揭秘中国国家级APT组织全球网络入侵与反制策略

本文详细分析了中国国家级APT组织利用已知漏洞针对全球电信、政府、军事等关键基础设施的网络攻击活动,包括攻击技战术、持久化方法、检测指标和缓解措施,涉及CVE-2024-21887等多个高危漏洞的利用细节。

执行摘要

中华人民共和国(PRC)国家级网络威胁行为体正在全球范围内瞄准网络,包括但不限于电信、政府、交通、住宿和军事基础设施网络。这些行为体主要针对主要电信提供商的大型骨干路由器,以及提供商边缘(PE)和客户边缘(CE)路由器,同时利用受感染设备和可信连接渗透到其他网络。这些行为体经常修改路由器以维持对网络的持久长期访问。

此活动与网络安全行业报告的部分威胁行为体重叠——通常被称为Salt Typhoon、OPERATOR PANDA、RedMike、UNC5807和GhostEmperor等。撰写机构未采用特定的商业命名约定,在本咨询中统称为"高级持续性威胁(APT)行为体"。此集群的网络威胁活动已在美国、澳大利亚、加拿大、新西兰、英国和全球其他地区观察到。

本网络安全咨询(CSA)包含了来自各种政府和行业调查的观察结果,其中APT行为体瞄准了内部企业环境以及直接向客户提供服务的系统和网络。本CSA详细介绍了这些APT行为体利用的战术、技术和程序(TTP),以促进检测和威胁搜寻,并提供了缓解指导以降低这些APT行为体及其TTP带来的风险。

背景

APT行为体自至少2021年以来一直在全球范围内执行恶意操作。这些操作与多个中国实体相关联,包括至少四川聚信和网络科技有限公司、北京寰宇天穹信息技术有限公司和四川智信锐捷网络科技有限公司。这些公司向中国情报部门提供网络相关产品和服务,包括解放军和国家安全部的多个单位。通过针对外国电信和互联网服务提供商(ISP)的活动以及住宿和交通部门的入侵所窃取的数据,最终可以为中国情报部门提供识别和跟踪目标在全球通信和移动的能力。

技术细节

初始访问

与这些APT行为体相关的调查表明,他们在利用受损基础设施中公开已知的常见漏洞和暴露(CVE)及其他可避免的弱点方面取得了相当大的成功。迄今为止尚未观察到零日漏洞的利用。随着新漏洞的发现和目标实施缓解措施,APT行为体可能会继续调整其战术,并可能扩大对现有漏洞的使用。

如果尚未修补,防御者应优先处理以下CVE,因为这些CVE历史上曾被这些APT行为体在暴露的网络边缘设备上利用。按年份排序的 exploited CVE 示例包括:

  • CVE-2024-21887 - Ivanti Connect Secure 和 Ivanti Policy Secure web组件命令注入漏洞,通常在CVE-2023-46805(认证绕过)之后链式利用
  • CVE-2024-3400 - Palo Alto Networks PAN-OS GlobalProtect任意文件创建导致OS命令注入。当在特定版本/配置上启用GlobalProtect时,该CVE允许在防火墙上进行未经身份验证的远程代码执行(RCE)
  • CVE-2023-20273 - Cisco IOS XE软件web管理用户界面认证后命令注入/权限提升(通常与CVE-2023-20198链式利用以实现初始访问并以root身份执行代码)
  • CVE-2023-20198 - Cisco IOS XE web用户界面认证绕过漏洞

持久化

为了维持对目标网络的持久访问,APT行为体使用了多种技术。值得注意的是,其中许多技术可以混淆行为体在系统日志中的源IP地址,因为他们的操作可能被记录为源自本地IP地址。具体的APT操作包括:

  • 修改访问控制列表(ACL)以添加IP地址
  • 打开标准和非标准端口
  • 在网络设备上启用SSH服务器并打开面向外部的端口
  • 启用或滥用内置的HTTP/HTTPS管理服务器
  • 在受CVE-2023-20198影响的Cisco设备上启用HTTP/HTTPS服务器
  • 通过SNMP执行命令
  • 创建隧道协议
  • 在支持的Cisco网络设备上在盒式Linux容器中运行命令

横向移动和收集

在初始访问之后,APT行为体瞄准涉及身份验证的协议和基础设施——例如终端访问控制器访问控制系统增强版(TACACS+)——以促进跨网络设备的横向移动,通常通过SNMP枚举和SSH。从这些设备中,APT行为体被动收集特定ISP客户网络的包捕获(PCAP)。

数据外泄

外泄的一个关键问题是APT行为体滥用对等连接(即网络之间的直接互连,允许在不通过中介的情况下交换流量)。由于缺乏策略约束或系统配置限制对等ISP接收的数据类型,可能促进外泄。

分析表明,APT行为体利用单独(可能多个)命令和控制通道进行外泄,以在高流量节点(如代理和网络地址转换(NAT)池)的噪声中隐藏其数据窃取。APT行为体经常使用隧道,如IPsec和GRE,进行C2和外泄活动。

威胁搜寻指导

撰写机构鼓励关键基础设施组织(尤其是电信组织)的网络防御者执行威胁搜寻,并在适当时候进行事件响应活动。如果怀疑或确认恶意活动,组织应考虑根据适用法律和法规向相关机构和监管机构进行所有强制性报告,并向适当机构(如可以提供事件响应指导和缓解协助的网络安全或执法机构)进行任何额外的自愿报告。

缓解措施

这些APT行为体在使用公开已知的CVE获取网络访问方面取得了相当大的成功,因此强烈鼓励组织以与此威胁相称的方式优先修补,例如通过排序修补以首先解决最高风险。具体来说,组织应确保边缘设备不易受到本咨询中识别的已知 exploited CVE 的攻击。

一般建议

  • 定期审查网络设备(尤其是路由器)日志和配置,寻找任何意外、未经批准或不寻常活动的证据
  • 采用稳健的变更管理流程,包括定期审计设备配置
  • 在缓解之前尝试识别疑似泄露的完整范围
  • 禁用来自管理接口的出站连接
  • 禁用所有未使用的端口和协议
  • 更改所有默认管理凭据
  • 要求管理角色使用公钥认证
  • 使用供应商推荐的网络设备操作系统版本并使用所有补丁保持更新

入侵指标(IOC)

IP基础指标

以下IP指标与APT行为体从2021年8月到2025年6月的活动相关联。免责声明:这些观察到的IP地址中有些最早在2021年8月观察到,可能不再被APT行为体使用。撰写机构建议组织在采取行动(如阻止)之前调查或审查这些IP地址。

示例IP地址包括:

  • 1.222.84[.]29
  • 167.88.173[.]252
  • 23.227.202[.]253
  • 45.61.151[.]12

自定义SFTP客户端

APT行为体还使用自定义SFTP客户端,这是一个用Golang编写的Linux二进制文件,用于将加密档案从一个位置传输到另一个位置。

附录

附录A:MITRE ATT&CK战术和技术

本咨询使用MITRE ATT&CK® for Enterprise框架版本17和MITRE ATT&CK for ICS框架版本17。参见本咨询的附录A:MITRE ATT&CK战术和技术部分,了解映射到MITRE ATT&CK战术和技术的APT行为体活动表。

附录B: exploited CVE

包含CVE-2024-21887、CVE-2024-3400、CVE-2023-20273、CVE-2023-20198和CVE-2018-0171的详细信息。

附录C:MITRE D3FEND对策

本咨询使用MITRE D3FEND™版本1.2.0网络安全对策。参见本咨询的附录C:MITRE D3FEND对策部分,了解映射到MITRE D3FEND对策的缓解措施表。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次