说明

在THM(TryHackMe)的学习过程中,看到一篇参考资料,URL是Tactics, Techniques, and Procedures of Indicted APT40 Actors Associated with China’s MSS Hainan State Security Department | CISA

以APT40为关键词搜索,看到日本这边也有相关的报道,

[中国政府を背景に持つ APT40 といわれるサイバー攻撃グループによる
サイバー攻撃等について（注意喚起）](https://www.npa.go.jp/bureau/cyber/pdf/20210719pr.pdf)

觉得有必要来学习一下.以下内容基于原报告,加了一些自己的理解和感受.

先整理下日文版注意唤起的要点

我が国企業も対象となっていたこと(日本企业也可能是攻击目标)

日頃から、不審なメールや添付ファイルは開かない、OS やプログラムのパッチやアップデートを可及的速やかに設定する等の基本的な留意事項(这是日常的安全意识)

再说下英文版的内容

概要

本网络安全公告由FBI和CISA提供,是关于中国高级持续威胁组织APT40的.本公告描述了APT40的TTP和IoCs,以帮助相关从业者识别并减轻ATP40的危害.

APT40, aka(还是在脱口秀节目中知道它是别名的意思,这里也用到了), APT40的别名有许多,比如BRONZE MOHAWK, FEVERDREAM, G0065, Gadolinium, GreenCrash, Hellsing, Kryptonite Panda, Leviathan, MUDCARP, Periscope, Tmp.Periscope和Temp.Jumper

据点在中国海南省海口市,自2009年起持续活跃,它的目标是政府部门,企业,大家,包含众多行业,如生物医药,机器人,海事研究,横跨漂亮国,加拿大,欧洲,中东和中国南海,也包含中国一带一路倡议中的行业.

中国一带一路的标准翻译是:China's Belt and Road

在2021年7月19号,美国DOJ(司法部,Department of Justice)公开了一份对4名APT40组织成员的起诉书,它们通过幌子公司(Front company)海南仙盾科技发展有限公司进行非法网络利用活动.海南仙盾的员工吴淑荣被认为与三名国安部门员工丁晓阳,程庆民,朱允敏一起实施网络犯罪.他们的目标国家有美国,奥地利,柬埔寨,加拿大,德国,印尼,马来,挪威,沙特,南非,瑞士和英国.目标行业包括航空,国防,教育,政府,医疗保健,生物制药和省事等.被盗的商业秘密信息包括用于潜水器和自动驾驶汽车的敏感技术,特别化学配方,商务飞机服务,专有基因测序技术和数据,以及外国信息等.

报告中还列举了相关的域名,文件名和病毒哈希值等.

主要攻击手法有社工,VPN,包含恶意附件的钓鱼邮件,访问管理员帐户,通过Powershell等执行脚本,突破软件漏洞并执行代码等.通过隐写技术来将窃取的数据隐藏在其他文件中并保存在Github中.通过API将数据上传到Dropbox帐户.

缓和对策

Network Defense-in-Depth

1)及时打补丁

2)更新杀软病毒库

3)加强凭证管理,定期变更密码,使用MFA,特别是针对Webmail,VPN访问以及指向关键系统的账户.不要复用密码.

4)确认有无系统的错误配置

5)对系统管理员命令如net,ipconfig,ping等进行日志记录

6)使用最小权限原则

7)主动扫描与监视未授权访问

等等

攻击活动从2009年至2018年,使用的域名主要是com,少量为.info和.club,甚至有.onion(这是暗网地址)