Спонсируемые китайским государством злоумышленники, отслеживаемые западными агентствами кибербезопасности как APT40, действуют быстро. Они ищут ранее неизвестные уязвимости, быстро разрабатывают эксплойты и максимально быстро их развертывают.
В некоторых случаях весь процесс от обнаружения уязвимости до ее эксплуатации занимал всего несколько часов.
Об этом говорится в новом предупреждении безопасности, выпущенном совместно органами национальной безопасности Австралии, США, Канады, Новой Зеландии, Японии, Южной Кореи, Великобритании и Германии.
Оборудование SOHO на виду
Два года назад местная компания обратилась в Австралийский центр кибербезопасности (ASCS) для оказания помощи в борьбе с кибератакой. С разрешения жертвы агентство «развернуло датчики на хостах на вероятно затронутых хостах в сети организации», чтобы отслеживать операции злоумышленника и записывать его действия.
Предупреждение является результатом этого анализа и гласит, что APT40 «обладает способностью быстро трансформировать и адаптировать доказательства концепции (POC) новых уязвимостей и немедленно развертывать их против целевых сетей, которые имеют инфраструктуру соответствующей уязвимости. ».
Помимо поиска новых ошибок, группа также ищет в Интернете известные уязвимости, которые не были исправлены и поэтому представляют собой легкий доступ к целевой инфраструктуре.
«Эта регулярная разведка позволяет группе выявлять уязвимые, устаревшие или вышедшие из строя устройства в соответствующих сетях и быстро внедрять эксплойты», — заявили власти. Вы ищете устройства, которые все еще уязвимы к недостаткам Log4shell, Atlassian Confluence, а также известным уязвимостям Microsoft Exchange.
«APT40 воспользовался глобальной тенденцией использования скомпрометированных устройств, в том числе устройств малого офиса/домашнего офиса (SOHO), в качестве операционной инфраструктуры и перенаправителей последнего перехода для своих операций в Австралии», — добавляют исследователи. «Многие из этих устройств SOHO устарели или не обновлены, что делает их легкой мишенью для взлома N-Day».
Однако нацеливание на устройства SOHO — это палка о двух концах, поскольку оно также дает органам безопасности возможность отслеживать и анализировать злоумышленников, помогая построить защиту.
Над Реестр
Больше от TechRadar Pro
