Picus Security analysoi APT41-uhkaryhmän toimintaa
Kyberturvallisuusyritys Picus Security julkaisi kattavan analyysin APT41-uhkaryhmän historiasta, taktiikoista ja menettelytavoista. Ryhmä on toiminut vuodesta 2007 lähtien ja yhdistää kybervakoilun ja taloudellisesti motivoituneet rikokset.
Kyberturvallisuusyritys Picus Security on julkaissut syväluotaavan analyysin tunnetusta ja aktiivisesta kyberrikollisryhmästä nimeltä APT41. Raportti kuvaa ryhmän toimintahistoriaa, sen käyttämiä kehittyneitä taktiikoita ja tekniikoita sekä menetelmiä, joilla se suorittaa pitkäkestoisia hyökkäyksiä.
APT41 on ollut toiminnassa ainakin vuodesta 2007 lähtien. Ryhmä tunnetaan kyvystään yhdistää kybervakoilu ja taloudellisesti motivoitunut kyberrikollisuus, mikä on ollut havaittavissa vuodesta 2014. Heidän kohteinaan on laaja joukko sektoreita, mukaan lukien Yhdysvaltain osavaltioiden hallitukset, globaalit logistiikka-alan yritykset sekä teknologiayritykset.
Ryhmä hyödyntää taitavasti haavoittuvuuksia, mukaan lukien nopeasti Log4Shell-haavoittuvuuden (CVE-2021-44228) hyväksikäyttö julkistamisen jälkeen. APT41 käyttää usein julkisesti saatavilla olevia sovelluksia ensisijaisena pääsytapanaan ja hyödyntää sekä n-päivä- että nollapäivähaavoittuvuuksia ohjelmistoissa kuten Citrix ja Zoho. Sisään päästyään he käyttävät monimutkaisia menetelmiä, jotka perustuvat Windowsin sisäänrakennettuihin työkaluihin ja hyödyntävät vaarantuneita järjestelmiä pitkäaikaisen pääsyn varmistamiseksi.
Picus Securityn analyysi tuo esiin APT41:n jatkuvan kehittymisen ja kyvyn mukautua puolustusmekanismeihin. Ryhmä käyttää edistyneitä tekniikoita piiloutuakseen, kuten räätälöityjä injektoreita kirjaamisen ohittamiseksi ja datan siirtämistä laillisiin pilvipalveluihin verkkoliikenteen sekaan sulautumiseksi. Yhdysvaltain oikeusministeriö nosti syytteitä ryhmän jäseniä vastaan vuonna 2020 luvattomasta tietokoneiden käytöstä ja muista rikoksista.