Grupo de amenazas con sede en China lanza un amplio …



Los motivos detrás de los ataques siguen sin estar claros, pero los posibles desencadenantes incluyen la guerra comercial en curso entre los EE. UU. Y China y la pandemia del COVID-19.

APT41, un grupo de amenazas persistente avanzado y prolífico que se cree que está trabajando en nombre del gobierno chino, ha aumentado drásticamente sus actividades en los últimos meses después de una relativa calma.

Los investigadores de FireEye que han estado rastreando la actividad dijeron que APT41 atacó a 75 de sus clientes solo entre el 20 de enero y el 11 de marzo.

Las organizaciones objetivo están dispersas en 20 países, incluidos los EE. UU., El Reino Unido, Canadá, Australia, Francia, Japón e India. Las organizaciones de casi 20 sectores se han visto afectadas, incluidas las de los sectores de gobierno, defensa, banca, salud, farmacéutica y telecomunicaciones.

Aunque solo un puñado de los ataques resultó en un compromiso de seguridad true, FireEye descrito La actividad de APT41 como una de las campañas maliciosas más amplias jamás realizadas por un actor chino de amenazas en los últimos años.

Chris Glyer, arquitecto jefe de seguridad de FireEye, dice que la razón del repentino estallido de actividad de APT41 no está clara. Según la visibilidad precise de FireEye, los ataques parecen estar dirigidos, pero es difícil atribuir un motivo o intento específico detrás del comportamiento de APT41, dice.

Pero los posibles desencadenantes incluyen la guerra comercial en curso entre los EE. UU. Y China y la pandemia de COVID-19 que se desarrolla. Es posible que estos eventos estén impulsando a China en una búsqueda de inteligencia sobre una variedad de temas, incluidos comercio, viajes, comunicaciones, fabricación, investigación y relaciones internacionales.

«La explicación más probable para el amplio conjunto de objetivos es habilitar tanto los requisitos de recolección actuales como futuros potenciales que permitirían a APT41 completar sus objetivos de misión rápidamente», dice Glyer.

En varios de los ataques, los actores de la amenaza intentaron explotar una falla de ejecución remota de código previamente conocida (CVE-2019-19781) en Citrix Software Shipping and delivery Controller (ADC) y dispositivos Citrix Gateway. La falla se reveló por primera vez en diciembre pasado, y las vulnerabilidades se hicieron disponibles en enero.

La falla provocó una appreciable preocupación entre los investigadores de seguridad porque impactó una tecnología Citrix que se implementa ampliamente en entornos empresariales y también por lo trivial que era explotar. Las preocupaciones se exacerbaron por el hecho de que los exploits para el defecto estuvieron disponibles antes de que Citrix tuviera un parche para ello. Aunque Citrix y otros, incluida la Agencia de Seguridad de la Ciberseguridad e Infraestructura (CISA) del DHS, instaron a las organizaciones a parchear o proteger contra la falla lo antes posible, se cree que muchos sistemas aún no están parcheados y son vulnerables al mistake.

Vulnerabilidades peligrosas
CVE-2019-19781 permite a un atacante ejecutar código arbitrario en un dispositivo susceptible, dice Glyer. Uno de los peores escenarios sería un atacante que comprometa un dispositivo ADC, acceda a las credenciales almacenadas en el dispositivo y luego use las credenciales y el acceso a la purple para moverse lateralmente y escalar privilegios dentro de la purple interna de la víctima, dice.

Según Glyer, APT41 parece haber logrado explotar con éxito la falla de Citrix en solo una de las varias organizaciones a las que apuntó en su nueva campaña.

En las últimas semanas, los investigadores de FireEye observaron al actor de amenazas con sede en China que intentaba explotar una vulnerabilidad de día cero (CVE-2020-10189) en Zoho ManageEngine. Esa falla fue revelada a principios de este mes, y una prueba de concepto para explotarla ya está disponible públicamente. FireEye contó los ataques que intentaban explotar el mistake Zoho en más de una docena de sus clientes. Al menos cinco de ellos fueron comprometidos posteriormente y tenían malware instalado en sus sistemas.

En todos los intentos de explotación que observó FireEye, los actores APT41 solo aprovecharon las herramientas disponibles públicamente, como Cobalt Strike y Meterpreter, dijo FireEye en su informe esta semana. En 2020, APT41 se ha convertido en uno de los grupos de amenazas más activos, dice Glyer.

«APT41 es uno de los actores de amenazas más prolíficos y capaces que rastreamos», dice. «Las organizaciones deberían tomar la información provista en el website y evaluar si APT41 podría haber sido su objetivo..«

FireEye ha descrito previamente APT41 como un grupo twin de cibercrimen y espionaje. Sus operaciones de espionaje en nombre del gobierno en China se han centrado anteriormente en los sectores de salud, alta tecnología y telecomunicaciones. El modus operandi de APT41 ha consistido típicamente en entrar, establecer y mantener el acceso estratégico en las redes de víctimas. Las actividades de cibercrimen motivadas financieramente por el grupo, por otro lado, han sido puramente para beneficio individual, dijo FireEye.

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más strategies





Enlace a la noticia authentic