APT40 y los ataques de ciberespionaje
ciberespionaje

APT40 y el ciberespionaje

Por Nathalia Ordonio Magalhaes Palmeira

CISA publicó una alerta sobre el grupo APT40, activo desde hace más de 10 años y responsable de varios ataques de espionaje. En este post, he recopilado información sobre métodos de ataque y mitigación para aumentar el nivel de protección y detección de posibles ataques.

Panorama: Grupo APT40

APT40 es un grupo con sede en Haikou, provincia de Hainan, República Popular China, que lleva activo al menos desde 2009 en apoyo del esfuerzo de modernización naval de China. Su objetivo son organizaciones gubernamentales, empresas y universidades de una amplia gama de sectores, como la biomedicina, la robótica y la investigación marítima, en Estados Unidos, Canadá, Europa, Oriente Próximo y la zona del Mar de China Meridional, así como sectores incluidos en la iniciativa china "Belt and Road".

FireEye cree que APT40 es una operación de ciberespionaje patrocinada por el Estado chino porque los objetivos del grupo coinciden con los intereses del Estado chino y hay varios artefactos técnicos que indican que el grupo tiene su sede en China. El análisis de los horarios operativos de las actividades del grupo indica que probablemente esté centrado en la hora estándar de China (UTC +8). Además, varios dominios de mando y control (C2) de APT40 fueron registrados inicialmente por revendedores de dominios con sede en China y tenían registros Whois con información de localización en China, lo que sugiere un proceso de adquisición de infraestructuras con sede en China.

Además, APT40 también utilizó varias direcciones IP ubicadas en China para llevar a cabo sus operaciones. En un caso, un archivo de registro recuperado de un servidor indexado abierto reveló que se había utilizado una dirección IP 112.66.188.28 ubicada en Hainan, China, para administrar un comando y control que se comunicaba con malware en máquinas víctimas. Todos los inicios de sesión en este C2 procedían de ordenadores configurados en chino.

Además, un grupo autodenominado Intrusion Truth, un grupo que realiza doxing¹ de hackers chinos, publicó información en su blog que denota el origen del grupo en Hainan. Según ellos, "los grupos APT en China tienen un diseño común: hackers y especialistas contratados, empresas tapadera y un oficial de inteligencia. Sabemos que varias zonas de China tienen cada una su propia APT". Afirman haber identificado 13 empresas (tapadera) diferentes con anuncios de trabajo, datos de contacto y ubicación de oficinas idénticos, que reclutan a personas con conocimientos de hacking ofensivo. "Aunque fue difícil encontrar a las personas que trabajaban para estas empresas, identificamos a varios individuos y llegamos a la conclusión de que esta red de empresas era en realidad APT40", revela el grupo.

El Departamento de Justicia de Estados Unidos publicó, el 19 de julio de 2021, una acusación contra 4 individuos que el país cree que forman parte de APT40. Según el documento, el grupo utilizaba servicios de anonimato como The Onion Router(TOR) para acceder a malware en las redes de las víctimas y gestionar su infraestructura, incluidos servidores, dominios y cuentas de correo electrónico. El grupo también intentó ocultar sus actividades de pirateo a través de otros servicios. Por ejemplo, el grupo utilizaba GitHub para almacenar malware y datos robados, que ocultaba mediante esteganografía. También utilizó las claves de la interfaz de programación de aplicaciones (API) de Dropbox en comandos para cargar datos robados directamente en cuentas de Dropbox controladas por el grupo, para hacer creer a los defensores de la red que dicha exfiltración de datos era un uso legítimo del servicio de Dropbox por parte de un empleado.

  • ¹ doxing: es la acción de revelar información que identifica a alguien en Internet, como su nombre real, dirección, número de teléfono, detalles financieros y otra información personal
    información personal. Esta información se hace pública en Internet, para conocimiento general y sin autorización de la víctima.

Compromiso inicial

Se ha observado que APT40 utiliza una variedad de técnicas para el compromiso inicial, incluyendo la explotación de servidores web, campañas de phishing campañas de phishing campañas de phishing con puertas traseras personalizadas y de acceso público, y ataques estratégicos.

