根據外媒The Hacker News與澳華網相關報導,網路情報機構澳洲信號局(Australian Signals Directorate,ASD)和其他其情報合作夥伴(美國、英國、加拿大、紐西蘭、德國、韓國、日本)發佈一份聯合公告,指控中國間諜組織APT40針對各國展開大規模的網路間諜活動,警告其有能力利用新的漏洞進行攻擊。2021年7月美國及其盟國正式將該組織APT40歸咎於中國國家安全部(MSS),該組織在中國海南省海口市,並接受中海南省公安廳、海南省國家安全廳下達的任務,並指控該組織的幾名成員策劃了一場針對不同行業的多年活動,以竊取商業機密、智慧財產權和高價值資訊。
APT40該組織也被稱為Bronze Mohawk、Gingham Typhoon(以前稱為Gadolinium)、ISLANDDREAMS、Kryptonite Panda、Leviathan、Red Ladon、TA423和TEMP Periscope,據了解至少自2011年以來一直活躍,對實體進行網路攻擊在亞太地區。
APT40會定期對其感興趣的網路(包含發起機構所在國家的網路)進行偵察,尋找入侵目標(識別網路上易受攻擊、報廢或不再維護的設備),這種定期偵察使APT40具備有快速轉換和調整利用新漏洞的概念驗證(POC)的能力,並立即將其用於攻擊擁有相關漏洞基礎設施的目標網路。
APT40採用部署web shell來建立持久性並保持對受害環境的存取,以及使用澳洲網站進行命令和控制的目的。APT40合併了過時或未修補的設備,包括小辦公室 / 家庭辦公室(SOHO)路由器,作為其攻擊基礎的一部分,試圖重新路由惡意流量並逃避檢測,這種操作方式是類似於Volt Typhoon等其他中國團體所使用的方法。
據Google旗下的Mandiant稱,這是源自中國的網路間諜活動更廣泛轉變的一部分,旨在透過日益武器化網路邊緣設備、「ORB 網路」(操作中繼盒網路)和使用離地攻擊(Living off the Land,LotL)技術,將隱密性置於首要位置和中心。
攻擊鏈還涉及使用遠端桌面協定(RDP)進行偵查、權限升級和橫向移動活動,以竊取憑證並洩漏感興趣的資訊。
過去幾年中,APT40與提供ScanBox偵察框架的入侵波以及利用WinRAR中的安全漏洞(CVE-2023-38831,CVSS評分:7.8)有關,作為針對巴布亞新的網路釣魚活動的一部分幾內亞將提供一個名為BOXRAT的後門。
今年3月初,紐西蘭政府暗示威脅者參與了2021年議會法律顧問辦公室和議會服務的妥協。編寫機構表示:”APT40識別了Log4j、Atlassian Confluence和Microsoft Exchange等廣泛使用的公共軟體中的新漏洞,以針對相關漏洞的基礎設施。
企業的虛擬資安團隊 ~ 竣盟科技貼心提醒,隨時做好下列資安防護措施,將可減輕此類威脅為企業運營帶來的風險。
- 隨時維護足夠的日誌記錄機制
- 實施多重身份驗證(MFA)
- 實施強大的修補程式管理系統
- 更新報廢設備
- 停用未使用的服務、連接埠和協議
- 網路進行分段(以防止存取敏感資料)
APT40 IOC:
26a5a7e71a601be991073c78d513dee3
87c88f06a7464db2534bc78ec2b915de
6a9bc68c9bc5cefaf1880ae6ffb1d0ca
64454645a9a21510226ab29e01e76d39
e2175f91ce3da2e8d46b0639e941e13f
9f89f069466b8b5c9bf25c9374a4daf8
187d6f2ed2c80f805461d9119a5878ac
ed7178cec90ed21644e669378b3a97ec
5bf7560d0a638e34035f85cd3788e258
e02be0dc614523ddd7a28c9e9d500cff