任务
2016年12月,中国人民解放军海军(PLAN)扣押了在南中国海作业的美国海军无人水下航行器(UUV)。 这起事件与中国在网络空间的行动平行。 在一年之内,观察到APT40伪装成UUV制造商,并瞄准从事海军研究的大学。 那次事件是为获得先进技术以支持中国海军能力发展而进行的众多活动之一。 我们认为,APT40对海洋问题和海军技术的重视最终支持了中国建立蓝海海军的雄心。 除了关注海事之外,APT40还针对传统情报目标,在更广泛的区域范围内进行打击,特别是在东南亚开展业务或参与南海争端的组织。 最近,这包括与东南亚选举有关的受害者 ,这很可能是由影响中国“一带一路”倡议的事件驱动的。 中国的“一带一路”(“一带一路”)或“一带一路”倡议(BRI)耗资1万亿美元,旨在在亚洲,欧洲,中东和非洲建立陆路和海上贸易路线,以发展贸易可以预测中国在整个大区域的影响力的网络。
归因
我们以中等信心评估APT40是国家资助的中国网络间谍活动。 演员的目标与中国国家利益一致,并且有多种技术文物表明该演员位于中国。 通过对小组活动的运营时间进行分析,可以发现该时间可能集中在中国标准时间(UTC +8)周围。 此外,多个APT40命令和控制(C2)域最初是由中国的域经销商注册的,并具有包含中国位置信息的Whois记录,这表明了基于中国的基础设施采购流程。 APT40还使用了位于中国的多个Internet协议(IP)地址来进行操作。 在一个实例中,从打开的索引服务器恢复的日志文件显示,位于中国海南的IP地址(112.66.188.28)已用于管理与受害机器上的恶意软件进行通信的命令和控制节点。 对此C2的所有登录均来自配置了中文设置的计算机。攻击生命周期
最初的妥协 人们已经观察到APT40利用各种技术来进行最初的破坏,包括Web服务器利用,提供公共可用和自定义后门的网络钓鱼活动以及战略性Web破坏。- APT40在很大程度上依赖于Web Shell,这是进入组织的最初立足点。 根据放置位置,网络外壳可以提供对受害者环境的持续访问,重新感染受害者系统并促进横向移动。
- 该行动的鱼叉式钓鱼电子邮件通常利用恶意附件,尽管也发现了Google云端硬盘链接。
- APT40在其网络钓鱼操作中利用了漏洞利用程序,通常会在漏洞披露后的几天内为漏洞提供武器。 观察到的漏洞包括:

- 在下载其他有效负载之前,请先使用AIRBREAK,FRESHAIR和BEACON等第一阶段后门。
- PHOTO,BADFLICK和CHINA CHOPPER是APT40使用最频繁的后门。
- APT40通常会以VPN和远程桌面凭据为目标,以在目标环境中建立立足点。 这种方法论被证明是理想的,因为一旦获得了这些凭据,它们可能就不需要太依赖恶意软件来继续执行任务。
- APT40利用自定义凭据盗窃实用程序,例如HOMEFRY,它与AIRBREAK和BADFLICK后门一起使用,是一个密码转储/破解程序。
- 此外,Windows Sysinternals ProcDump实用程序和Windows凭据编辑器(WCE)也被认为在入侵过程中也被使用。
- APT40在受害的受害者组织中使用MURKYSHELL来端口扫描IP地址并进行网络枚举。
- APT40经常使用本地Windows命令(例如net.exe)对受害者的环境进行内部侦察。
- 几乎在攻击生命周期的所有阶段都严重依赖Web Shell。 内部Web服务器通常没有配置与面向公众的服务器相同的安全控制,这使它们更容易受到APT40和类似复杂组织的利用。
- APT40还使用本地Windows实用程序(例如at.exe(任务计划程序)和net.exe(网络资源管理工具))进行横向移动。
- 公开使用的隧道工具与该操作特有的独特恶意软件一起被利用。
- 尽管MURKYTOP主要是命令行侦察工具,但它也可以用于横向移动。
- APT40还使用公开可用的暴力破解工具和名为DISHCLOTH的自定义实用程序来攻击不同的协议和服务。
- APT40强烈赞成使用Web Shell来保持状态,尤其是公开可用的工具。
- 在“建立立足点”阶段中使用的工具也将继续在“维护存在”阶段中使用; 这包括AIRBREAK和PHOTO。
- 一些APT40恶意软件工具可以利用GitHub,Google和Pastebin等合法网站进行初始C2通信,从而逃避典型的网络检测。
- 通用TCP端口80和443用于与常规网络流量混合。
展望与启示
尽管公众的关注度有所提高,但APT40仍会按照常规节奏进行网络间谍活动,并且我们预计至少在近期和中期,它们会继续运行。 基于APT40在2017年扩大到与选举相关的目标,我们以中等信心评估该集团的未来目标将在中国``一带一路''倡议等事件的推动下影响除海事以外的其他行业。 尤其是随着“一带一路”项目的开展,我们很可能会看到APT40继续开展活动,这与该项目的区域对手背道而驰。未经允许不得转载:x-sec » 火眼发布《APT40-审查China-Nexus组织报告》