Picus Security analysiert Operationen der APT41-Bedrohungsgruppe

Das Cybersicherheitsunternehmen Picus Security hat eine detaillierte Analyse der bekannten und aktiven Bedrohungsgruppe APT41 veröffentlicht. Der Bericht beschreibt die operative Geschichte der Gruppe, ihre hochentwickelten Taktiken und Techniken sowie die Methoden, die für die Durchführung anhaltender Cyberangriffe eingesetzt werden.

APT41 ist seit mindestens 2007 aktiv und zeichnet sich dadurch aus, gleichzeitig Cyber-Spionage und finanziell motivierte Cyberkriminalität zu betreiben, ein Doppel-Fokus, der seit 2014 zu beobachten ist. Die Gruppe zielt auf eine breite Palette von Sektoren ab, darunter Regierungen von US-Bundesstaaten, globale Schifffahrts- und Logistikunternehmen sowie Technologieunternehmen.

Die Gruppe zeigt erhebliche Fähigkeiten bei der Ausnutzung von Schwachstellen, insbesondere durch die Ausnutzung der kritischen Log4Shell-Schwachstelle (CVE-2021-44228) innerhalb von Stunden nach ihrer öffentlichen Bekanntgabe. APT41 nutzt häufig öffentlich zugängliche Anwendungen als primären Angriffsvektor und setzt sowohl n-day- als auch Zero-Day-Schwachstellen in Software von Anbietern wie Citrix und Zoho ein. Nach dem Eindringen verwenden sie komplexe, mehrstufige Liefersysteme für Payloads, die oft in Windows integrierte Dienstprogramme nutzen, um langfristigen Zugriff aufrechtzuerhalten.

Picus Securitys Analyse hebt die kontinuierliche Weiterentwicklung von APT41 und ihre Fähigkeit hervor, sich an Abwehrmaßnahmen anzupassen. Die Gruppe setzt fortschrittliche Techniken zur Umgehung von Erkennung ein, wie z.B. benutzerdefinierte Injektoren zur Umgehung der Protokollierung und die Exfiltration von Daten zu legitimen Cloud-Diensten, um sich im normalen Netzwerkverkehr zu verbergen. Mitglieder der Gruppe wurden 2020 vom US-Justizministerium wegen Verstößen wie dem unbefugten Zugriff auf Computer angeklagt.