全球联盟指责中国 APT40 黑客组织入侵政府网络

包括美国、英国、加拿大、德国、日本、新西兰和韩国在内的多个国家联盟与澳大利亚一道指责中国政府支持的黑客组织 APT40渗透政府网络。这一发展是继 2024 年 3 月对APT31 成员实施制裁之后的又一举措，突显了中国高级持续性威胁 (APT) 行为者构成的持续威胁。

APT40 有各种名称，例如 Bronze Mohawk、Gingham Typhoon、Kryptonite Panda 和 Leviathan，它多次针对澳大利亚网络以及更广泛地区的网络。该联盟的咨询报告指出，“APT40 多次针对澳大利亚网络以及该地区的政府和私营部门网络，它们对我们的网络构成的威胁仍在持续。”

APT40 定期开展侦察行动，利用老旧且易受攻击的设备。他们善于快速利用新漏洞，包括 Atlassian Confluence (CVE-2021-26084)、 Log4J (CVE-2021-44228)和Microsoft Exchange (CVE-2021-31207、CVE-2021-34523、CVE-2021-34473)等广泛使用的软件中的漏洞。该通报警告称，APT40 预计将在新的高调漏洞公开发布后不久继续使用概念验证 (PoC) 漏洞。

与许多其他威胁行为者不同， APT40 更喜欢利用易受攻击的面向互联网的基础设施进行初始访问，而不是依赖网络钓鱼或其他基于用户交互的技术。他们窃取后续操作的凭证，并在攻击链的早期建立持久性。据了解，该组织曾入侵传统的小型办公室/家庭办公室 (SOHO) 设备，将其用作与合法网络流量混合的后续攻击的启动点。全球其他受中国政府支持的行动者也采用这种策略，构成了全球威胁。

在一次引人注目的事件中，APT40 在 2022 年 7 月至 9 月期间一直访问着一家澳大利亚组织的网络。他们建立了多个访问向量，窃取了大量数据，并在网络内横向移动。在另一起案件中，该组织入侵了一家组织的远程访问登录门户，利用公开披露的远程代码执行 (RCE) 漏洞窃取了数百个唯一的用户名和密码对。

为了降低此类攻击的风险，建议各组织实施全面的日志记录功能，及时修补所有可访问互联网的设备，实施网络分段，禁用未使用的服务、端口和协议，启用多因素身份验证，并更换旧设备。敦促软件制造商采用安全设计原则来增强其产品的安全性。

该联盟的咨询报告强调，所有组织都需要审查这些建议，以识别、预防和补救 APT40 入侵。通过采取这些措施，组织可以加强对 APT40 和其他国家支持的威胁行为者所采用的复杂技术的防御。