中国骇客暗中国政府从事网路间谍攻击的情况,时常有资安事故传出,这样的现象随著政治情势紧张,也变得越来越严峻,使得多个国家的执法机关公布相关资讯并联手提出警告。
例如,澳洲网路安全中心(ACSC)与美国、英国、加拿大、纽西兰、德国、韩国、日本的执法机构联手,至于这些骇客隐匿攻击行动的媒介,ACSC提及APT40过往较常入侵澳洲网站并将其充当C2伺服器,如今滥用小型办公室及家用的网路装置架设基础设施,因为这类设备有不少并未定期修补,或是生命周期已经结束而不再受到维护,一旦拿下之后,就有可能将它们用来发动攻击,将相关流量混入合法流量,而能对防守方隐匿攻击行踪。
ACSC也公布两起APT40发动的资安事故,其中一起发生在2022年7月至9月,骇客先透过TLS连线成功存取部分网页应用程式、著手侦察,随后锁定特定端点尝试利用漏洞,最终疑似于网页伺服器植入Web Shell或是其他工具,使攻击者能成功向网页伺服器发出POST请求。
接著,骇客寻求权限提升的机会,并找出网路环境的其他主机,部署更多的Web Shell。另一方面,这些骇客也试图使用外流的帐密资料存取网页应用程式,过程中会部署开源工具Secure Socket Funneling(SSF),建立受害组织的网路环境与恶意基础设施之间的连线,后来APT40找出网路环境及AD的组态,使用另一个外流的帐号在边界网路(DMZ)的Windows电脑上,设置共享资料夹,从而成功外泄资料。
另一起资安事故则是发生在2022年4月,APT40锁定受害组织提供员工远端登入系统,这套系统由3组负载平衡主机组成,事故发生后受害组织关闭其中2台主机,结果骇客后续的攻击行动都针对尚未关闭的主机而来。
对方使用已知漏洞于受害主机植入Web Shell,并进行权限提升。虽然缺乏事件记录资料,ACSC无法确认这起事故的完整范围,但他们根据主机上找到的证据,指出对方窃得数百组帐密资料,甚至有可能借由合法使用者的身分存取虚拟化桌面基础设施(VDI)环境。