全球聯盟指責中國 APT40 駭客組織入侵政府網絡

包括美國、英國、加拿大、德國、日本、紐西蘭和韓國在內的國家聯盟與澳洲一起指責中國國家支持的駭客組織 APT40滲透政府網路。這項進展是在 2024 年 3 月對APT31 成員實施制裁之後發生的，突顯了中國高級持續威脅 (APT) 行為者所構成的持續威脅。

APT40 有各種名稱，例如 Bronze Mohawk、Gingham Typhoon、Kryptonite Panda 和 Leviathan，它一直反覆針對澳大利亞網絡和更廣泛地區的網絡。該聯盟的諮詢指出，“APT40 多次針對澳大利亞網絡以及該地區的政府和私營部門網絡，它們對我們網絡構成的威脅持續存在。”

APT40 定期進行偵察行動，利用舊的和易受攻擊的設備。他們擅長快速利用新漏洞，包括 Atlassian Confluence (CVE-2021-26084)、 Log4J (CVE-2021-44228)和Microsoft Exchange (CVE-2021-31207、CVE-2021)等廣泛使用的軟體中的漏洞-34523 、CVE-2021-34473） 。該通報警告說，APT40 預計將在新的備受矚目的漏洞公開發布後不久繼續使用概念驗證 (PoC) 漏洞。

與許多其他威脅行為者不同， APT40 更喜歡利用易受攻擊的、面向互聯網的基礎設施進行初始訪問，而不是依賴網路釣魚或其他基於用戶互動的技術。他們竊取後續操作的憑證，並在攻擊鏈的早期建立持久性。眾所周知，該組織會破壞傳統小型辦公室/家庭辦公室 (SOHO) 設備，將其用作與合法網路流量混合的後續攻擊的啟動點。這種策略被世界各地其他中國國家支持的行為體所採用，構成了全球威脅。

在一個值得注意的事件中，APT40 在 2022 年 7 月至 9 月期間保持了對澳洲組織網路的存取。 他們建立了多個存取向量，竊取了大量數據，並在網路內橫向移動。在另一個案例中，該組織破壞了一個組織的遠端存取登入門戶，利用公開揭露的遠端程式碼執行 (RCE) 缺陷竊取了數百個唯一的使用者名稱和密碼對。

為了降低此類攻擊的風險，建議組織實施全面的日誌記錄功能，及時修補所有可透過網際網路存取的設備，實施網路分段，停用未使用的服務、連接埠和協議，啟用多重驗證並更換舊設備。敦促軟體製造商採用安全設計原則來增強其產品的安全性。

該聯盟的建議強調所有組織都需要審查這些建議，以識別、預防和補救 APT40 入侵。透過採取這些措施，組織可以加強對 APT40 和其他國家支持的威脅行為者所採用的複雜技術的防禦。