Un avis conjoint d'agences internationales de cybersécurité et des forces de l'ordre met en garde contre les tactiques utilisées par le groupe de piratage APT 40, parrainé par l'État chinois, et contre leur détournement de routeurs SOHO pour lancer des attaques de cyberespionnage.

APT 40, également connu sous le nom de Kryptonite Panda, GINGHAM TYPHOON, Leviathan et Bronze Mohawk, est actif depuis au moins 2011, ciblant les organisations gouvernementales et les principales entités privées aux États-Unis et en Australie.

Auparavant, APT40 était lié à une vague d'attaques ciblant plus de 250 000 serveurs Microsoft Exchange utilisant les vulnérabilités ProxyLogon et des campagnes impliquant l'exploitation de failles dans des logiciels largement utilisés, tels que WinRAR.

Aperçu de l'activité APT40

Comme l'ont déclaré les autorités de cybersécurité et les agences gouvernementales d'Australie, des États-Unis, du Royaume-Uni, du Canada, de Nouvelle-Zélande, d'Allemagne, de Corée et du Japon, APT40 exploite les vulnérabilités des infrastructures publiques et des périphériques de réseau périphérique au lieu de l'interaction humaine, comme les courriers électroniques de phishing et l'ingénierie sociale.

Les acteurs de la menace sont connus pour exploiter rapidement les nouvelles vulnérabilités dès qu'elles sont divulguées publiquement, l'avis soulignant comme exemples les failles de Log4J, Atlassian Confluence et Microsoft Exchange.

« Notamment, APT40 possède la capacité de transformer et d'adapter rapidement les preuves de concept (POC) d'exploitation de nouvelles vulnérabilités et de les utiliser immédiatement contre les réseaux cibles possédant l'infrastructure de la vulnérabilité associée », peut-on lire dans le communiqué. conseil conjoint rédigé par l'ACSC d'Australie.

« L'APT40 mène régulièrement des opérations de reconnaissance contre des réseaux d'intérêt, y compris des réseaux dans les pays des agences auteurs, à la recherche d'opportunités de compromettre ses cibles. »

Après avoir piraté un serveur ou un périphérique réseau, les pirates chinois déploient des shells Web pour la persistance à l'aide de Secure Socket Funnelling, puis utilisent des informations d'identification valides capturées via Kerberoasting avec RDP pour le mouvement latéral à travers un réseau.

Il est particulièrement intéressant de noter que les acteurs malveillants s'introduisent généralement dans les routeurs SOHO (small office/home office) en fin de vie en utilisant des vulnérabilités N-day et les détournent pour les utiliser comme infrastructure opérationnelle. Ces appareils piratés agissent comme des proxys réseau utilisés par APT40 pour lancer des attaques tout en se fondant dans le trafic légitime provenant du routeur piraté.

D'autres groupes APT chinois sont également connus pour utiliser des réseaux de relais opérationnels (ORB), constitués de routeurs EoL et d'appareils IoT piratés. Ces maillages proxy sont administrés par des cybercriminels indépendants qui donnent accès à plusieurs acteurs parrainés par l'État (APT) pour acheminer le trafic malveillant par proxy.

Dans la phase finale des attaques de cyberespionnage, APT40 accède aux partages SMB et exfiltre les données vers un serveur de commande et de contrôle (C2) tout en supprimant les journaux d'événements et en déployant des logiciels pour maintenir une présence furtive sur le réseau piraté.

Études de cas

L'avis contient deux études de cas de 2022, qui servent de bons exemples pour mettre en évidence les tactiques et les procédures d'APT40.

Dans le premier cas, s'étalant de juillet à septembre 2022, APT40 a exploité une application Web personnalisée pour prendre pied dans le réseau d'une organisation australienne.

À l’aide de shells Web, ils ont effectué une reconnaissance du réseau, accédé à l’Active Directory et exfiltré des données sensibles, y compris des informations d’identification privilégiées.

La deuxième étude de cas concerne un incident survenu entre avril et mai 2022, lorsque APT40 a compromis une organisation en exploitant des failles RCE sur un portail de connexion d'accès à distance.

Ils ont déployé des shells Web, capturé des centaines de paires nom d'utilisateur-mot de passe, des codes MFA et des jetons Web JSON (JWT), et ont finalement élevé leurs privilèges pour récupérer un serveur SQL interne.

Détecter et atténuer les attaques

L'avis fournit une série de recommandations pour atténuer et se défendre contre APT40 et d'autres cybermenaces similaires parrainées par l'État, y compris les chemins de fichiers connus utilisés par les acteurs de la menace pour déployer des outils et des logiciels malveillants.

Les recommandations de défense soulignent l’utilisation d’applications de correctifs en temps opportun, d’une journalisation complète et d’une segmentation du réseau.

De plus, il est recommandé de désactiver les ports et services inutilisés, d'utiliser des pare-feu d'applications Web (WAF), d'appliquer le principe du moindre privilège, d'utiliser l'authentification multifacteur (MFA) pour les services d'accès à distance et de remplacer les équipements en fin de vie (EoL).

Le remplacement des équipements de réseau de périphérie en fin de vie est une priorité, car ces types d'appareils sont censés être exposés au public et, s'ils ne reçoivent plus de correctifs, ils constituent une cible précieuse pour tous les types d'acteurs de la menace.