APT40: Использование новых уязвимостей в ПО (N-days) Китайская хакерская группа APT40 активно использует новые уязвимости в ПО (N-days) практически сразу после их обнародования. Это предупредили в совместном заявлении правительственные агентства Австралии, США, Великобритании, Канады, Новой Зеландии, Германии, Южной Кореи и Японии. APT40 предпочитает атаковать уязвимую, публично доступную инфраструктуру, а не использовать методы, требующие взаимодействия с пользователем, такие как фишинговые атаки. Группа регулярно проводит разведку сетей, чтобы найти уязвимые или устаревшие устройства, и быстро разворачивает эксплойты. Они могут использовать новые уязвимости в ПО, таком как Log4j, Atlassian Confluence и Microsoft Exchange, в течение нескольких часов после их обнародования. "APT40 способна быстро адаптировать доказательства концепции (POCs) новых уязвимостей и сразу же использовать их против уязвимых сетей," говорится в сообщении. Группа успешно использует уязвимости, начиная с 2017 года. Проникнув в сеть, APT40 применяет техники уклонения и сохранения присутствия, чтобы красть чувствительные данные для Министерства государственной безопасности Китая. APT40 неоднократно нацеливалась на австралийские сети, а также на сети правительственных и частных организаций в регионе, оставаясь угрозой для других стран. Их методы пересекаются с другими группами, такими как Kryptonite Panda, GINGHAM TYPHOON, Leviathan и Bronze Mohawk. Как APT40 проводит атаки ASD сообщает, что APT40 использует скомпрометированные устройства, включая домашние и офисные роутеры, в качестве конечных точек для своих атак в Австралии. Многие из этих устройств устарели или не обновлены, что делает их легкой целью для эксплуатации. После взлома, эти устройства помогают замаскировать атаки под легитимный трафик. Этот метод также используется другими китайскими хакерскими группами. Ранее APT40 использовала скомпрометированные австралийские сайты для управления своими атаками. В сообщении также приводятся примеры атак APT40, показывающие, как они перемещаются по сетям и избегают обнаружения после взлома.