在最近的 咨询 由澳大利亚等八个国家的执法机构发布的警告,引发了人们对 APT40(又名 Kryptonite Panda 和 GINGHAM TYPHOON)复杂网络行动的担忧。这个受国家支持的网络组织据称在中华人民共和国国家安全部(MSS)的支持下运作,因其迅速利用新发现的漏洞而备受关注。
APT40 是谁?
APT40 被归类为高级持续性威胁 (APT) 组织,表明其从事长期、隐蔽的网络行动,旨在破坏和维持对目标网络的未经授权的访问。该组织的行动通常涉及:
- 利用漏洞:APT40 擅长快速开发和部署新发现漏洞(0-day)以及目标网络中尚未修补的已知漏洞的漏洞利用程序。这种能力使他们能够在发现软件和系统中的漏洞后很快(通常在数小时内)利用这些漏洞。
- 目标选择和侦察:在发起攻击之前,APT40 会进行广泛的侦察活动,以识别潜在目标并评估其弱点。此侦察阶段可帮助他们定制攻击,以利用目标基础设施中的特定弱点。
- 使用受损的基础设施:该组织经常利用受感染的小型办公室/家庭办公室 (SOHO) 设备和其他易受攻击的终端作为运营基础设施。通过利用这些设备,APT40 可以将其恶意活动隐藏在合法网络流量中,使检测和归因变得困难。
有针对性的策略和作战方法
该通报概述了 APT40 的作案手法,包括广泛的侦察活动,旨在识别和利用目标网络中未打补丁或报废的设备。通过使用受感染的小型办公室/家庭办公室 (SOHO) 设备作为运营基础设施,APT40 将其恶意活动隐藏在合法网络流量中,使检测变得具有挑战性。
备受瞩目的目标和被利用的漏洞
APT40 针对的漏洞中值得注意的是 Log4J(CVE-2021-44228)、Atlassian Confluence(CVE-2021-31207、CVE-2021-26084)以及 Microsoft Exchange 中的各种漏洞(CVE-2021-31207、CVE-2021-34523、CVE-2021-34473)。尽管这些漏洞是几年前就发现的,但由于补丁管理措施不足,一些组织仍然容易受到攻击。
缓解策略和建议
该咨询报告强调了强有力的 网络安全 采取措施防御 APT40 及类似威胁。主要缓解策略包括:
- 常规补丁管理: 确保及时安装所有软件和设备的安全补丁。
- 网络分段: 将网络划分为更小的部分以限制潜在违规的影响。
- 多重身份验证 (MFA): 通过要求多种形式的验证来增加额外的安全性。
- Web 应用程序防火墙 (WAF): 过滤和监控 Web 应用程序和互联网之间的 HTTP 流量。
- 最小特权访问: 将用户权限限制为其角色所必需的权限。
- 更换报废设备: 升级或更换不再受安全更新支持的设备。
