Агентство по кибербезопасности и инфрсатурной безопасности (CISA) опубликовало рекомендацию, составленную рядом государственных организаций по кибербезопасности, о вирусе APT40.
APT40, также известная как Kryptonite Panda, Leviathan, Gingham Typhoon и Bronze Mohawk, проводит кибероперации для Министерства государственной безопасности Китайской Народной Республики (КНР). В прошлом группировка атаковала организации в разных странах, включая США и Австралию.
APT40 регулярно проводит разведку интересующих ее сетей, в том числе в Германии, Новой Зеландии, Южной Корее, Японии, Австралии, Великобритании и США. Это позволяет им находить в сетях уязвимые, отслужившие свой срок или уже не обслуживаемые устройства и быстро внедрять эксплойты. APT40 умело использует уязвимости, появившиеся еще в 2017 году. Кроме того, APT40 может быстро воспользоваться новыми публичными уязвимостями в распространенном программном обеспечении, таком как Log4J (CVE-2021-44228), Atlassian Confluence (CVE-2021-26084) и Microsoft Exchange (CVE-2021-31207, CVE-2021-34523, CVE-2021-34473).
По оценкам CISA и других агентств, представляющих отчеты, APT40 будет продолжать использовать вновь обнаруженные уязвимости в течение нескольких часов или дней после их обнародования.
APT40 обычно использует уязвимую инфраструктуру, расположенную в открытом доступе, а не прибегает к методам, требующим взаимодействия с жертвой, таким как фишинговые кампании. Кроме того, группа обычно использует веб-оболочки для обеспечения устойчивости.
Известно, что Gingham Typhoon в первую очередь нацелена на морскую и медицинскую отрасли, но также были замечены нападения на ряд отраслей, включая научные круги, правительство, аэрокосмическую/авиационную, оборонную промышленную базу, производство и транспорт. Большинство организаций, ставших мишенью Gingham Typhoon, находятся в регионе Южно-Китайского моря, но группа также атакует организации в США, Европе, на Ближнем Востоке и в Юго-Восточной Азии. Как правило, Gingham Typoon занимается шпионажем и кражей данных. Группа использует собственные вредоносные программы (Moktik, Nuveridap и FusionBlaze), Derusbi и коммерчески доступные инструменты, такие как Cobalt Strike.
Indicators of Compromise
MD5
- 187d6f2ed2c80f805461d9119a5878ac
- 26a5a7e71a601be991073c78d513dee3
- 5bf7560d0a638e34035f85cd3788e258
- 64454645a9a21510226ab29e01e76d39
- 6a9bc68c9bc5cefaf1880ae6ffb1d0ca
- 87c88f06a7464db2534bc78ec2b915de
- 9f89f069466b8b5c9bf25c9374a4daf8
- e02be0dc614523ddd7a28c9e9d500cff
- e2175f91ce3da2e8d46b0639e941e13f
- ed7178cec90ed21644e669378b3a97ec
