执行摘要
中华人民共和国(PRC)国家支持的网络威胁行为体正在全球范围内瞄准网络,包括但不限于电信、政府、交通、住宿和军事基础设施网络。这些行为体主要针对主要电信提供商的大型骨干路由器,以及提供商边缘(PE)和客户边缘(CE)路由器,同时利用受感染的设备和可信连接横向移动到其他网络。这些行为体经常修改路由器以维持对网络的持久长期访问。
此活动与网络安全行业报告的网络威胁行为体部分重叠——通常称为Salt Typhoon、OPERATOR PANDA、RedMike、UNC5807和GhostEmperor等。撰写机构未采用特定的商业命名约定,在本公告中更通用地称负责此网络威胁活动的行为体为"高级持续性威胁(APT)行为体"。在美国、澳大利亚、加拿大、新西兰、英国和全球其他地区已观察到此类网络威胁活动集群。
技术细节
初始访问
与这些APT行为体相关的调查表明,他们在利用公开已知的常见漏洞和暴露(CVE)以及受损基础设施内其他可避免的弱点方面取得了相当大的成功。迄今为止尚未观察到零日漏洞的利用。随着新漏洞的发现和目标实施缓解措施,APT行为体可能会继续调整其策略,并可能扩大对现有漏洞的使用。
如果尚未修补,防御者应优先处理以下CVE,因为这些APT行为体历史上曾在暴露的网络边缘设备上利用它们:
- CVE-2024-21887 - Ivanti Connect Secure和Ivanti Policy Secure Web组件命令注入漏洞
- CVE-2024-3400 - Palo Alto Networks PAN-OS GlobalProtect任意文件创建导致OS命令注入
- CVE-2023-20273 - Cisco IOS XE软件Web管理用户界面认证后命令注入/权限提升
- CVE-2023-20198 - Cisco IOS XE Web用户界面认证绕过漏洞
- CVE-2018-0171 - Cisco IOS和IOS XE智能安装远程代码执行漏洞
持久化
为了维持对目标网络的持久访问,APT行为体使用了各种技术:
修改访问控制列表(ACL)
- 添加IP地址以绕过安全策略
- 通常将ACL命名为"access-list 20"
启用非标准端口服务
- 打开SSH、SFTP、RDP、FTP、HTTP、HTTPS等服务
- 使用非标准端口逃避检测(如22x22或xxx22模式)
启用SSH服务器
- 在网络设备上启用SSH服务器并打开面向外部的端口
- 向现有SSH服务添加密钥以重新进入网络设备
创建隧道
- 在网络设备上配置GRE、mGRE或IPsec隧道
- 创建持久和隐蔽的数据传输通道
使用虚拟化容器
- 在支持的Cisco网络设备上运行盒内Linux容器
- 在容器内运行Python和原生Linux工具
横向移动和数据收集
获得初始访问后,APT行为体瞄准涉及身份验证的协议和基础设施——如终端访问控制器访问控制系统增强版(TACACS+)——以促进跨网络设备的横向移动。
目标包括:
- 身份验证协议(TACACS+和RADIUS)
- 管理信息库(MIB)
- 路由器接口
- 资源预留协议(RSVP)会话
- 边界网关协议(BGP)路由
- 安装的软件和配置文件
网络流量捕获
- 使用SPAN、RSPAN或ERSPAN功能镜像流量
- 利用原生数据包捕获功能收集RADIUS或TACACS+身份验证流量
数据外泄
APT行为体滥用对等连接(即网络之间的直接互连,允许在不通过中介的情况下交换流量)进行数据外泄。外泄可能由于缺乏策略约束或限制对等ISP接收数据类型系统配置而得以实现。
分析表明,APT行为体利用单独(可能多个)命令和控制通道进行外泄,将其数据窃取隐藏在代理和网络地址转换(NAT)池等高流量节点的噪声中。
威胁狩猎指南
撰写机构鼓励关键基础设施组织(尤其是电信组织)的网络防御者执行威胁狩猎,并在适当时进行事件响应活动。
监控配置更改
- 拉取所有运行网络设备的配置并检查与最新授权版本的差异
- 审查远程访问配置是否正确应用了ACL和传输协议
监控虚拟化容器
- 确保所有运行的虚拟化容器都是预期和授权的
- 对于支持Cisco Guest Shell的设备,不要仅依赖设备系统日志
监控网络服务和隧道
- 监控在非标准端口上运行的管理服务
- 狩猎行为体偏好的协议模式
监控固件和软件完整性
- 对固件执行哈希验证并将值与供应商数据库比较
- 使用产品的运行时内存验证或完整性验证工具
缓解措施
一般建议
- 定期审查网络设备日志和配置
- 采用稳健的变更管理流程
- 在缓解前尝试识别疑似泄露的完整范围
- 禁用管理接口的出站连接
强化管理协议和服务
- 实施管理平面隔离和控制平面策略(CoPP)
- 仅使用SSHv2并禁用Telnet
- 仅使用SNMPv3并禁用SNMPv1和SNMPv2
实施稳健的日志记录
- 确保启用日志记录并转发到集中式服务器
- 为特权命令启用AAA命令记帐
入侵指标(IOC)
IP地址指标(2021年8月至2025年6月)
- 1.222.84[.]29
- 167.88.173[.]252
- 23.227.202[.]253
- 45.61.151[.]12
- (完整列表见原文)
自定义SFTP客户端
- cmd3、cmd1、new2、sft等自定义SFTP客户端
- 用于将加密档案从一个位置传输到另一个位置
附录
MITRE ATT&CK战术和技术
初始访问
- T1190 - 利用面向公众的应用程序
- T1199 - 可信关系
持久化
- T1136.001 - 创建账户:本地账户
- T1543.005 - 容器服务
防御规避
- T1027 - 混淆文件或信息
- T1562.004 - 削弱防御:禁用或修改系统防火墙
命令和控制
- T1090 - 代理
- T1572 - 协议隧道
exploited CVE信息
| CVE | 供应商/产品 | 详情 |
|---|---|---|
| CVE-2024-21887 | Ivanti Connect Secure | 命令注入漏洞 |
| CVE-2024-3400 | Palo Alto Networks PAN-OS | 任意文件创建导致OS命令注入 |
| CVE-2023-20273 | Cisco IOS XE | Web管理界面认证后命令注入 |
联系信息
美国组织
- 国家安全局(NSA):CybersecurityReports@nsa.gov
- CISA/FBI:通过CISA事件报告系统或当地FBI现场办公室
国际组织
- 澳大利亚:cyber.gov.au或1300 292 371
- 加拿大:contact@cyber.gc.ca
- 英国:https://report.ncsc.gov.uk/
本文提供了检测和缓解这些APT行为体活动的全面技术指导,包括具体的命令、配置更改和监控建议。组织应优先修补已知漏洞,实施严格的网络分段,并建立稳健的日志记录和监控实践。