చైనీస్ APT40 హ్యాకింగ్ గ్రూప్ ప్రభుత్వ నెట్‌వర్క్‌లను హ్యాకింగ్ చేసినందుకు గ్లోబల్ కూటమిచే నిందించబడింది

US, UK, కెనడా, జర్మనీ, జపాన్, న్యూజిలాండ్ మరియు దక్షిణ కొరియాతో సహా దేశాల సంకీర్ణం, ప్రభుత్వ నెట్‌వర్క్‌లలోకి చొరబడినందుకు చైనా ప్రభుత్వ ప్రాయోజిత హ్యాకింగ్ గ్రూప్ APT40ని నిందించడంలో ఆస్ట్రేలియాతో కలిసింది. ఈ పరిణామం APT31 సభ్యులపై మార్చి 2024 ఆంక్షలను అనుసరిస్తుంది, ఇది చైనీస్ అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) నటుల నుండి ఎదురయ్యే నిరంతర ముప్పును హైలైట్ చేస్తుంది.

బ్రాంజ్ మోహాక్, గింగమ్ టైఫూన్, క్రిప్టోనైట్ పాండా మరియు లెవియాథన్ వంటి వివిధ పేర్లతో పిలువబడే APT40 ఆస్ట్రేలియన్ నెట్‌వర్క్‌లను మరియు విస్తృత ప్రాంతంలోని వారిని పదే పదే లక్ష్యంగా చేసుకుంటోంది. "APT40 ఆస్ట్రేలియన్ నెట్‌వర్క్‌లతో పాటు ఈ ప్రాంతంలోని ప్రభుత్వ మరియు ప్రైవేట్ రంగ నెట్‌వర్క్‌లను పదేపదే లక్ష్యంగా చేసుకుంది మరియు అవి మా నెట్‌వర్క్‌లకు ముప్పు పొంచి ఉంది" అని సంకీర్ణ సలహా పేర్కొంది.

APT40 పాత మరియు హాని కలిగించే పరికరాలను ఉపయోగించడం ద్వారా సాధారణ నిఘా కార్యకలాపాలను నిర్వహిస్తుంది. అట్లాసియన్ కాన్‌ఫ్లూయెన్స్ (CVE-2021-26084), Log4J (CVE-2021-44228) , మరియు Microsoft Exchange (CVE-2021-31207, CVE-2021-31207, C1207, C1207, C1207, 2220) వంటి విస్తృతంగా ఉపయోగించే సాఫ్ట్‌వేర్‌లతో సహా, కొత్త దుర్బలత్వాల కోసం దోపిడీలను త్వరగా స్వీకరించడంలో వారు ప్రవీణులు. -34523, CVE-2021-34473) . APT40 పబ్లిక్‌గా విడుదలైన కొద్దిసేపటికే కొత్త హై-ప్రొఫైల్ వల్నరబిలిటీల కోసం ప్రూఫ్-ఆఫ్-కాన్సెప్ట్ (PoC) దోపిడీలను ఉపయోగించడం కొనసాగిస్తుందని సలహా హెచ్చరించింది.

అనేక ఇతర బెదిరింపు నటుల వలె కాకుండా, APT40 ఫిషింగ్ లేదా ఇతర వినియోగదారు పరస్పర చర్య-ఆధారిత సాంకేతికతలపై ఆధారపడకుండా ప్రారంభ ప్రాప్యత కోసం హాని కలిగించే, ఇంటర్నెట్-ఫేసింగ్ అవస్థాపనను ఉపయోగించుకోవడానికి ఇష్టపడుతుంది . వారు తదుపరి కార్యకలాపాల కోసం ఆధారాలను వెలికితీస్తారు మరియు దాడి గొలుసు ప్రారంభంలో పట్టుదలను ఏర్పరుస్తారు. ఈ సమూహం లెగసీ స్మాల్-ఆఫీస్/హోమ్-ఆఫీస్ (SOHO) పరికరాలతో రాజీ పడుతుందని తెలిసింది, వాటిని చట్టబద్ధమైన నెట్‌వర్క్ ట్రాఫిక్‌తో మిళితం చేసే తదుపరి దాడులకు లాంచ్ పాయింట్‌లుగా ఉపయోగిస్తుంది. ఈ వ్యూహాన్ని ప్రపంచవ్యాప్తంగా ఇతర చైనీస్ రాష్ట్ర-ప్రాయోజిత నటులు పంచుకున్నారు, ఇది ప్రపంచ ముప్పును కలిగిస్తుంది.

ఒక ముఖ్యమైన సంఘటనలో, APT40 జూలై మరియు సెప్టెంబర్ 2022 మధ్య ఆస్ట్రేలియన్ సంస్థ యొక్క నెట్‌వర్క్‌కు యాక్సెస్‌ను నిర్వహించింది. వారు బహుళ యాక్సెస్ వెక్టర్‌లను స్థాపించారు, పెద్ద మొత్తంలో డేటాను వెలికితీశారు మరియు నెట్‌వర్క్‌లో పార్శ్వంగా తరలించబడ్డారు. మరొక సందర్భంలో, సమూహం ఒక సంస్థ యొక్క రిమోట్ యాక్సెస్ లాగిన్ పోర్టల్‌ను రాజీ చేసింది, అనేక వందల ప్రత్యేకమైన వినియోగదారు పేరు మరియు పాస్‌వర్డ్ జతలను తొలగించడానికి పబ్లిక్‌గా వెల్లడించిన రిమోట్ కోడ్ ఎగ్జిక్యూషన్ (RCE) లోపాన్ని ఉపయోగించుకుంది.

అటువంటి దాడుల ప్రమాదాన్ని తగ్గించడానికి, సంస్థలు సమగ్ర లాగింగ్ సామర్థ్యాలను అమలు చేయాలని, అన్ని ఇంటర్నెట్-యాక్సెస్ చేయగల ఉపకరణాలను తక్షణమే ప్యాచ్ చేయాలని, నెట్‌వర్క్ విభజనను అమలు చేయాలని, ఉపయోగించని సేవలు, పోర్ట్‌లు మరియు ప్రోటోకాల్‌లను నిలిపివేయాలని, బహుళ-కారకాల ప్రమాణీకరణను ప్రారంభించాలని మరియు లెగసీ పరికరాలను భర్తీ చేయాలని సూచించింది. సాఫ్ట్‌వేర్ తయారీదారులు తమ ఉత్పత్తుల భద్రతను మెరుగుపరచడానికి డిజైన్ బై డిజైన్ సూత్రాలను అనుసరించాలని కోరారు.

APT40 చొరబాట్లను గుర్తించడానికి, నిరోధించడానికి మరియు సరిదిద్దడానికి అన్ని సంస్థలు ఈ సిఫార్సులను సమీక్షించవలసిన అవసరాన్ని కూటమి యొక్క సలహా నొక్కి చెబుతుంది. ఈ చర్యలను అనుసరించడం ద్వారా, APT40 మరియు ఇతర రాష్ట్ర-ప్రాయోజిత ముప్పు నటులు ఉపయోగించే అధునాతన సాంకేతికతలకు వ్యతిరేకంగా సంస్థలు తమ రక్షణను బలోపేతం చేసుకోవచ్చు.