APT41, aktor ancaman yang disponsori negara yang berafiliasi dengan China, melanggar setidaknya enam jaringan pemerintah negara bagian AS antara Mei 2021 dan Februari 2022 dengan memperlengkapi kembali vektor serangannya untuk memanfaatkan aplikasi web yang rentan terhadap internet.
Kerentanan yang dieksploitasi termasuk "kerentanan zero-day dalam aplikasi USAHERDS (CVE-2021-44207) serta zero-day yang sekarang terkenal di Log4j (CVE-2021-44228), kata peneliti dari Mandiant dalam sebuah laporan yang diterbitkan Selasa. , menyebutnya sebagai "kampanye yang disengaja".
Selain kompromi web, serangan terus-menerus juga melibatkan persenjataan untuk mengeksploitasi deserialisasi, injeksi SQL, dan kerentanan traversal direktori, kata perusahaan keamanan siber dan respons insiden.
Ancaman gigih maju yang produktif, juga dikenal dengan monikers Barium dan Winnti, memiliki rekam jejak organisasi penargetan baik di sektor publik dan swasta untuk mengatur kegiatan spionase secara paralel dengan operasi bermotivasi finansial.
Pada awal tahun 2020, grup tersebut dikaitkan dengan kampanye intrusi global yang memanfaatkan berbagai eksploitasi yang melibatkan Citrix NetScaler/ADC, router Cisco, dan Zoho ManageEngine Desktop Central untuk menyerang lusinan entitas di 20 negara dengan muatan berbahaya.
Pengungkapan terbaru melanjutkan tren APT41 dengan cepat mengkooptasi kerentanan yang baru diungkapkan seperti Log4Shell untuk mendapatkan akses awal ke jaringan target dua pemerintah negara bagian AS bersama perusahaan asuransi dan telekomunikasi dalam beberapa jam setelah menjadi pengetahuan publik.
Penyusupan berlanjut hingga Februari 2022 ketika kru peretasan kembali mengkompromikan dua korban pemerintah negara bagian AS yang disusupi untuk pertama kalinya pada Mei dan Juni 2021, "menunjukkan keinginan tak henti-hentinya mereka untuk mengakses jaringan pemerintah negara bagian," kata para peneliti.
Terlebih lagi, pijakan yang didirikan setelah eksploitasi Log4Shell menghasilkan penyebaran varian baru dari pintu belakang C++ modular yang disebut KEYPLUG pada sistem Linux, tetapi tidak sebelum melakukan pengintaian ekstensif dan pengambilan kredensial dari lingkungan target.
Juga diamati selama serangan adalah penetes dalam memori yang disebut DUSTPAN (alias StealthVector) yang diatur untuk mengeksekusi payload tahap berikutnya, di samping alat pasca-kompromi canggih seperti DEADEYE, pemuat malware yang bertanggung jawab untuk meluncurkan implan LOWKEY.
Kepala di antara berbagai teknik, metode penghindaran, dan kemampuan yang digunakan oleh APT41 melibatkan penggunaan layanan Cloudflare yang "meningkat secara substansial" untuk komunikasi perintah-dan-kontrol (C2) dan eksfiltrasi data, kata para peneliti.
Meskipun Mandiant mencatat telah menemukan bukti dari musuh yang mengekstrak informasi pribadi yang biasanya sejalan dengan operasi spionase, tujuan akhir dari kampanye saat ini tidak jelas.
Temuan ini juga menandai kedua kalinya kelompok negara-bangsa China menyalahgunakan kelemahan keamanan di perpustakaan Apache Log4j di mana-mana untuk menembus target.
Pada Januari 2022, Microsoft merinci kampanye serangan yang dipasang oleh Hafnium – aktor ancaman di balik eksploitasi luas kelemahan Exchange Server setahun yang lalu – yang memanfaatkan kerentanan untuk "menyerang infrastruktur virtualisasi untuk memperluas penargetan tipikal mereka."
Jika ada, aktivitas terbaru adalah tanda lain dari musuh yang terus beradaptasi yang mampu mengubah tiang gawangnya serta menyempurnakan gudang malwarenya untuk menyerang entitas di seluruh dunia yang memiliki kepentingan strategis.
Operasi siber APT41 terhadap sektor perawatan kesehatan, teknologi tinggi, dan telekomunikasi selama bertahun-tahun telah menarik perhatian Departemen Kehakiman AS, yang mengeluarkan dakwaan terhadap lima anggota kelompok tersebut pada tahun 2020, menempatkan para peretas di tempat yang paling dicari di dunia maya FBI. Daftar.
"APT41 dapat dengan cepat mengadaptasi teknik akses awal mereka dengan kembali mengkompromikan lingkungan melalui vektor yang berbeda, atau dengan cepat mengoperasionalkan kerentanan baru," kata para peneliti. "Kelompok ini juga menunjukkan kesediaan untuk memperlengkapi kembali dan menyebarkan kemampuan melalui vektor serangan baru sebagai lawan dari memegangnya untuk penggunaan di masa depan."
Dalam perkembangan terkait, Grup Analisis Ancaman Google mengatakan pihaknya mengambil langkah-langkah untuk memblokir kampanye phishing yang dilakukan oleh kelompok lain yang didukung negara China yang dilacak sebagai APT31 (alias Zirkonium) bulan lalu yang ditujukan untuk "pengguna Gmail profil tinggi yang berafiliasi dengan pemerintah AS. "