Picus Security analyserar APT41-hotgruppen

Cybersäkerhetsföretaget Picus Security har släppt en djupgående analys av den välkända och aktiva cyberkriminella gruppen känd som APT41. Rapporten beskriver gruppens operativa historia, deras sofistikerade metoder och tekniker, samt de strategier de använder för att genomföra långvariga attacker.

APT41 har varit aktiv sedan åtminstone 2007. Gruppen är känd för sin förmåga att kombinera cyberespionage med ekonomiskt motiverad cyberbrottslighet, ett mönster som observerats sedan 2014. Deras måltavlor är breda och inkluderar amerikanska delstatsregeringar, globala logistikföretag och teknikföretag.

Gruppen utnyttjar på ett skickligt sätt sårbarheter, inklusive en snabb exploatering av Log4Shell-sårbarheten (CVE-2021-44228) kort efter dess offentliggörande. APT41 använder ofta publikt tillgängliga applikationer som sin primära åtkomstvektor och utnyttjar både n-dagars och zero-day-sårbarheter i programvara som Citrix och Zoho. Väl inne i systemen använder de komplexa metoder som bygger på Windows inbyggda verktyg för att säkerställa långsiktig åtkomst.

Picus Securitys analys belyser APT41:s kontinuerliga utveckling och förmåga att anpassa sig till befintliga försvarsmekanismer. Gruppen använder avancerade tekniker för att undvika upptäckt, inklusive anpassade injektorer för att kringgå loggning och exfiltrera data till legitima molntjänster för att smälta in i normal nätverkstrafik. År 2020 åtalades medlemmar av gruppen av USA:s justitiedepartement för bland annat obehörig åtkomst till datorer.