Erkennung von China-gestützten APT-Angriffen: Widerstand gegen die zunehmende Raffinesse und Reife chinesisch staatlich unterstützter Offensivoperationen basierend auf der Forschung der Insikt Group von Recorded Future
Inhaltsverzeichnis:
In den letzten fünf Jahren haben sich von der chinesischen Nation unterstützte offensive Kampagnen zu ausgeklügelteren, heimlicheren und besser koordinierten Bedrohungen entwickelt als in den Vorjahren. Diese Transformation ist durch die umfangreiche Ausnutzung von Zero-Days und bekannten Schwachstellen in öffentlich zugänglichen Sicherheits- und Netzwerksystemen gekennzeichnet. Zusätzlich liegt ein stärkerer Fokus auf der Betriebssicherheit, mit dem Ziel, die Anzeichen von Eindringversuchen zu minimieren, was Angreifer durch den Einsatz einer Reihe von Detection-Evading-Techniken erreichen, die unterstützt werden durch LOLbins und Anonymisierungsnetzwerke. Der Wandel in den von der chinesischen Nation unterstützten offensiven Operationen hin zu erhöhter Heimlichkeit und Betriebssicherheit hat zu einer komplexeren und anspruchsvolleren Bedrohungslandschaft für Organisationen in mehreren Branchen, einschließlich des öffentlichen Sektors, und der globalen Gemeinschaft der Cyberverteidiger geführt.
Dieser Artikel bietet Einblick, wie China sich zur führenden Cybermacht auf globaler Ebene entwickelt hat, basierend auf dem dedizierten Bericht der Insikt Group von Recorded Future und bietet Verteidigern kuratierte Erkennungsalgorithmen, um proaktiv gegen eskalierende Angriffe von China-verbundenen staatlich unterstützten böswilligen Akteuren vorzugehen.
Erkennung von APT-Angriffen der chinesischen Nation, abgedeckt durch die Forschung von Recorded Future
Im vergangenen Jahrzehnt haben von China unterstützte staatlich gesponserte Akteure einen signifikanten Wandel in der Raffinesse ihrer offensiven Taktiken, Techniken und Verfahren (TTPs) vollzogen. Laut der Untersuchung der Insikt Group neigen chinesische Hacker dazu, strategischer und heimlicher vorzugehen, indem sie auf Zero-Days und bekannte Schwachstellen in öffentlich zugänglichen Geräten setzen. Sie nutzen auch großangelegte anonymisierte Netzwerke bestehend aus kompromittierten IoT-Geräten oder virtuellen privaten Serverinstallationen sowie Open-Source-Familien und Exploits, um unter dem Radar zu bleiben und Identifikationen zu vermeiden. Bemerkenswerterweise sind bei China-angebundenen Akteuren der Einsatz von gemeinsamer Intelligenz & offensiver Infrastruktur zu beobachten, während sie kontinuierlich Wissen und Erfahrungen austauschen.
Um schneller als Gegner zu handeln, sollten Cyberverteidiger zur besseren Risikobewertung und genauen Priorisierung zusammenarbeiten, zusammen mit relevanten Erkennungs- und Milderungsstrategien. Verlassen Sie sich auf die Plattform von SOC Prime für kollektive Cyberverteidigung, um kuratierte Erkennungsinhalte zu erhalten, die die weit verbreiteten TTPs chinesischer staatlich unterstützter Gruppen ansprechen.
Darüber hinaus können Sicherheitsfachleute die SOC Prime Plattform durchsuchen, um einen eigenen Erkennungsstack zu erhalten, der darauf abzielt, Zero-Day-Exploits zu identifizieren, die von China-unterstützten Gruppen genutzt werden. Folgen Sie einfach dem untenstehenden Link und vertiefen Sie sich in eine umfangreiche Regeliste, die mit 28 SIEM-, EDR-, XDR- und Data Lake-Technologien kompatibel ist, abgebildet auf das MITRE ATT&CK-Framework, und angereichert mit relevanten CTI & Metadaten.
Um die vollständige Liste der Regeln zu erhalten, die in den beschriebenen TTPs im Bericht der Insikt Group von Recorded Futurebehandelt werden, klicken Sie auf die Schaltfläche „Erkundung der Erkennungen“. Sicherheitsfachleute können tiefgehende Informationen erhalten, begleitet von ATT&CK-Referenzen und CTI-Links, um die Bedrohungsuntersuchung zu erleichtern und die SOC-Produktivität zu steigern.
