteerde de voet aan de grond na de exploitatie van Log4Shell in de implementatie van een nieuwe variant van een modulaire C++-backdoor genaamd KEYPLUG op Linux-systemen, maar niet voordat uitgebreide verkenningen en het verzamelen van referenties van de doelomgevingen werden uitgevoerd.
Tijdens de aanvallen werd ook een in-memory dropper waargenomen genaamd DUSTPAN (ook bekend als StealthVector) die is georkestreerd om de volgende fase van payload uit te voeren, naast geavanceerde post-compromis-tools zoals DEADEYEeen malware-loader die verantwoordelijk is voor het starten van de LOWKEY implantaat.
De belangrijkste van de verscheidenheid aan technieken, ontwijkingsmethoden en mogelijkheden die door APT41 werden gebruikt, was het “aanzienlijk toegenomen” gebruik van Cloudflare-services voor command-and-control (C2) -communicatie en gegevensexfiltratie, aldus de onderzoekers.
Hoewel Mandiant opmerkte dat het bewijs vond dat de tegenstanders persoonlijk identificeerbare informatie exfiltreren die typisch in lijn is met een spionageoperatie, is het uiteindelijke doel van de campagne momenteel onduidelijk.
De bevindingen markeren ook de tweede keer dat een Chinese natiestaatgroep beveiligingsfouten in de alomtegenwoordige Apache Log4j-bibliotheek heeft misbruikt om doelen te penetreren.
In januari 2022 heeft Microsoft een aanvalscampagne beschreven die was opgezet door Hafnium – de dreigingsactor achter de wijdverbreide exploitatie van Exchange Server-fouten een jaar geleden – die de kwetsbaarheid gebruikte om “virtualisatie-infrastructuur aan te vallen om hun typische targeting uit te breiden”.
De nieuwste activiteiten zijn in ieder geval het zoveelste teken van een zich voortdurend aanpassende tegenstander die in staat is om zijn doelpalen te verschuiven en zijn malware-arsenaal te verfijnen om entiteiten over de hele wereld die van strategisch belang zijn, aan te vallen.
De cyberoperaties van APT41 tegen de sectoren gezondheidszorg, hightech en telecommunicatie door de jaren heen hebben sindsdien de aandacht getrokken van het Amerikaanse ministerie van Justitie, dat in 2020 vijf leden van de groep aanklaagde, waardoor de hackers een plaats kregen op de meest gezochte cybercriminaliteit van de FBI. lijst.
“APT41 kan hun initiële toegangstechnieken snel aanpassen door een omgeving opnieuw in gevaar te brengen via een andere vector, of door snel een nieuwe kwetsbaarheid te operationaliseren”, aldus de onderzoekers. “De groep toont ook de bereidheid om hun capaciteiten opnieuw in te richten en in te zetten door middel van nieuwe aanvalsvectoren, in plaats van ze vast te houden voor toekomstig gebruik.”
In een gerelateerde ontwikkeling, Google’s Threat Analysis Group zei het heeft stappen ondernomen om een phishing-campagne te blokkeren die was opgezet door een andere Chinese door de staat gesteunde groep die werd gevolgd als APT31 (ook bekend als Zirconium) vorige maand die gericht was op “high-profile Gmail-gebruikers die gelieerd zijn aan de Amerikaanse overheid”.
