FortiGuard Labs è a conoscenza di un rapporto secondo cui l’attore della minaccia APT41 ha compromesso almeno sei reti appartenenti ai governi statali degli Stati Uniti tra maggio 2021 e febbraio 2022. Per prendere piede nella rete della vittima, l’attore della minaccia ha utilizzato una serie di diversi vettori di attacco: sfruttamento di vulnerabilità Applicazioni Web che affrontano Internet e vulnerabilità di attraversamento delle directory, esecuzione di SQL injection e attacchi di deserializzazione. L’intento di APT41 sembra essere una ricognizione, anche se non è stato ancora determinato come utilizzare le informazioni rubate. Perché è significativo? Ciò è significativo perché almeno sei sistemi del governo statale degli Stati Uniti sono stati violati e l’esfiltrazione dei dati è stata eseguita da APT41 fino a febbraio 2022 Inoltre, una vulnerabilità zero-day nell’applicazione USAHerds (CVE-2021-44207) e Log4j ( CVE-2021-44228), tra gli altri, sono stati sfruttati negli attacchi Qual è il dettaglio dell’attacco? APT41 ha eseguito diversi modi per entrare nelle reti prese di mira. In un caso, il gruppo ha sfruttato una vulnerabilità di SQL injection in un Web rivolto a Internet applicazioni. In un altro caso, una vulnerabilità allora precedentemente sconosciuta (CVE-2021-44207) in USAHerds, che è un’applicazione web utilizzata dai funzionari dell’agricoltura per gestire il controllo e la prevenzione delle malattie degli animali, l’identificazione e il movimento del bestiame. Inoltre, secondo quanto riferito, APT41 ha iniziato a sfruttare la famigerata vulnerabilità Log4j (CVE-2021-44228) entro poche ore dalla disponibilità del codice Proof-of-Concept (PoC). Sono disponibili patch per entrambe le vulnerabilità. Una volta che è riuscito a penetrare nella rete della vittima, l’attore della minaccia ha eseguito attività di ricognizione e raccolta delle credenziali. Che cos’è APT41? APT41 è un attore di minacce attivo almeno dal 2012. Conosciuto anche come TA415, Double Dragon, Barium, GREF e WickedPanda, il gruppo svolge attività di spionaggio sponsorizzate dallo stato cinese. APT41 si rivolge a organizzazioni in più paesi in un’ampia gamma di settori, come telecomunicazioni, industria e ingegneria e think tank. Nel 2020, cinque presunti membri del gruppo sono stati accusati dal Dipartimento di Giustizia degli Stati Uniti di aver violato più di 100 aziende negli Stati Uniti. Quali sono gli strumenti utilizzati da APT41? È noto che APT41 utilizza i seguenti strumenti: ASPXSpy – web shell backdoorBITSAdmin – Cmdlet di PowerShell per la creazione e la gestione dei trasferimenti di file. BLACKCOFFEE – backdoor che maschera le sue comunicazioni come traffico benigno verso siti Web legittimi certutil – strumento di utilità della riga di comando utilizzato per manipolare dati e componenti dell’autorità di certificazione (CA). China Chopper – backdoor della shell Web che consente all’attaccante per avere accesso remoto a una rete aziendaleCobalt Strike – uno strumento di test di penetrazione commerciale, che consente agli utenti di eseguire un’ampia gamma di attivitàDerusbi – DLL backdoorEmpire – Agente post-exploitation di PowerShell, che fornisce un’ampia gamma di attività di attacco agli utentigh0st RAT – Accesso remoto Trojan (RAT)MESSAGETAP – malware di data mining Mimikatz – credenziali open source dumpernjRAT – Trojan di accesso remoto ( RAT)PlugX – Trojan di accesso remoto (RAT)PowerSploit – framework di sicurezza offensivo e open source che consente agli utenti di eseguire un’ampia gamma di attivitàROCKBOOT – BootkitShadowPad – backdoorWinnti per Linux – Trojan di accesso remoto (RAT) per LinuxZxShell – Trojan di accesso remoto (RAT) )Badpotato – strumento open source che consente di elevare i diritti utente verso System rightsDustPan – caricatore di shellcode. alias StealthVectorDEADEYE – downloaderLOWKEY – backdoorKeyplug – backdoorQuali sono le altre vulnerabilità note per essere sfruttate da APT41?APT41 ha sfruttato le seguenti vulnerabilità, ma non solo, in passato:CVE-2020-10189 (Vulnerabilità di esecuzione di codice remoto di ManageEngine Desktop Central)CVE- 2019-19781 (Vulnerabilità in Citrix Application Delivery Controller, Citrix Gateway e Citrix SD-WAN WANOP appliance)CVE-2019-3396 (Atlassian Confluence Widget Connector Macro Velocity Template Injection)CVE-2017-11882 (Vulnerabilità del danneggiamento della memoria di Microsoft Office)CVE -2017-0199 (Vulnerabilità relativa all’esecuzione di codice in modalità remota in Microsoft Office/WordPad con Windows)CVE-2015-1641 (Vulnerabilità relativa al danneggiamento della memoria di Microsoft Office)CVE-2012-0158 (Vulnerabilità RCE MSCOMCTL.OCX)Sono disponibili patch per tali vulnerabilità?Sì, sono disponibili patch per le vulnerabilità. Qual è lo stato della copertura? FortiGuard Labs dispone della seguente firma AV per questo problema come:Apache.Log4j.Error.Log .Remote.Code.ExecutionFortiGuard Labs fornisce la seguente copertura IPS contro le vulnerabilità sfruttate da APT41:Apache.Log4j.Error.Log.Remote.Code.Execution (CVE-2021-4104 CVE-2021-45046 CVE-2021-44228)ZOHO. ManageEngine.DC.getChartImage.Remote.Code.Execution (CVE-2020-10189)Citrix.Application.Delivery.Controller.VPNs.Directory.Traversal (CVE-2019-19781)Confluence.Widget.Connector.macro.Path.Traversal ( CVE-2019-3396)MS.Office.EQNEDT32.EXE.Equation.Parsing.Memory.Corruption (CVE-2017-11882 CVE-2018-0798 CVE-2018-0802)MS.Office.RTF.File.OLE.autolink. Code.Execution (CVE-2017-0199 CVE-2017-8570)MS.Office.RTF.Array.Out.of.bounds.Memory.Corruption (CVE-2015-1641)MS.Windows.MSCOMCTL.ActiveX.Control.Remote .Code.Execution (CVE-2012-0158)MS.Windows.MSCOMCTL.ActiveX.Control.Code.Execution (CVE-2012-0158)Tutti gli IOC di rete sono bloccati dal client WebFiltering.