En los ataques de phishing, el grupo suele presentarse como una persona que probablemente sea de interés para la víctima para enviar correos electrónicos infectados. Esto incluye hacerse pasar por un periodista, un individuo de una publicación comercial, alguien de una organización militar o de una organización no gubernamental (ONG) relevante. En algunos casos, el grupo ha utilizado direcciones de correo electrónico previamente comprometidas para enviar correos electrónicos de spear-phishing, que suelen utilizar archivos adjuntos maliciosos, aunque también se ha informado de enlaces de Google Drive. El grupo también hace uso de exploits en sus operaciones de phishing, a menudo aprovechando vulnerabilidades a los pocos días de su divulgación.

Se ha observado que APT40 utiliza al menos malware de 51 familias de códigos diferentes. De ellas, 37 no son públicas. Al menos siete de estas herramientas no públicas (BADSIGN, FIELDGOAL, FINDLOCK, PHOTO, SCANBOX, SOGU y WIDETONE) se comparten con otros grupos sospechosos de tener conexiones con China.

Establecimiento de un acceso continuo

APT40 utiliza una variedad de malware y herramientas para establecer su acceso, muchas de las cuales están disponibles públicamente o son utilizadas por otros grupos de amenazas. En algunos casos, el grupo ha utilizado ejecutables con certificados de firma de código para evitar su detección.

  • En la primera fase se utilizan backdoors como AIRBREAK, FRESHAIR y BEACON, que se utilizan antes de descargar otras pyaloads;
  • PHOTO, BADFLICK y CHINA CHOPPER se encuentran entre las puertas traseras más utilizadas por APT40;
  • El grupo suele centrarse en las credenciales VPN y de escritorio remoto para establecer una posición segura en el sistema de la víctima.

Escalada de privilegios

APT40 utiliza una combinación de herramientas de recopilación de credenciales personalizadas y disponibles públicamente para escalar privilegios y conseguir hashes de contraseñas. El grupo también utiliza utilidades personalizadas de robo de credenciales como HOMEFRY, un dumper/cracker de contraseñas utilizado junto con las puertas traseras AIRBREAK y BADFLICK. Además, se cree que la utilidad ProcDump de Windows Sysinternals y el Editor de credenciales de Windows (WCE) también se utilizan durante las intrusiones.

Reconocimiento interno

El uso de credenciales comprometidas para iniciar sesión en otros sistemas forma parte de la realización del reconocimiento. El grupo también aprovecha RDP, SSH y el software legítimo presente en el entorno de la víctima, una variedad de características nativas de Windows, herramientas disponibles públicamente y scripts personalizados para facilitar el reconocimiento interno también están presentes en esta etapa.

  • APT40 utilizó MURKYSHELL en una organización para escanear direcciones IP y llevar a cabo la enumeración de la red;
  • APT40 suele utilizar comandos nativos de Windows, como exe, para realizar reconocimientos internos del entorno de la víctima;
  • Los web shells se utilizan ampliamente en casi todas las fases del ciclo de vida del ataque. Los servidores web internos no suelen estar configurados con los mismos controles de seguridad que los servidores externos de cara al público, lo que los hace más vulnerables a la explotación por parte de grupos como APT40, que atacan de forma similar.

Movimiento lateral

APT40 utiliza muchos métodos para el movimiento lateral en un entorno, incluyendo scripts personalizados, web shells y herramientas de túnel como el Protocolo de Escritorio Remoto (RDP). En cada nuevo sistema comprometido, el grupo suele ejecutar malware, realizar reconocimientos adicionales y robar datos.

  • También utilizan utilidades nativas de Windows como exe (un programador de tareas) y net.exe (una herramienta de gestión de recursos de red) para el movimiento lateral;
  • Aunque MURKYTOP es principalmente una herramienta de reconocimiento de línea de comandos, también puede utilizarse para el movimiento lateral;
  • APT40 también utiliza herramientas de fuerza bruta disponibles públicamente y una utilidad personalizada llamada DISHCLOTH para atacar diferentes protocolos y servicios.

Garantía de asistencia

APT40 utiliza principalmente puertas traseras, incluyendo web shells, para mantener una presencia dentro del entorno de la víctima. Estas herramientas permiten un control continuo de los sistemas clave de la red objetivo.

