详细内容或原文请订阅后点击阅览
中国的 APT40 团伙准备在漏洞公开发布后数小时或数天内发起攻击
补丁松懈和小型企业工具包易受攻击,让北京的机密窃取者得手以澳大利亚为首的八个国家的执法机构发布了一份咨询报告,详细介绍了与中国结盟的威胁行为者 APT40(又名 Kryptonite Panda、GINGHAM TYPHOON、Leviathan 和 Bronze Mohawk)使用的技术,并发现它优先开发针对新发现漏洞的漏洞利用程序,并可在数小时内锁定这些漏洞。
来源:The Register _恶意软件以澳大利亚为首的八个国家的执法机构发布了一份咨询报告,详细介绍了与中国结盟的威胁行为者 APT40(又名 Kryptonite Panda、GINGHAM TYPHOON、Leviathan 和 Bronze Mohawk)所使用的间谍技术,并发现它优先开发针对新发现漏洞的攻击,并可以在数小时内锁定这些漏洞。
该咨询报告将 APT40 描述为“国家支持的网络组织”,并将中华人民共和国 (PRC) 描述为该组织。撰写该咨询报告的机构来自澳大利亚、美国、加拿大、新西兰、日本、韩国、英国和德国,他们相信 APT40“为中国国家安全部 (MSS) 开展恶意网络行动”。
咨询该咨询的制定由澳大利亚牵头,因为该国信号局的网络安全中心 (ACSC) 在 2022 年获悉 APT40 攻击了一个身份不明的当地组织。
ACSC 获得了受害者组织的许可,并“将基于主机的传感器部署到该组织网络上可能受影响的主机上”。从这些传感器流出的信息使 ACSC 事件响应分析师能够绘制 APT40 活动。
该咨询是结果,并表明 APT40“具有快速转换和调整利用新漏洞的概念验证 (POC) 的能力,并立即利用它们对付拥有相关漏洞基础设施的目标网络。”该团伙还监视感兴趣的网络以寻找未修补的目标。
“这种定期侦察使该组织能够识别目标网络上易受攻击、寿命终止或不再维护的设备,并快速部署漏洞,”该咨询警告道。
然而,弹出 SOHO 盒子“使编写机构能够更好地描述和跟踪该组织的动向。”
并且这些动向表明该组织使用 Web shell 并搜索允许其实现持久访问的有效用户凭据。