澳洲、加拿大、德國、日本、紐西蘭、南韓、英國和美國的國家網路安全機構聯合發佈了一項聲明,警告稱與中國有關的APT40駭客組織具備在新公開安全漏洞後數小時或數天內快速利用的能力。這些安全機構表示APT40之前曾針對包括澳洲和美國在內的多個國家的組織進行攻擊且值得注意的是,APT40具備快速轉化和適應漏洞的概念性驗證(PoC)以進行目標偵查和攻擊操作的能力。
根據過去資料顯示APT40的基地位於中國海口,也被稱為Bronze Mohawk、Gingham Typhoon(前稱 Gadolinium)、ISLANDDREAMS、Kryptonite Panda、Leviathan、Red Ladon、TA423和TEMP.Periscope,自2013年以來一直活躍於亞太地區並進行網路攻擊。
2021年7月,美國及其盟友正式將APT40歸屬於中國國家安全部(MSS),指控該組織多年來策劃了一系列針對不同產業的長期攻擊活動,目的在竊取商業秘密與高價值的資料。
近年來,APT40被發現參與多次入侵活動,包括使用ScanBox偵察框架以及利用WinRAR的安全漏洞(CVE-2023-38831,CVSS分數:7.8)進行釣魚攻擊,針對巴布亞紐幾內亞傳送名為BOXRAT的後門。今年三月,紐西蘭政府指控APT40在2021年攻擊了議會法律顧問辦公室和議會服務部。
APT40會在廣泛使用的公共軟體如Log4j、Atlassian Confluence和Microsoft Exchange中識別新漏洞,並針對相關漏洞的基礎設施進行攻擊。他們定期對目標網路進行偵察,包括各國的國家網路,尋找攻擊機會。透過這種偵察能夠識別在網路中容易受攻擊的目標,這類目標一般是生命週期已經結束的產品,後進行快速部署做為利用的工具。」
本文資料來源The Hacker News