  • APT40 prefiere las web shells para mantener su presencia, especialmente las herramientas disponibles públicamente;
  • Las herramientas utilizadas durante la fase de "Establecimiento del acceso continuo" también se siguen utilizando en la fase actual; esto incluye AIRBREAK y PHOTO;
  • Algunas herramientas de malware utilizadas por el grupo pueden eludir la detección típica aprovechando sitios legítimos como GitHub, Google y Pastebin para las comunicaciones C2 iniciales;
  • Los puertos TCP comunes 80 y 443 se utilizan para mezclarse con el tráfico de red rutinario.

Intereses

Dado que el principal interés del ataque es la recopilación de información, la fase final del ataque puede implicar la transferencia de archivos a través de múltiples sistemas hasta su destino final. Se ha observado a APT40 comprimiendo archivos adquiridos de las redes de las víctimas y utilizando la herramienta rar.exe para comprimir y cifrar los datos antes de la exfiltración. También se ha informado del uso de una herramienta desarrollada por la propia APT40, como PAPERPUSH, para contribuir a la eficacia del robo de datos.

Puede encontrar información sobre las Tácticas y Técnicas APT40 ATT&CK del marco MITRE ATT&CK® aquí.

Mitigación

Para contribuir a la protección y defensa de las redes empresariales y ayudar a los profesionales de la seguridad a identificar y remediar las intrusiones APT40, la Oficina Federal de Investigación(FBI) y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras(CISA), recomiendan en su aviso las siguientes prácticas:

Red - Defensa en profundidad

Una adecuada defensa en profundidad de la red y el cumplimiento de las mejores prácticas de seguridad de la información pueden ayudar a mitigar la amenaza y reducir el riesgo.

Gestión de parches y vulnerabilidades

  • Instale en todos los sistemas parches suministrados y verificados por el proveedor para las vulnerabilidades críticas, dando prioridad a los parches para los servidores conectados a Internet y el software de procesamiento de datos de Internet, como navegadores web, complementos de navegadores y lectores de documentos;
  • Garantizar que se aplican las medidas de migración o los controles compensatorios adecuados para las vulnerabilidades que no puedan solucionarse a tiempo;
  • Mantenga actualizadas las firmas y los mecanismos antivirus;
  • Auditar rutinariamente los programas de gestión de configuraciones y parches para garantizar la capacidad de rastrear y mitigar las amenazas emergentes. La implantación de un programa riguroso de gestión de configuraciones y parches dificultará las sofisticadas operaciones de los actores de las ciberamenazas y protegerá los recursos y sistemas de información.

Proteger las credenciales

  • Refuerce los requisitos de credenciales, cambie regularmente las contraseñas e implante la autenticación multifactor para proteger las cuentas individuales, especialmente para el correo web y el acceso VPN y para las cuentas que acceden a sistemas críticos. No reutilice contraseñas para varias cuentas;
  • Auditar todas las autenticaciones remotas de redes o proveedores de servicios de confianza. Detecte incompatibilidades correlacionando las credenciales utilizadas en redes internas con las empleadas en sistemas externos;
  • Registra el uso de comandos de administrador del sistema como net, ipconfig y ping;
  • Aplicar el principio del menor privilegio.

Higiene y supervisión de la red

  • Escanee y supervise activamente las aplicaciones accesibles desde Internet en busca de accesos no autorizados, modificaciones y actividades anómalas;
  • Supervise activamente el uso del disco del servidor y realice auditorías para detectar cambios significativos;
  • Registre las consultas DNS y considere bloquear todas las solicitudes DNS salientes que no se originen en servidores DNS aprobados. Supervise las consultas DNS en busca de C2 sobre DNS;
  • Desarrollar y supervisar las líneas de base de la red y el sistema para permitir la identificación de actividades anómalas. Audite los registros para detectar comportamientos sospechosos;
  • Identificar y suspender el acceso a los usuarios que presenten actividades inusuales;
  • Utilice la lista de permisos o la comparación de líneas de base para supervisar los registros de eventos de Windows y el tráfico de red para detectar cuándo un usuario asigna un recurso compartido administrativo privilegiado en un sistema Windows;
  • Utilice servicios de reputación de amenazas multifuente para archivos, DNS, URL, direcciones IP y direcciones de correo electrónico;
  • Las interfaces de gestión de dispositivos de red, como Telnet, Secure Shell (SSH), Winbox y HTTP, deben desactivarse para las interfaces de red de larga distancia (WAN) y protegerse con contraseñas seguras y cifrado cuando estén activadas;
  • Cuando sea posible, segmentar la información crítica en sistemas de aplicación aérea. Utiliza medidas estrictas de control de acceso para los datos críticos.

