정부 네트워크 해킹에 대한 글로벌 연합의 비난을 받은 중국 APT40 해킹 그룹

미국, 영국, 캐나다, 독일, 일본, 뉴질랜드, 한국을 포함한 국가 연합이 호주에 합류하여 중국 정부가 후원하는 해킹 그룹 APT40이 정부 네트워크에 침투했다고 비난했습니다. 이러한 발전은 APT31 회원에 대한 2024년 3월 제재 조치에 따른 것으로, 중국 APT(지능형 지속 위협) 행위자가 가하는 지속적인 위협을 강조합니다.

Bronze Mohawk, Gingham Typhoon, Kryptonite Panda, Leviathan 등 다양한 이름으로 알려진 APT40은 호주 네트워크와 더 넓은 지역의 네트워크를 반복적으로 표적으로 삼아 왔습니다. 연합의 권고에는 "APT40이 호주 네트워크는 물론 해당 지역의 정부 및 민간 부문 네트워크를 반복적으로 표적으로 삼았으며 그들이 우리 네트워크에 가하는 위협은 계속되고 있습니다."라고 명시되어 있습니다.

APT40은 오래되고 취약한 장치를 악용하여 정기적인 정찰 작업을 수행합니다. 그들은 Atlassian Confluence(CVE-2021-26084), Log4J(CVE-2021-44228) , Microsoft Exchange(CVE-2021-31207, CVE-2021 )와 같이 널리 사용되는 소프트웨어의 취약점을 포함하여 새로운 취약점에 대한 익스플로잇을 신속하게 채택하는 데 능숙합니다. -34523, CVE-2021-34473) . 권고문에서는 APT40이 공개된 직후에도 새로운 주목을 받는 취약점에 대해 개념 증명(PoC) 익스플로잇을 계속 사용할 것으로 예상된다고 경고했습니다.

다른 많은 위협 행위자와는 달리 APT40은 피싱이나 기타 사용자 상호 작용 기반 기술에 의존하기보다는 초기 액세스를 위해 취약한 인터넷 연결 인프라를 이용하는 것을 선호합니다 . 후속 작업을 위해 자격 증명을 유출하고 공격 체인 초기에 지속성을 설정합니다. 이 그룹은 기존 SOHO(소규모 사무실/홈 오피스) 장치를 손상시켜 합법적인 네트워크 트래픽과 혼합되는 후속 공격의 시작점으로 사용하는 것으로 알려져 있습니다. 이 전술은 전 세계적으로 중국 정부가 후원하는 다른 행위자들이 공유하고 있으며 전 세계적으로 위협이 되고 있습니다.

주목할만한 사건 중 하나에서 APT40은 2022년 7월부터 9월 사이에 호주 조직의 네트워크에 대한 액세스를 유지했습니다. 그들은 여러 액세스 벡터를 설정하고 대량의 데이터를 유출하고 네트워크 내에서 측면으로 이동했습니다. 또 다른 경우에는 그룹이 공개적으로 공개된 원격 코드 실행(RCE) 결함을 악용하여 조직의 원격 액세스 로그인 포털을 손상시켜 수백 개의 고유한 사용자 이름과 비밀번호 쌍을 유출했습니다.

이러한 공격의 위험을 완화하기 위해 조직은 포괄적인 로깅 기능을 구현하고, 인터넷에 액세스할 수 있는 모든 어플라이언스를 즉시 패치하고, 네트워크 분할을 구현하고, 사용하지 않는 서비스, 포트 및 프로토콜을 비활성화하고, 다단계 인증을 활성화하고, 레거시 장비를 교체하는 것이 좋습니다. 소프트웨어 제조업체는 제품의 보안을 강화하기 위해 Secure by Design 원칙을 채택해야 합니다.

연합의 권고는 모든 조직이 APT40 침입을 식별, 예방 및 해결하기 위해 이러한 권장 사항을 검토해야 함을 강조합니다. 이러한 조치를 채택함으로써 조직은 APT40 및 기타 국가 후원 위협 행위자가 사용하는 정교한 기술에 대한 방어를 강화할 수 있습니다.