Восемь ведущих агентств по кибербезопасности выпустили совместное предупреждение о деятельности китайской кибершпионской группы APT40, которая способна использовать уязвимости в ПО всего за несколько часов или дней после обнаружения.
APT40 (Bronze Mohawk, Gingham Typhoon, Kryptonite Panda, Leviathan, Red Ladon, TA423) ведет свою деятельность с 2013 года. Основные цели атак находятся в Азиатско-Тихоокеанском регионе. Считается, что группа хакеров базируется в Хайкоу и действует под эгидой Министерства госбезопасности Китая (MSS).
В июле 2021 года Великобритания приписала APT40 к китайскому правительству. Несколько членов группы были обвинены в многолетней кампании по краже коммерческих тайн, интеллектуальной собственности и ценной информации из различных секторов.
Схема тактик, техник и процедур (TTPs) группы APT40
APT40 активно отслеживает новые уязвимости в широко используемом программном обеспечении, таком как Log4j, Atlassian Confluence и Microsoft Exchange. Группа регулярно проводит разведку сетей различных стран, чтобы найти уязвимые устройства и быстро внедрить эксплойты.
Важной особенностью тактики группы является использование веб-шеллов для установления и поддержания доступа к среде жертвы, а также использование австралийских сайтов в качестве C2-сервера. Группа также включает в свою инфраструктуру устаревшие или не обновленные устройства, такие как роутеры для SOHO, чтобы перенаправлять вредоносный трафик и избегать обнаружения. Подобный стиль операции присущ и другим китайским группам, например, Volt Typhoon.
За последние несколько лет APT40 была связана с несколькими волнами атак. В их числе – использование фреймворка ScanBox для разведки и эксплуатация уязвимости в WinRAR ( CVE-2023-38831 , оценка CVSS: 7.8).
По данным Mandiant, деятельность APT40 – часть широкой тенденции Китая в кибершпионаже, нацеленная на повышение скрытности. Хакерские группы всё чаще используют устройства на краю сети (Edge of Network,
К преимуществам edge computing относятся уменьшение задержки, увеличение пропускной способности и улучшение конфиденциальности и безопасности данных, так как данные обрабатываются ближе к источнику и, как правило, не требуют передачи через сеть. Это также может обеспечить более высокую надежность, поскольку операции могут продолжаться даже в случае проблем с сетью.