Un avis conjoint des agences internationales de cybersécurité et des forces de l’ordre met en garde contre les tactiques utilisées par le groupe de piratage APT 40 parrainé par l’État chinois et leur détournement de routeurs SOHO pour lancer des attaques de cyberespionnage.

APT 40, également connu sous le nom de Kryptonite Panda, VICHY TYPHOON, Leviathan et Bronze Mohawk, est actif depuis au moins 2011, ciblant des organisations gouvernementales et des entités privées clés aux États-Unis et en Australie.

Auparavant, APT40 était lié à une vague d’attaques ciblant plus de 250 000 serveurs Microsoft Exchange utilisant les vulnérabilités ProxyLogon et des campagnes impliquant l’exploitation de failles dans des logiciels largement utilisés, tels que WinRAR.

Aperçu de l’activité APT40
Comme l’ont déclaré les autorités de cybersécurité et les agences gouvernementales d’Australie, des États-Unis, du Royaume-Uni, du Canada, de Nouvelle-Zélande, d’Allemagne, de Corée et du Japon, APT40 exploite les vulnérabilités des infrastructures publiques et des périphériques réseau périphériques au lieu des interactions humaines, telles que les courriels de phishing et l’ingénierie sociale.

Les acteurs de la menace sont connus pour exploiter rapidement les nouvelles vulnérabilités au fur et à mesure qu’elles sont divulguées publiquement, l’avis signalant des failles dans Log4J, Atlassian Confluence et Microsoft Exchange à titre d’exemples.

« Notamment, APT40 possède la capacité de transformer et d’adapter rapidement les preuves de concept(POC) d’exploitation de nouvelles vulnérabilités et de les utiliser immédiatement contre les réseaux cibles possédant l’infrastructure de la vulnérabilité associée », lit-on dans l’avis conjoint rédigé par l’ACSC australien.

« APT40 effectue régulièrement des reconnaissances contre des réseaux d’intérêt, y compris des réseaux dans les pays des agences auteurs, à la recherche d’opportunités de compromettre ses cibles. »

Après avoir violé un serveur ou un périphérique réseau, les pirates chinois déploient des shells Web pour la persistance à l’aide d’un entonnoir de socket sécurisé, puis utilisent des informations d’identification valides capturées via Kerberoasting avec RDP pour un mouvement latéral à travers un réseau.

Il est particulièrement intéressant de noter que les acteurs de la menace violent généralement les routeurs SOHO (small office/home office) en fin de vie en utilisant des vulnérabilités N-day et les détournent pour servir d’infrastructure opérationnelle. Ces appareils détournés agissent comme des proxys réseau utilisés par APT40 pour lancer des attaques tout en se fondant dans le trafic légitime provenant du routeur détourné.

D’autres groupes APT chinois sont également connus pour utiliser des réseaux de boîtes de relais opérationnelles (ORBs), constitués de routeurs EoL détournés et d’appareils IoT. Ces maillages proxy sont administrés par des cybercriminels indépendants qui fournissent un accès à plusieurs acteurs parrainés par l’État (APT) pour le proxy du trafic malveillant.

Dans la phase finale des attaques de cyberespionnage, APT40 accède aux partages SMB et exfiltrent les données vers un serveur de commande et de contrôle (C2) tout en supprimant les journaux d’événements et en déployant un logiciel pour maintenir une présence furtive sur le réseau piraté.

Présentation des attaques APT 40

Études de cas
L’avis contient deux études de cas de 2022, qui servent de bons exemples pour mettre en évidence les tactiques et procédures de l’APT 40.

Dans le premier cas, de juillet à septembre 2022, APT 40 a exploité une application Web personnalisée pour s’implanter dans le réseau d’une organisation australienne.

À l’aide d’interpréteurs de commandes Web, ils ont effectué une reconnaissance du réseau, accédé à Active Directory et exfiltré des données sensibles, y compris des informations d’identification privilégiées.

Chronologie de l’étude de cas de la première attaque

La deuxième étude de cas concerne un incident survenu entre avril et mai 2022, lorsqu’APT40 a compromis une organisation en exploitant des failles RCE sur un portail de connexion d’accès à distance.

Ils ont déployé des shells Web, capturé des centaines de paires nom d’utilisateur-mot de passe, de codes MFA et de jetons Web JSON (JWT), et ont finalement augmenté leurs privilèges pour gratter un serveur SQL interne.

Détection et atténuation des attaques
L’avis fournit une série de recommandations pour atténuer et se défendre contre APT40 et les cybermenaces similaires parrainées par l’État, y compris les chemins de fichiers connus utilisés par les auteurs de menaces pour déployer des outils et des logiciels malveillants.

Les recommandations de la défense mettent en évidence l’utilisation d’une application de correctifs en temps opportun, d’une journalisation complète et d’une segmentation du réseau.

De plus, il est recommandé de désactiver les ports et services inutilisés, d’utiliser des pare-feu d’applications Web (WAF), d’appliquer le principe du moindre privilège, d’utiliser l’authentification multifacteur (MFA) pour les services d’accès à distance et de remplacer l’équipement en fin de vie (EoL).

Le remplacement des équipements de réseau EoL edge est une priorité car ces types d’appareils sont destinés à être exposés publiquement et, s’ils ne reçoivent plus de correctifs, constituent une cible précieuse pour tous les types d’acteurs de la menace.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *