На протяжении всего 2021 года Group-IB активно изучали атаки APT41
- “Рабочие дни” группы APT41 — с понедельника по пятницу. Среднее рабочее время начинается с 10 утра и заканчивается ближе к 7 вечера по UTC+8.
- В качестве первоначального вектора группа использует веб-приложения, уязвимые к SQL-инъекциям.
- География атак группы включает правительственные и частные организации из США, Тайваня, Индии, Таиланда, Китая, Гонконга, Монголии, Индонезии, Вьетнама, Бангладеша, Ирландии, Брунея и Великобритании.
- Главный инструмент группы в исследованных нами вредоносных кампаниях — кастомный вариант Cobalt Strike Beacon.
- Для разведки группа применяет такие инструменты, как Acunetix, Nmap, Sqlmap, OneForAll, subdomain3, subDomainsBrute, Sublist3r.
- По оценкам Group-IB, группа APT41 за 2021 год нашла и проэксплуатировала SQL-инъекции в 43 из 86 тестируемых веб-приложений.
- По оценкам Group-IB, группа APT41 за 2021 год смогла скомпрометировать и получить разный уровень доступа как минимум в 13 организациях по всему миру.
- С помощью SQL-инъекций APT41 получает доступ к командной оболочке целевого сервера и возможность выполнять команды.
- Целевые индустрии APT41 в рамках исследованных нами кампаний: государственный сектор, производственные, здравоохранительные, логистические, гостиничные, финансовые, образовательные, телекоммуникационные, консалтинговые, спортивные и туристические организации, медиа, а также политики, военные учреждения и авиакомпании.
Indicators of Compromise
IPv4
- 185.118.166.66
- 185.250.150.22
- 45.133.216.21
- 45.140.146.169
- 45.142.212.47
- 45.142.214.242
- 45.142.214.56
- 45.144.31.31
- 45.153.231.31
- 45.153.231.32
Domains
- colunm.tk
- cs16.dns04.com
- delaylink.tk
- gentle-voice-65e3.bsnl.workers.dev
- javaupdate.biguserup.workers.dev
- mute-pond-371d.zalocdn.workers.dev
- newimages.socialpt2021.tk
- socialpt2021.club
- updata.microsoft-api.workers.dev