COIs - Indicadores de compromiso

Dominios


Hashes MD5 de malware

Nota: Para descubrir actividad maliciosa, los analistas de respuesta a incidentes buscan indicadores de compromiso (IOC) en artefactos basados en redes y hosts y evalúan los resultados, eliminando los falsos positivos durante la evaluación. Por ejemplo, algunos IOC MD5 de la siguiente tabla identifican herramientas legítimas, como PuTTY, cmd.exe, svchost.exe, etc., como indicadores de compromiso. - como indicadores de compromiso. Aunque las herramientas en sí no son maliciosas, los atacantes de APT40 las colocaron y utilizaron en carpetas no estándar en los sistemas de las víctimas durante la actividad de pirateo informático. Si una persona que responde a un incidente identifica una herramienta legítima, debe evaluarse su ubicación para eliminar falsos positivos o descubrir actividades maliciosas.

Conclusión

Mientras que APT40 se centró en países estratégicamente importantes para la Iniciativa Belt and Road -la Iniciativa china de la Franja y la Ruta-, incluidos Camboya, Bélgica, Alemania, Hong Kong, Filipinas, Malasia, Noruega, Arabia Saudí, Suiza, Estados Unidos y el Reino Unido, en 2018, Recorded Future mencionó en un estudio sobre el grupo, un escaneo de puertas e investigación de departamentos gubernamentales y redes de entidades comerciales en Mongolia, Kenia y Brasil. Cada uno de estos países es un importante destino de inversión como parte de la Iniciativa China.

Esta iniciativa es uno de los proyectos más ambiciosos del Presidente Xi Jinping, se trata de construir una infraestructura que conecte países del Sudeste Asiático, Asia Central, Oriente Medio, Europa y África, por lo que el proyecto es considerado estratégico por casi todas las agencias de inteligencia y definido por FireEye como "impulsor de la actividad regional de ciberamenazas".

Dado que China ha sido un socio comercial de Brasil, es importante y necesario comprender a grupos como APT40, que podrían tener a Brasil como objetivo en futuros ataques.

Referencias

  • https://attack.mitre.org/groups/G0065/
  • https://us-cert.cisa.gov/ncas/alerts/aa21-200a
  • https://us-cert.cisa.gov/ncas/alerts/aa20-275a
  • https://go.recordedfuture.com/hubfs/reports/cta-2018-0816.pdf
  • https://intrusiontruth.wordpress.com/2020/01/10/who-is-mr-gu/
  • https://www.fireeye.com/current-threats/apt-groups.html#apt40
  • https://www.justice.gov/opa/press-release/file/1412921/download
  • https://www.recordedfuture.com/chinese-cyberespionage-operations/
  • https://securityaffairs.co/wordpress/75448/apt/bri-cyber-espionage-china.html
  • https://securityaffairs.co/wordpress/96364/apt/china-linked-apt40-front-companies.html
  • https://www.fireeye.com/blog/threat-research/2019/03/apt40-examining-a-china-nexus-espionage-actor.html
  • https://www.zdnet.com/article/report-chinese-hacking-group-apt40-hides-behind-network-of-front-companies/
  • https://intrusiontruth.wordpress.com/2020/01/09/what-is-the-hainan-xiandun-technology-development-company/
  • https://www.justice.gov/opa/pr/four-chinese-nationals-working-ministry-state-security-charged-global-computer-intrusion
  • https://us-cert.cisa.gov/sites/default/files/publications/CSA_TTPs-of-Indicted-APT40-Actors-Associated-with-China-MSS-Hainan-State-Security-Department.pdf
  • https://www.vice.com/en/article/wjka84/intrusion-truth-group-doxing-hackers-chinese-intelligence
Copyright © 2022 ISH Tecnologia, Todos los derechos reservados.