APT41, l’acteur de la menace parrainé par l’État et affilié à la Chine, a piraté au moins six réseaux gouvernementaux américains entre mai 2021 et février 2022 en réorganisant ses vecteurs d’attaque pour tirer parti des applications Web vulnérables accessibles sur Internet.
Les vulnérabilités exploitées comprenaient « une vulnérabilité zero-day dans l’application USAHERDS (CVE-2021-44207) ainsi que le désormais tristement célèbre zero-day dans Log4j (CVE-2021-44228) », les chercheurs de Mandiant mentionné dans un rapport publié mardi, qualifiant cela de « campagne délibérée ».
Outre les compromissions Web, les attaques persistantes impliquaient également la militarisation de l’exploitation des vulnérabilités de désérialisation, d’injection SQL et de traversée de répertoires, a noté la société de cybersécurité et de réponse aux incidents.
La menace persistante avancée prolifique, également connue sous les surnoms Barium et Winnti, a un palmarès de cibler des organisations des secteurs public et privé pour orchestrer des activités d’espionnage parallèlement à des opérations à motivation financière.
Début 2020, le groupe a été lié à une campagne mondiale d’intrusion qui a exploité une variété d’exploits impliquant Citrix NetScaler/ADC, les routeurs Cisco et Zoho ManageEngine Desktop Central pour frapper des dizaines d’entités dans 20 pays avec des charges utiles malveillantes.
La dernière divulgation poursuit la tendance d’APT41 à coopter rapidement les vulnérabilités nouvellement divulguées telles que Log4Shell pour obtenir un accès initial aux réseaux cibles de deux gouvernements d’États américains aux côtés de sociétés d’assurance et de télécommunications dans les heures qui suivent leur diffusion publique.
Les intrusions se sont poursuivies jusqu’en février 2022 lorsque l’équipe de piratage a compromis à nouveau deux victimes du gouvernement de l’État américain qui ont été infiltrées pour la première fois en mai et juin 2021, « démontrant leur désir incessant d’accéder aux réseaux du gouvernement de l’État », ont déclaré les chercheurs.
De plus, l’implantation établie après l’exploitation de Log4Shell a entraîné le déploiement d’une nouvelle variante d’une porte dérobée C++ modulaire appelée KEYPLUG sur les systèmes Linux, mais pas avant d’avoir effectué une reconnaissance et une collecte d’informations d’identification approfondies des environnements cibles.
Un compte-gouttes en mémoire appelé DUSTPAN (aka Vecteur furtif) qui est orchestrée pour exécuter la charge utile de l’étape suivante, aux côtés d’outils post-compromis avancés tels que ŒIL MORTun chargeur de logiciels malveillants chargé de lancer le DISCRET implant.
Le principal parmi la variété de techniques, de méthodes d’évasion et de capacités utilisées par APT41 impliquait l’utilisation « considérablement accrue » des services Cloudflare pour les communications de commande et de contrôle (C2) et l’exfiltration de données, ont déclaré les chercheurs.
Bien que Mandiant ait noté avoir trouvé des preuves que les adversaires exfiltraient des informations personnellement identifiables qui sont généralement conformes à une opération d’espionnage, le but ultime de la campagne n’est actuellement pas clair.
Les découvertes marquent également la deuxième fois qu’un groupe d’États-nations chinois a abusé des failles de sécurité de la bibliothèque omniprésente Apache Log4j pour pénétrer des cibles.
En janvier 2022, Microsoft a détaillé une campagne d’attaque montée par Hafnium – l’acteur de la menace derrière l’exploitation généralisée des failles d’Exchange Server il y a un an – qui a utilisé la vulnérabilité pour « attaquer l’infrastructure de virtualisation pour étendre son ciblage typique ».
Si quoi que ce soit, les dernières activités sont encore un autre signe d’un adversaire en constante adaptation qui est capable de déplacer ses poteaux de but ainsi que d’affiner son arsenal de logiciels malveillants pour frapper des entités à travers le monde qui présentent un intérêt stratégique.
Les cyber-opérations d’APT41 contre les secteurs de la santé, de la haute technologie et des télécommunications au fil des ans ont depuis attiré l’attention du ministère américain de la Justice, qui a porté des accusations contre cinq membres du groupe en 2020, ce qui a permis aux pirates de se faire une place sur les sites les plus recherchés du FBI. liste.
« APT41 peut rapidement adapter ses techniques d’accès initiales en compromettant à nouveau un environnement via un vecteur différent, ou en opérationnalisant rapidement une nouvelle vulnérabilité », ont déclaré les chercheurs. « Le groupe démontre également une volonté de réoutiller et de déployer des capacités via de nouveaux vecteurs d’attaque au lieu de les conserver pour une utilisation future. »
Dans un développement connexe, le groupe d’analyse des menaces de Google mentionné il a pris des mesures pour bloquer une campagne de phishing organisée par un autre groupe soutenu par l’État chinois suivi comme APT31 (alias Zirconium) le mois dernier qui visait « les utilisateurs de haut niveau de Gmail affiliés au gouvernement américain ».