Cresce a sofisticação dos ataques de grupos patrocinados por estados: um deles, o APT41, com base na China segundo a Mandiant, fragmentou o beacon Cobalt Strike em 154 partes para criar seu arquivo final durante um ataque examinado pelo Group-IB Threat Intelligence. Num relatório do especialista Nikita Rostovtsev publicado ontem, a empresa identificou 80 ataques do APT41 a organizações privadas e governamentais em todo o mundo.
Veja isso
SANS registra 30% de aumento em número de ataques via RDP
MI5 e FBI explicam por que hackers espionam para a China
O APT41 usou um método incomum para criar as cargas de trabalho nos servidores de destino – isso envolve escrever uma carga codificada sob a forma de um Cobalt Strike Beacon em um arquivo de vários estágios. Para procurar e explorar vulnerabilidades, o grupo usa ferramentas populares como Acunetix, Nmap, JexBoss, sqlmap e fofa.su (um equivalente chinês do Shodan).
O Group-IB estima que em 2021 o APT41 comprometeu e ganhou vários níveis de acesso a pelo menos 13 organizações em todo o mundo. Os alvos do grupo incluem organizações governamentais e privadas com sede nos EUA, Taiwan, Índia, Tailândia, China, Hong Kong, Mongólia, Indonésia, Vietnã, Bangladesh, Irlanda, Brunei e Reino Unido. Nas campanhas analisadas, o APT41 teve como alvo os seguintes setores: setor governamental, manufatura, saúde, logística, hotelaria, finanças, educação, telecomunicações, consultoria, esportes, mídia e viagens. Os alvos também incluíam um grupo político, organizações militares e companhias aéreas.
Como vetor inicial, o grupo utiliza aplicações web vulneráveis a ataques de injeção de SQL. Ao executar injeções de SQL, o APT41 obtém acesso ao shell de comando de um servidor de destino e se torna capaz de executar comandos. O relatório avalia que em 2021 o APT41 detectou e explorou oportunidades de injeção de SQL em 43 dos 86 aplicativos da web analisados. A principal ferramenta usada em suas campanhas é um Cobalt Strike Beacon personalizado. E os dias “úteis” do APT41 vão de segunda a sexta-feira, geralmente começam das 10h (UTC +8) até por volta das 19h.
O relatório está em “https://blog.group-ib.com/apt41-world-tour-2021”