Οι Κινέζοι hackers APT41 στοχεύουν οργανισμούς στην Ιταλία, την Ισπανία, την Ταϊβάν, την Ταϊλάνδη, την Τουρκία και το Ηνωμένο Βασίλειο, που δραστηριοποιούνται στους τομείς της παγκόσμιας ναυτιλίας και των logistics, των μέσων ενημέρωσης και της ψυχαγωγίας, της τεχνολογίας και της αυτοκινητοβιομηχανίας.
Σύμφωνα με μια νέα έκθεση της Mandiant, η κινεζική ομάδα διείσδυσε στα δίκτυα των οργανισμών και διατήρησε παρατεταμένη, μη εξουσιοδοτημένη πρόσβαση από το 2023. Ως αποτέλεσμα, οι hackers κατάφεραν να κλέβουν ευαίσθητα δεδομένα για πολύ καιρό.
Η εταιρεία κυβερνοασφάλειας λέει ότι η APT41 είναι μια από τις πιο επικίνδυνες κινεζικές hacking ομάδες λόγω της χρήσης non-public malware που συνήθως προορίζονται για επιχειρήσεις κατασκοπείας στα πλαίσια κρατικών hacking επιχειρήσεων.
Δείτε επίσης: Κινέζοι hackers διανέμουν τα SpiceRAT και SugarGh0st malware
Οι επιθέσεις των hackers APT41 περιλαμβάνουν τη χρήση web shells (ANTSWORD και BLUEBEAM), custom droppers (DUSTPAN και DUSTTRAP) και δημοσίως διαθέσιμων εργαλείων (SQLULDR2 και PINEGROVE) για την επίτευξη persistence, την παράδοση πρόσθετων κακόβουλων payloads και την εξαγωγή δεδομένων.
Τα web shells λειτουργούν ως αγωγός για τη λήψη του DUSTPAN (aka StealthVector) dropper που είναι υπεύθυνο για τη φόρτωση του Cobalt Strike Beacon. Αυτή η διαδικασία γίνεται για επικοινωνία command-and-control (C2). Στη συνέχεια, ακολουθεί η ανάπτυξη του DUSTTRAP dropper μετά το lateral movement.
Το DUSTTRAP dropper έχει διαμορφωθεί για να αποκρυπτογραφεί ένα κακόβουλο payload και να το εκτελεί στη μνήμη. Αυτό, με τη σειρά του, δημιουργεί επαφή με έναν διακομιστή που ελέγχεται από τους hackers APT41 ή έναν παραβιασμένο λογαριασμό Google Workspace. Στόχος είναι να αποκρύψει τις κακόβουλες δραστηριότητές του.
Δείτε επίσης: Οι Κινέζοι hackers UNC3886 χρησιμοποιούν ευπάθειες Fortinet, Ivanti και VMware
Το DUSTTRAP έχει και 15 plugins ικανά να εκτελούν shell commands, file system operations, τερματισμό διεργασιών, καταγραφή πληκτρολογήσεων, λήψη screenshots, συλλογή πληροφοριών συστήματος και τροποποίηση του μητρώου των Windows.
Η Google είπε ότι οι προσδιορισμένοι λογαριασμοί Workspace έχουν διορθωθεί για να αποτραπεί η μη εξουσιοδοτημένη πρόσβαση. Ωστόσο, δεν αποκάλυψε πόσοι λογαριασμοί επηρεάστηκαν.
Οι Κινέζοι hackers APT41χρησιμοποιούν και το SQLULDR2 για την εξαγωγή δεδομένων από τις βάσεις δεδομένων Oracle και το PINEGROVE για τη μετάδοση μεγάλων όγκων ευαίσθητων δεδομένων από παραβιασμένα δίκτυα.
Δείτε επίσης: Κινέζοι hackers χρησιμοποιούσαν συσκευές F5 BIG-IP για κυβερνοκατασκοπεία
Οι επιθέσεις από τους hackers APT41 υπογραμμίζουν την ανάγκη για θέσπιση ισχυρών μέτρων κυβερνοασφάλειας μεταξύ των οργανισμών. Με την ικανότητά τους να στοχεύουν πολλαπλούς κλάδους σε διάφορες χώρες και με τη χρήση προηγμένων τεχνικών και malware, είναι ζωτικής σημασίας για τις εταιρείες να ενημερώνουν συνεχώς την άμυνά τους έναντι τέτοιων απειλών. Όσο συνεχίζουν να λειτουργούν hacking ομάδες όπως η APT41, η σημασία της κυβερνοασφάλειας δεν μπορεί να υπερεκτιμηθεί. Συνολικά, είναι σημαντικό για τους οργανισμούς να παραμείνουν σε επαγρύπνηση και να λαμβάνουν τις απαραίτητες προφυλάξεις για την προστασία των ευαίσθητων δεδομένων τους από πιθανές επιθέσεις στον κυβερνοχώρο. Η ενημέρωση με τα πιο πρόσφατα μέτρα ασφαλείας και η τακτική διενέργεια αξιολογήσεων μπορεί να βοηθήσει στον μετριασμό του κινδύνου. Η ασφάλεια πρέπει να αποτελεί κορυφαία προτεραιότητα για όλες τις επιχειρήσεις στη σημερινή ψηφιακή εποχή.
Πηγή: thehackernews.com
