Los actores patrocinados por el Estado chino, rastreados por las agencias de ciberseguridad occidentales como APT40, están trabajando rápidamente. Buscan vulnerabilidades no detectadas previamente, las crean rápidamente y se apresuran a implementarlas lo antes posible.
En algunos casos, todo el proceso, desde descubrir vulnerabilidades hasta explotarlas, sólo tomó unas pocas horas.
Así se desprende de un nuevo aviso de seguridad publicado conjuntamente por las agencias de seguridad nacionales de Australia, Estados Unidos, Canadá, Nueva Zelanda, Japón, Corea del Sur, Reino Unido y Alemania.
Apuntando a equipos SOHO
Hace dos años, una empresa local llamó al Centro de Seguridad Cibernética de Australia para ayudar a responder a un ataque cibernético. Con el permiso de la víctima, la agencia “implementó sensores basados en host en dispositivos potencialmente afectados en la red de la organización” para rastrear las operaciones del atacante y mapear sus actividades.
El aviso surgió como resultado de este análisis y afirma que APT40 “tiene la capacidad de transformar y adaptar rápidamente pruebas de concepto (POC) para nuevas vulnerabilidades y usarlas inmediatamente contra redes objetivo que tienen la infraestructura de vulnerabilidad asociada”.
Además de buscar nuevas fallas, el grupo también escanea Internet en busca de vulnerabilidades conocidas que no han sido reparadas y que, por lo tanto, representan una puerta de entrada fácil a la infraestructura objetivo.
“Este reconocimiento regular coloca al grupo en posición de identificar dispositivos vulnerables, caducados o que ya no se mantienen en redes de interés, y desplegar rápidamente vulnerabilidades”, dijeron las agencias. Las agencias también están escaneando dispositivos que aún son vulnerables a las vulnerabilidades de Log4shell y Atlassian Confluence, además de las vulnerabilidades conocidas. microsoft Lagunas cambiarias.
“APT40 ha adoptado la tendencia global de utilizar dispositivos comprometidos, incluidos dispositivos de pequeñas oficinas/oficinas en el hogar (SOHO), como infraestructura operativa y redirectores posteriores para sus operaciones en Australia”, agregaron los investigadores. “Muchos de estos dispositivos de pequeñas oficinas/oficinas domésticas están caducados o no han sido reparados y constituyen un blanco fácil para su explotación al día siguiente”.
Sin embargo, apuntar a dispositivos SOHO es un arma de doble filo, ya que también permite a las agencias de seguridad rastrear y analizar a los atacantes, ayudando así a preparar las defensas.
a través de Registro