APT40, bir Çin devlet destekli aktörOrtak bir hükümet duyurusuna göre, , saatler içinde bunlardan yararlanmayı amaçlayan yeni keşfedilen yazılım açıklarını hedef alıyor.
ABD’deki Siber Güvenlik ve Altyapı Güvenlik Ajansı, FBI ve Ulusal Güvenlik Ajansı ile Avustralya, İngiltere, Kanada, Yeni Zelanda, Almanya, Güney Kore ve Japonya’daki hükümet kuruluşları tarafından kaleme alınan danışma raporunda, siber grubun Çin’deki diğer devlet destekli aktörler tarafından yaygın olarak kullanılan teknikleri kullanarak çeşitli farklı alanlardaki kuruluşları hedef aldığı belirtildi. Örneğin, Avustralya ağlarını defalarca hedef aldı ve devam eden bir tehdit olmaya devam ediyor, kuruluşlar uyardı.
Kullanıcı etkileşimi gerektiren teknikler kullanmak yerine, grup görünüşe göre savunmasız, kamuya açık altyapıyı istismar etmeyi tercih ediyor ve geçerli kimlik bilgileri edinmeyi önceliklendiriyor. Genellikle, kullanılabilir hale gelir gelmez kamuya açık istismarlara atlıyor ve kuruluşlar için bir “yama yarışı” durumu oluşturuyor.
“Genel kullanıma açık altyapıya odaklanmak ilginç. En az dirençli yolu aradıklarını gösteriyor; doğrudan açığa çıkan güvenlik açıklarına vurabileceğiniz zaman neden ayrıntılı kimlik avı kampanyalarıyla uğraşasınız ki?” diyor DoControl’de ürün müdürü olan Tal Mandel Bar.
APT yeni ifşa edilen hataları hedef alıyor ancak aynı zamanda elinde çok sayıda eski istismar da var, dedi kurumlar. Bu nedenle, kapsamlı bir güvenlik açığı yönetimi çabası gerekiyor.
“Güvenlik ekiplerinin güvenlik açıklarını derhal yamamaları ve özellikle hızla adapte olan APT40 durumunda güvenilir kaynaklardan gelen uyarıları takip etmeleri zorunludur. genel kavram kanıtı (PoC) istismarlarıKeeper Security’nin CEO’su ve kurucu ortağı Darren Guccione, Dark Reading’e gönderdiği bir e-postada şöyle yazdı: “Bu grup, 2017’den bu yana var olan güvenlik açıkları da dahil olmak üzere, savunmasız, kullanım ömrü dolmuş veya artık bakımı yapılmayan cihazları düzenli olarak kullandığı için, kuruluşların yazılımlarını düzenli olarak güncellemeleri ve güvenlik açıkları kamuoyuna açıklanır açıklanmaz yamaları uygulamaları zorunludur. Artık bakımı yapılmayan veya hızlı bir şekilde yama uygulanamayan cihazlar çevrimdışı bırakılmalıdır.”
APT40’ın Kapsamlı Keşif Çalışmaları
Ortak danışmaya göre APT40, “yazarlık ajanslarının ülkelerindeki ağlar da dahil olmak üzere, hedeflerini tehlikeye atma fırsatları arayarak” ilgi duyulan ağlara karşı düzenli olarak keşifler yürütüyor. Grup daha sonra kalıcılık için Web kabukları dağıtıyor ve hassas depolarından bilgi sızdırmaya odaklanıyor.
“APT40 tarafından çalınan veriler iki amaca hizmet ediyor: Devlet casusluğu için kullanılıyor ve daha sonra Çinli şirketlere devredildiNozomi Networks’te siber güvenlik stratejisi direktörü Chris Grove, Dark Reading’e gönderdiği e-postada şöyle yazdı: “Kritik veri veya operasyonlara sahip kuruluşlar, bu hükümet uyarılarını ciddiye almalı ve savunmalarını buna göre güçlendirmelidir. Bu tür tehditleri avlamada savunmacılara yardımcı olan bir yetenek, saldırganlar için izinsiz giriş tespiti görevi gören ve varlıklarını ortaya çıkaracak kötü amaçlı yazılımları dağıtmaktan kaçınan gelişmiş anormallik tespit sistemleridir.”
APT40, operasyonlar için küçük ofis/ev ofisi (SOHO) cihazları gibi tehlikeye atılmış uç noktaları kullanmayı da benimseyerek tekniklerini geliştirdi ve bu da nihayetinde yazarlık ajanslarının grubu daha iyi izleyebilmesine yol açtı. Bu taktik, Volt Typhoon tarafından kötü şöhretli bir şekilde kullanılırDanışma yazısında, grubun faaliyetlerinin Kryptonite Panda, Gingham Typhoon, Leviathan ve Bronze Mohawk gibi Çin destekli diğer tehdit gruplarına benzeyen birçok yönünden biri olduğu belirtildi.
Danışmanlıkta, ajanslar şunları sağlar: Azaltma teknikleri APT40’ın kullandığı ilk erişim, yürütme, kalıcılık ve ayrıcalık yükseltme dahil olmak üzere dört ana taktik, teknik ve prosedür (TTP) türü için.