As agências de segurança cibernética da Austrália, Canadá, Alemanha, Japão, Nova Zelândia, Coreia do Sul, Reino Unido e EUA divulgaram um comunicado conjunto sobre um grupo de espionagem cibernética ligado à China chamado APT40alertando sobre sua capacidade de cooptar explorações para falhas de segurança recentemente divulgadas dentro de horas ou dias após o lançamento público.
“O APT 40 já teve como alvo organizações em vários países, incluindo Austrália e Estados Unidos”, disseram as agências. “Notavelmente, o APT 40 possui a capacidade de transformar e adaptar rapidamente provas de conceito (PoCs) de vulnerabilidade para operações de direcionamento, reconhecimento e exploração.”
O coletivo adversário, também conhecido como Bronze Mohawk, Gingham Hurricane (anteriormente Gadolinium), ISLANDDREAMS, Kryptonite Panda, Leviathan, Purple Ladon, TA423 e TEMP.Periscope, é conhecido por estar ativo desde pelo menos 2013, realizando ataques cibernéticos visando entidades na região da Ásia-Pacífico. É avaliado como baseado em Haikou.
Em julho de 2021, os EUA e seus aliados atribuíram oficialmente o grupo como afiliado ao Ministério da Segurança do Estado da China (MSS), indiciando vários membros da equipe de hackers por orquestrar uma campanha de vários anos voltada para diferentes setores para facilitar o roubo de segredos comerciais, propriedade intelectual e informações de alto valor.
Nos últimos anos, o APT40 foi associado a ondas de intrusão que distribuíam a estrutura de reconhecimento do ScanBox, bem como à exploração de uma falha de segurança no WinRAR (CVE-2023-38831, pontuação CVSS: 7,8) como parte de uma campanha de phishing direcionada a Papua-Nova Guiné para distribuir um backdoor denominado BOXRAT.
Então, no início de março, o governo da Nova Zelândia implicou o autor da ameaça no comprometimento do Gabinete de Assessoria Parlamentar e do Serviço Parlamentar em 2021.
“O APT40 identifica novas explorações em softwares públicos amplamente utilizados, como Log4j, Atlassian Confluence e Microsoft Trade, para atingir a infraestrutura da vulnerabilidade associada”, disseram as agências autoras.
“O APT40 realiza regularmente reconhecimento contra redes de interesse, incluindo redes nos países das agências de autoria, buscando oportunidades de comprometer seus alvos. Esse reconhecimento common posiciona o grupo para identificar dispositivos vulneráveis, em fim de vida ou sem manutenção em redes de interesse e para implementar rapidamente exploits.”
Entre as técnicas empregadas pela equipe de hackers patrocinada pelo estado, destaca-se a implantação de shells da net para estabelecer persistência e manter o acesso ao ambiente da vítima, bem como o uso de websites australianos para fins de comando e controle (C2).
Também foi observado que ele incorpora dispositivos desatualizados ou sem patches, incluindo roteadores para pequenos escritórios/escritórios domésticos (SOHO), como parte de sua infraestrutura de ataque, na tentativa de redirecionar tráfego malicioso e evitar a detecção, um estilo operacional semelhante ao usado por outros grupos sediados na China, como o Volt Hurricane.
As cadeias de ataque envolvem ainda a realização de atividades de reconhecimento, escalonamento de privilégios e movimentação lateral usando o protocolo de área de trabalho remota (RDP) para roubar credenciais e exfiltrar informações de interesse.
Para mitigar os riscos representados por tais ameaças, é recomendável implementar mecanismos de registro adequados, aplicar autenticação multifator (MFA), implementar um sistema robusto de gerenciamento de patches, substituir equipamentos em fim de vida útil, desabilitar serviços, portas e protocolos não utilizados e segmentar redes para impedir o acesso a dados confidenciais.
