Cybersecurity Agencies Warn of China-linked APT40’s Rapid Exploit Adaptation – OfficialSarkar
ऑस्ट्रेलिया, कनाडा, जर्मनी, जापान, न्यूजीलैंड, दक्षिण कोरिया, ब्रिटेन और अमेरिका की साइबर सुरक्षा एजेंसियों ने चीन से जुड़े साइबर जासूसी समूह के बारे में एक संयुक्त सलाह जारी की है। एपीटी40इसमें चेतावनी दी गई है कि यह सार्वजनिक रिलीज के कुछ घंटों या दिनों के भीतर ही नई सुरक्षा खामियों का फायदा उठाने में सक्षम है।
एजेंसियों ने कहा, “APT 40 ने पहले भी ऑस्ट्रेलिया और संयुक्त राज्य अमेरिका सहित विभिन्न देशों के संगठनों को निशाना बनाया है।” कहा“विशेष रूप से, APT 40 में लक्ष्यीकरण, टोही और शोषण कार्यों के लिए भेद्यता प्रमाण-अवधारणा (PoCs) को जल्दी से बदलने और अनुकूलित करने की क्षमता है।”
यह विरोधी समूह, जिसे ब्रॉन्ज मोहॉक, गिंगहम टाइफून (पूर्व में गैडोलिनियम), आईलैंडड्रीम्स, क्रिप्टोनाइट पांडा, लेविथान, रेड लैडन, टीए423 और टेम्प.पेरिस्कोप के नाम से भी जाना जाता है, कम से कम 2013 से सक्रिय है, जो एशिया-प्रशांत क्षेत्र में संस्थाओं को निशाना बनाकर साइबर हमले करता है। माना जाता है कि यह हाइको में स्थित है।
जुलाई 2021 में, अमेरिका और उसके सहयोगियों ने आधिकारिक तौर पर इस समूह को चीन के राज्य सुरक्षा मंत्रालय (MSS) से संबद्ध बताया था, और हैकिंग दल के कई सदस्यों पर व्यापार रहस्यों, बौद्धिक संपदा और उच्च मूल्य की जानकारी की चोरी को सुविधाजनक बनाने के लिए विभिन्न क्षेत्रों पर लक्षित बहु-वर्षीय अभियान चलाने का आरोप लगाया था।
पिछले कुछ वर्षों में, APT40 को स्कैनबॉक्स टोही ढांचे को वितरित करने वाली घुसपैठ तरंगों के साथ जोड़ा गया है, साथ ही WinRAR (CVE-2023-38831, CVSS स्कोर: 7.8) में सुरक्षा दोष का शोषण किया गया है, जो कि पापुआ न्यू गिनी को लक्षित करके BOXRAT नामक एक बैकडोर वितरित करने वाले फ़िशिंग अभियान का हिस्सा है।
फिर इस मार्च की शुरुआत में, न्यूजीलैंड सरकार ने 2021 में संसदीय परामर्श कार्यालय और संसदीय सेवा के बीच समझौता करने के लिए धमकी देने वाले अभिनेता को फंसाया।
संलेखन एजेंसियों ने कहा, “APT40, लॉग4जे, एटलसियन कॉन्फ्लुएंस और माइक्रोसॉफ्ट एक्सचेंज जैसे व्यापक रूप से प्रयुक्त सार्वजनिक सॉफ्टवेयरों में नए शोषणों की पहचान करता है, तथा संबंधित भेद्यता के बुनियादी ढांचे को लक्षित करता है।”
“APT40 नियमित रूप से रुचि के नेटवर्क के विरुद्ध टोही करता है, जिसमें संलेखन एजेंसियों के देशों के नेटवर्क भी शामिल हैं, तथा अपने लक्ष्यों से समझौता करने के अवसरों की तलाश करता है। यह नियमित टोही समूह रुचि के नेटवर्क पर कमजोर, जीवन-काल समाप्त हो चुके या अब अनुरक्षित नहीं रह गए उपकरणों की पहचान करने, तथा उनका तेजी से दोहन करने के लिए तैयार रहता है।”
राज्य प्रायोजित हैकिंग गिरोह द्वारा अपनाई गई कार्यनीति में उल्लेखनीय है कि इसमें पीड़ित के परिवेश तक पहुंच बनाए रखने और स्थायित्व स्थापित करने के लिए वेब शेल्स का प्रयोग किया जाता है, साथ ही कमांड-एंड-कंट्रोल (सी2) उद्देश्यों के लिए ऑस्ट्रेलियाई वेबसाइटों का प्रयोग किया जाता है।
यह भी देखा गया है कि यह दुर्भावनापूर्ण ट्रैफ़िक को पुनर्निर्देशित करने और पता लगाने से बचने के प्रयास में अपने आक्रमणकारी बुनियादी ढांचे के भाग के रूप में पुराने या बिना पैच वाले उपकरणों को शामिल करता है, जिनमें छोटे-कार्यालय/घर-कार्यालय (SOHO) राउटर भी शामिल हैं, यह एक ऐसी परिचालन शैली है जिसका उपयोग वोल्ट टाइफून जैसे अन्य चीन-आधारित समूहों द्वारा किया जाता है।
हमले की श्रृंखला में क्रेडेंशियल्स चुराने और रुचि की जानकारी को बाहर निकालने के लिए रिमोट डेस्कटॉप प्रोटोकॉल (RDP) का उपयोग करके टोही, विशेषाधिकार वृद्धि और पार्श्व आंदोलन गतिविधियों को अंजाम देना शामिल है।
ऐसे खतरों से उत्पन्न जोखिमों को कम करने के लिए, पर्याप्त लॉगिंग तंत्र को लागू करने, बहु-कारक प्रमाणीकरण (MFA) को लागू करने, एक मजबूत पैच प्रबंधन प्रणाली को लागू करने, जीवन-काल समाप्त हो चुके उपकरणों को बदलने, अप्रयुक्त सेवाओं, पोर्ट और प्रोटोकॉल को अक्षम करने और संवेदनशील डेटा तक पहुंच को रोकने के लिए नेटवर्क को विभाजित करने की सिफारिश की जाती है।
Source: TheHackerNews