El actor chino patrocinado por el estado APT40 se centra en explotar vulnerabilidades de software recién descubiertas (N-days), a menudo en cuestión de horas después de su publicación, advirtió un aviso conjunto del gobierno. El Centro Australiano de Seguridad Cibernética de la Dirección de Señales de Australia (ACSC de ASD), junto con socios de agencias de los EE. UU., el Reino Unido, Canadá, Nueva Zelanda, Alemania, Corea del Sur y Japón, señalaron que el grupo prefiere explotar infraestructuras vulnerables y de cara al público en lugar de técnicas que requieren la interacción del usuario, como las campañas de phishing. APT40 realiza un reconocimiento regular contra las redes objetivo para identificar dispositivos vulnerables, al final de su vida útil o que ya no se mantienen en las redes de interés, y para implementar rápidamente exploits. Es capaz de explotar vulnerabilidades recientemente públicas en software ampliamente utilizado, como Log4j, Atlassian Confluence y Microsoft Exchange, en cuestión de días o incluso horas después de su publicación. “Cabe destacar que APT40 posee la capacidad de transformar y adaptar rápidamente las pruebas de concepto (POC) de nuevas vulnerabilidades y utilizarlas inmediatamente contra las redes objetivo que poseen la infraestructura de la vulnerabilidad asociada”, se lee en el aviso. Lea aquí: La explotación de vulnerabilidades en aumento a medida que los atacantes abandonan el phishing El grupo sigue teniendo éxito explotando vulnerabilidades desde 2017. Una vez dentro de una red, APT40 se especializa en técnicas de evasión y persistencia para exfiltrar datos confidenciales en nombre del Ministerio de Seguridad del Estado de la República Popular China (RPC), evaluaron las agencias. APT40 ha apuntado repetidamente a las redes australianas, así como a las redes gubernamentales y del sector privado en la región, y sigue siendo una amenaza para las naciones de otras agencias de creación. La actividad y las técnicas del grupo se superponen con actores de amenazas identificados como Kryptonite Panda, GINGHAM TYPHOON, Leviathan y Bronze Mohawk en los informes de la industria. Cómo realiza operaciones APT40 La ASD dijo que APT40 ha adoptado una tendencia global de usar dispositivos comprometidos, incluyendo pequeñas oficinas/oficinas en el hogar (SOHO), como redireccionadores de último salto de infraestructura operativa para sus operaciones en Australia. Muchos de estos dispositivos SOHO están al final de su vida útil o no tienen parches, lo que ofrece un objetivo fácil para la explotación de N-day. Una vez comprometidos, estos dispositivos también proporcionan un punto de lanzamiento para que los ataques se mezclen con el tráfico legítimo, ofuscando la actividad maliciosa. Esta técnica también está siendo utilizada regularmente por otros actores patrocinados por el estado de la República Popular China, dijeron las agencias autoras. Este enfoque representa una evolución en la técnica comercial de APT40, con el grupo utilizando anteriormente sitios web australianos comprometidos como hosts de comando y control (C2) para sus operaciones. El aviso también proporcionó estudios de casos de ataques APT40 anteriores, que destacaron las tácticas, técnicas y procedimientos utilizados por el grupo para moverse lateralmente a través de las redes mientras evita la detección posterior al compromiso. Estos estudios de caso destacaron los siguientes temas comunes: Enumeración de hosts para construir un mapa de la red objetivo Explotación de aplicaciones orientadas a Internet y uso de shell web para obtener un punto de apoyo inicial en la red y la capacidad de ejecutar comandos Explotación de vulnerabilidades de software para escalar privilegios Recopilación de credenciales para permitir el movimiento lateral Recomendaciones de seguridad para las organizaciones objetivo de APT40 Las agencias emitieron una serie de recomendaciones para mitigar las técnicas empleadas por APT40. Estos incluyen: Garantizar que se apliquen parches de seguridad o mitigaciones a todas las nuevas vulnerabilidades en dispositivos y servicios expuestos a Internet dentro de las 48 horas Siempre que sea posible, utilizar las últimas versiones de software y sistemas operativos Segmentar las redes para limitar o bloquear el movimiento lateral al denegar el tráfico entre computadoras a menos que sea necesario Deshabilitar servicios de red, puertos y protocolos no utilizados o innecesarios Utilizar firewalls de aplicaciones web (WAF) bien ajustados para proteger servidores web y aplicaciones Aplicar el mínimo privilegio para limitar el acceso a servidores, recursos compartidos de archivos y otros recursos Utilizar autenticación multifactor (MFA) y cuentas de servicio administradas para hacer que las credenciales sean más difíciles de descifrar y reutilizar Conservar información de registro histórica completa en áreas como registros de solicitudes de servidores web, registros de eventos de Windows y registros de proxy de Internet para mejorar la eficacia y la velocidad de las investigaciones Reemplazar equipos al final de su vida útil Revisar las aplicaciones personalizadas para detectar funcionalidades que se puedan usar indebidamente y reducir, eliminar o deshabilitar cuando sea posible