Các cơ quan an ninh mạng cảnh báo về khả năng thích ứng khai thác nhanh chóng của nhóm tin tặc APT40
Các cơ quan an ninh mạng từ Úc, Canada, Đức, Nhật Bản, New Zealand, Hàn Quốc, Anh và Mỹ đã đưa ra khuyến cáo chung về một nhóm gián điệp mạng có mối liên hệ với Trung Quốc có tên là APT40. Các nước này đã cảnh báo về khả năng nhóm gián điệp này có thể khai thác các hoạt động mới, tiết lộ các lỗ hổng bảo mật trong vòng vài giờ hoặc vài ngày kể từ khi phát hành công khai.
Các cơ quan cho biết: “APT40 trước đây đã nhắm mục tiêu vào các tổ chức ở nhiều quốc gia khác nhau, bao gồm cả Úc và Hoa Kỳ”. “Đáng chú ý, APT40 sở hữu khả năng nhanh chóng chuyển đổi và điều chỉnh các bằng chứng khái niệm về lỗ hổng bảo mật (PoC) cho các hoạt động nhắm mục tiêu, trinh sát và khai thác”.
Vào tháng 7/2021, Hoa Kỳ và các đồng minh chính thức quy kết nhóm này có liên kết với Bộ An ninh Quốc gia Trung Quốc (MSS), truy tố một số thành viên của nhóm tin tặc vì đã dàn dựng một chiến dịch kéo dài nhiều năm nhằm vào các lĩnh vực khác nhau nhằm tạo điều kiện thuận lợi cho việc đánh cắp bí mật thương mại, trí tuệ, tài sản và thông tin có giá trị cao.
Trong vài năm qua, APT40 có liên quan đến các làn sóng xâm nhập cung cấp khung trinh sát ScanBox cũng như việc khai thác lỗ hổng bảo mật trong WinRAR (lỗ hổng CVE-2023-38831, điểm CVSS: 7.8) như một phần của chiến dịch lừa đảo nhắm vào Papua New Guinea cung cấp một backdoor có tên BOXRAT.
APT40 xác định các cách khai thác mới trong phần mềm công cộng được sử dụng rộng rãi như Log4j, Atlassian Confluence và Microsoft Exchange để nhắm mục tiêu vào cơ sở hạ tầng của lỗ hổng liên quan. APT40 thường xuyên tiến hành trinh sát các mạng quan tâm, bao gồm các mạng ở quốc gia, tìm kiếm cơ hội để xâm phạm các mục tiêu của mình. Việc trinh sát thường xuyên này giúp nhóm xác định các thiết bị dễ bị tấn công, đã hết hạn sử dụng hoặc không còn được bảo trì trên mạng và nhanh chóng triển khai các khai thác.
Nhóm tin tặc cũng kết hợp các thiết bị lỗi thời hoặc chưa được vá, bao gồm các bộ định tuyến văn phòng nhỏ/văn phòng tại nhà (SOHO), như một phần của cơ sở hạ tầng tấn công nhằm cố gắng định tuyến lại lưu lượng truy cập độc hại và trốn tránh sự phát hiện, một phong cách hoạt động tương tự như cách được sử dụng bởi nhóm tin tặc khác như Volt Typhoon.
Chuỗi tấn công liên quan đến việc thực hiện các hoạt động trinh sát, leo thang đặc quyền và di chuyển ngang bằng cách sử dụng giao thức máy tính để bàn từ xa (RDP) để đánh cắp thông tin xác thực và lọc thông tin quan tâm.
Để giảm thiểu rủi ro do các mối đe dọa như vậy gây ra, các tổ chức nên duy trì cơ chế ghi nhật ký đầy đủ, thực thi xác thực đa yếu tố (MFA), triển khai hệ thống quản lý bản vá mạnh mẽ, thay thế thiết bị hết hạn sử dụng, vô hiệu hóa các dịch vụ, cổng và giao thức không sử dụng và phân đoạn mạng để ngăn truy cập vào dữ liệu nhạy cảm.
Theo Tạp chí An toàn thông tin
