Sommario
Recentemente, la Cybersecurity and Infrastructure Security Agency (CISA) e il Centro Australiano per la Sicurezza Informatica (ACSC) hanno rilasciato un advisory dettagliato sulle attività del gruppo cyber APT40, sponsorizzato dallo Stato cinese. L’advisory è stato prodotto in collaborazione con diverse agenzie di sicurezza internazionali, tra cui la NSA, il FBI, il NCSC-UK, il CCCS, e altre ancora.
Il gruppo APT40, noto anche come Kryptonite Panda, GINGHAM TYPHOON, Leviathan e Bronze Mohawk, è responsabile di numerose campagne di cyber spionaggio contro organizzazioni in vari paesi, tra cui Australia e Stati Uniti. Questo gruppo ha dimostrato una notevole capacità di adattarsi rapidamente alle nuove vulnerabilità, sfruttando software ampiamente utilizzati come Log4J, Atlassian Confluence e Microsoft Exchange. La collaborazione tra CISA, ACSC e altre agenzie di sicurezza ha portato alla pubblicazione di un advisory che descrive in dettaglio le tecniche e le tattiche utilizzate da APT40.
Tecniche di APT40 e raccomandazioni
APT40 è noto per sfruttare vulnerabilità appena pubblicate in software ampiamente utilizzati. Questa sezione descrive le principali tecniche e fornisce raccomandazioni per la protezione.
| Tecnica | Descrizione | Raccomandazioni |
|---|---|---|
| Ricognizione | APT40 effettua una ricognizione regolare delle reti di interesse per identificare dispositivi vulnerabili. | Implementare una gestione delle patch rigorosa e monitorare le attività di rete sospette. |
| Accesso Iniziale | Sfrutta applicazioni esposte a internet, come Log4J e Atlassian Confluence. | Limitare l’esposizione delle applicazioni e utilizzare firewall per proteggere le risorse interne. |
| Persistenza | Utilizza web shell per mantenere l’accesso alle reti compromesse. | Monitorare e rilevare l’uso di web shell e implementare misure di sicurezza per prevenirne l’installazione. |
| Movimento Laterale | Usa credenziali compromesse per muoversi lateralmente all’interno delle reti. | Implementare l’autenticazione a più fattori (MFA) e monitorare l’accesso alle credenziali. |
| Raccolta Dati | Esfiltra dati sensibili utilizzando canali di comunicazione crittografati. | Implementare la crittografia dei dati in transito e a riposo e monitorare l’esfiltrazione dei dati. |
Esempi di Compromissione
Gli advisory forniscono esempi dettagliati di come APT40 abbia compromesso reti in passato, utilizzando tecniche avanzate per ottenere e mantenere l’accesso. In uno dei casi descritti, APT40 ha sfruttato una vulnerabilità in una applicazione web per ottenere l’accesso iniziale, poi ha utilizzato web shell e credenziali compromesse per muoversi lateralmente e esfiltrare dati sensibili.
Caso di Studio 1
Nel primo caso, APT40 ha compromesso una rete attraverso una vulnerabilità in un’applicazione web, utilizzando successivamente una shell web per mantenere l’accesso e muoversi lateralmente. Sono state esfiltrate grandi quantità di dati sensibili, inclusi credenziali di autenticazione privilegiata.
Caso di Studio 2
Nel secondo caso, l’APT40 ha sfruttato una vulnerabilità in un portale di accesso remoto, ottenendo centinaia di combinazioni uniche di nome utente e password. Questo ha permesso al gruppo di accedere alla rete interna utilizzando sessioni di desktop virtuale legittime.
APT40, leggi tutte le notizie, rappresenta una minaccia significativa per le reti globali, sfruttando vulnerabilità recenti e tecniche avanzate per compromettere e mantenere l’accesso a reti sensibili. È fondamentale che, secondo CISA, che le organizzazioni implementino misure di sicurezza rigorose e rimangano vigili contro le tecniche avanzate di questo gruppo.
