El actor patrocinado por el estado chino APT40 se está centrando en explotar vulnerabilidades de software recientemente descubiertas (días N), a menudo pocas horas después de su publicación pública, advirtió un aviso conjunto del gobierno.
El Centro Australiano de Seguridad Cibernética de la Dirección de Señales de Australia (ACSC de ASD), junto con agencias asociadas de EE. UU., Reino Unido, Canadá, Nueva Zelanda, Alemania, Corea del Sur y Japón, señalaron que el grupo prefiere explotar la infraestructura pública vulnerable a las técnicas que requieren interacción del usuario, como campañas de phishing.
APT40 lleva a cabo reconocimientos periódicos de las redes objetivo para identificar dispositivos vulnerables, al final de su vida útil o que ya no se mantienen en las redes de interés, y para implementar rápidamente exploits.
Es capaz de explotar vulnerabilidades públicas recientes en software ampliamente utilizado como Log4j, Atlassian Confluence y Microsoft Exchange a los pocos días o incluso horas de su lanzamiento público.
«En particular, APT40 posee la capacidad de transformar y adaptar rápidamente pruebas de concepto (POC) de explotación de nuevas vulnerabilidades y utilizarlas inmediatamente contra redes objetivo que poseen la infraestructura de la vulnerabilidad asociada», se lee en el aviso.
Una vez dentro de una red, APT40 se especializa en técnicas de evasión y persistencia para exfiltrar datos confidenciales en nombre del Ministerio de Seguridad del Estado de la República Popular China (RPC), evaluaron las agencias.
APT40 ha apuntado repetidamente a las redes australianas, así como a las redes gubernamentales y del sector privado en la región, y sigue siendo una amenaza para las naciones de otras agencias autoras.
La actividad y las técnicas del grupo se superponen con los actores de amenazas identificados como Kryptonite Panda, GINGHAM TYPHOON, Leviathan y Bronze Mohawk en los informes de la industria.
La ASD dijo que APT40 ha adoptado una tendencia global de utilizar dispositivos comprometidos, incluidas las pequeñas oficinas/oficinas en el hogar (SOHO), como redirectores de último salto de infraestructura operativa para sus operaciones en Australia.
Muchos de estos dispositivos SOHO están al final de su vida útil o no tienen parches, lo que ofrece un objetivo fácil para la explotación del día N. Una vez comprometidos, estos dispositivos también proporcionan un punto de partida para que los ataques se mezclen con el tráfico legítimo, ocultando la actividad maliciosa.
Esta técnica también la utilizan regularmente otros actores patrocinados por el estado de la República Popular China, dijeron las agencias autoras.
El aviso también proporcionó estudios de casos de ataques APT40 anteriores, que destacaron tácticas, técnicas y procedimientos utilizados por el grupo para moverse lateralmente a través de las redes evitando la detección después del compromiso.
Estos estudios de caso destacaron los siguientes temas comunes:
-Enumeración de hosts, para construir un mapa de la red de destino.
-Explotación de aplicaciones orientadas a Internet y uso de shell web para obtener un punto de apoyo inicial en la red y la capacidad de ejecutar comandos.
-Explotación de vulnerabilidades de software para escalar privilegios
-Recogida de credenciales para permitir el movimiento lateral.
-Diagrama de flujo TTP para la actividad APT40. Fuente: Dirección de Señales de Australia
-Diagrama de flujo TTP para la actividad APT40. Fuente: Dirección de Señales de Australia
Recomendaciones de seguridad para organizaciones objetivo de APT40
Las agencias emitieron una serie de recomendaciones para mitigar las técnicas empleadas por APT40. Éstas incluyen:
-Garantizar que se apliquen parches o mitigaciones de seguridad a todas las nuevas vulnerabilidades en dispositivos y servicios expuestos a Internet en un plazo de 48 horas.
-Siempre que sea posible, utilice las últimas versiones de software y sistemas operativos.
-Segmentar las redes para limitar o bloquear el movimiento lateral negando el tráfico entre computadoras a menos que sea necesario.
-Deshabilite servicios, puertos y protocolos de red no utilizados o innecesarios
-Utilice firewalls de aplicaciones web (WAF) bien ajustados para proteger los servidores y las aplicaciones web.
-Aplique privilegios mínimos para limitar el acceso a servidores, recursos compartidos de archivos y otros recursos.
-Utilice la autenticación multifactor (MFA) y cuentas de servicios administrados para que las credenciales sean más difíciles de descifrar y reutilizar.
-Conserve información de registro histórica completa en áreas como registros de solicitudes de servidores web, registros de eventos de Windows y registros de proxy de Internet para mejorar la eficacia y la velocidad de las investigaciones.