执行摘要

中华人民共和国（PRC）国家支持的网络威胁组织正在全球范围内针对网络进行攻击，包括但不限于电信、政府、交通、住宿和军事基础设施网络。这些攻击者主要关注主要电信提供商的大型骨干路由器，以及提供商边缘（PE）和客户边缘（CE）路由器，同时利用受感染的设备和可信连接渗透到其他网络。

这些活动与网络安全行业报告的部分威胁组织重叠，通常被称为Salt Typhoon、OPERATOR PANDA、RedMike、UNC5807和GhostEmperor等。本咨询中将统一称为"高级持续性威胁（APT）组织"。

技术细节

初始访问

APT组织成功利用公开已知的常见漏洞和暴露（CVE）以及其他可避免的基础设施弱点。迄今为止尚未观察到零日漏洞的利用。如果尚未修补，防御者应优先处理以下CVE：

• CVE-2024-21887 - Ivanti Connect Secure和Ivanti Policy Secure Web组件命令注入漏洞
• CVE-2024-3400 - Palo Alto Networks PAN-OS GlobalProtect任意文件创建导致OS命令注入
• CVE-2023-20273 - Cisco IOS XE软件Web管理用户界面认证后命令注入/权限提升
• CVE-2023-20198 - Cisco IOS XE Web用户界面认证绕过漏洞
• CVE-2018-0171 - Cisco IOS和IOS XE智能安装远程代码执行漏洞

持久化技术

APT组织使用多种技术维持对目标网络的持久访问：

• 修改访问控制列表（ACL）添加IP地址
• 打开标准和非标准端口（SSH、SFTP、RDP、FTP、HTTP、HTTPS）
• 在支持的Cisco网络设备上运行盒内Linux容器
• 创建GRE、mGRE或IPsec隧道
• 使用开源多跳穿透工具，如STOWAWAY

横向移动和数据收集

获得初始访问后，APT组织针对认证协议和基础设施进行横向移动：

• 通过SNMP枚举和SSH横向移动网络设备
• 从特定ISP客户网络被动收集数据包捕获（PCAP）
• 利用本地PCAP功能收集包含凭据的网络流量
• 修改路由器的TACACS+服务器配置指向APT控制的IP地址

数据外泄

APT组织滥用对等连接，利用IPsec和GRE等隧道进行C2和外泄活动，将数据窃取隐藏在高速流量节点的噪声中。

威胁狩猎指南

组织应执行以下威胁狩猎行动：

监控配置变更

• 拉取所有运行网络设备的配置并检查与最新授权版本的差异
• 审查远程访问配置是否正确应用ACL和传输协议
• 如果使用SNMP，确保网络设备配置为使用SNMPv3

监控虚拟化容器

• 确保所有运行的虚拟化容器都是预期和授权的
• 对于支持Cisco Guest Shell的设备，不要仅依赖设备系统日志

监控网络服务和隧道

• 监控非标准端口上运行的管理服务
• 检查TCP/57722（IOS XR sshd_operns）的可达性或流量
• 审核通过安全边界的任何隧道

缓解措施

一般建议

• 定期审查网络设备日志和配置
• 采用稳健的变更管理流程
• 在缓解前尝试识别疑似泄露的完整范围
• 禁用管理接口的出站连接
• 禁用所有未使用的端口和协议

强化管理协议和服务

• 实施管理平面隔离和控制平面策略（CoPP）
• 仅使用SSHv2并禁用Telnet
• 如果操作需要Web界面，仅将其绑定到管理VRF/接口
• 仅使用SNMPv3，禁用SNMPv1和SNMPv2

实施稳健的日志记录

• 确保启用日志记录并转发到集中式服务器
• 为特权命令启用AAA命令记账
• 集中服务器应维护不可变日志

入侵指标（IOC）

咨询提供了与APT组织活动相关的IP地址列表（2021年8月至2025年6月），以及自定义SFTP客户端的详细信息，包括Yara规则用于威胁狩猎。

附录

咨询包含MITRE ATT&CK战术和技术映射、 exploited CVE信息以及MITRE D3FEND对策，为网络防御者提供全面的参考框架来检测和缓解这些威胁。