Analyse der Transformation chinesischer staatlich gesponserter APT-Angriffe basierend auf der Forschung der Insikt Group
China führt seit Jahren böswillige Kampagnen durch, die auf US-amerikanische und globale Organisationen in verschiedenen Branchen abzielen, um Informationen und sensible Daten zu sammeln, mit zerstörerischen Angriffen, die mit staatlich gesponserten APT-Gruppen wie Mustang Panda or APT41.
in Verbindung stehen. Der erweiterte Umfang der China-verbundenen Angriffe und deren zunehmende Raffinesse treiben die Notwendigkeit an, die kollektive Cyberabwehr zu stärken, um den koordinierten offensiven Kräften standzuhalten. Im späten Frühjahr 2023 gaben NSA, CISA und FBA zusammen mit anderen US-amerikanischen und internationalen Behörden eine gemeinsame Cybersecurity-Advisory heraus, um das Bewusstsein für die Cybersicherheit hinsichtlich eines Anstiegs an böswilligen Aktivitäten zu erhöhen, die der chinesisch staatlich unterstützten APT, bekannt als Volt Typhoon, zugeschrieben werden und auf die kritische Infrastruktur der USA abzielen.
Chinesisch staatlich unterstützte, cyberfähige Operationen werden hauptsächlich von militärischen Abteilungen durchgeführt, einschließlich der Volksbefreiungsarmee Strategic Support Force (PLASSF) und dem Ministerium für Staatssicherheit (MSS). In den letzten fünf Jahren haben chinesische APT-Gruppen hauptsächlich die Aufmerksamkeit auf militärische und politische Geheimdienste gerichtet, ebenso wie auf die Unterstützung strategischer wirtschaftlicher und politischer Ziele und auf die Bekämpfung wahrgenommener interner Bedrohungen, einschließlich ethnischer und religiöser Minderheiten.
China-unterstützte Bedrohungsgruppen haben sich seit mindestens 2021 stark darauf konzentriert, Schwachstellen in öffentlich zugänglichen Systemen auszunutzen. Während dieser Zeit wurden über 85 % der von chinesisch staatlich gesponserten Gruppen ausgenutzten Zero-Day-Schwachstellen in öffentlich zugänglichen Systemen gefunden, einschließlich Firewalls, Unternehmens-VPN-Produkten, Hypervisors, Load Balancern und E-Mail-Sicherheitsprodukten. Zu den kritischen Schwachstellen, die von verdächtigen chinesisch unterstützten Gruppen ausgenutzt wurden, gehören CVE-2023-22515 im Confluence Data Center und Server, ein RCE-Zero-Day in Citrix NetScaler verfolgt als CVE-2023-3519, und CVE-2022-42475, eine bösartige Zero-Day-Schwachstelle in Fortinet FortiOS SSL-VPN. Angesichts der fortlaufenden Migration von Organisationen zu cloudbasierten Umgebungen wird voraussichtlich in naher Zukunft eine verstärkte Fokussierung auf diese Umgebungen stattfinden.
Neben der Bewaffnung von Zero-Days und bekannten Schwachstellen übernehmen chinesisch staatlich gesponserte Hacking-Kollektive massenhaft großangelegte Anonymisierungsnetzwerke für Aufklärung, Ausbeutung und C2-Infrastruktur. Der Wandel hin zu einer ausgeklügelteren und heimlicheren gegnerischen Aktivität umfasst den Einsatz von Open-Source-Schadsoftware-Familien und Exploits sowie maßgeschneiderte Malware-Beispiele für öffentlich zugängliche Software zur Aufrechterhaltung der Persistenz.
Als potenzielle Milderungsmaßnahmen, die von den Forschern der Insikt Group von Recorded Future bereitgestellt werden, wird Organisationen und einzelnen Benutzern empfohlen, die Schwachstellenexponierung durch rechtzeitiges Patchen zu reduzieren und kontinuierlich kritische Schwachstellen zu priorisieren, insbesondere RCE-Sicherheitsanfälligkeiten in öffentlich zugänglichen Systemen. Die Einhaltung von Best Practices zur Netzwerksegmentierung, die Aktivierung von Multi-Faktor-Authentifizierung und das ständige Aktualisieren mit den neuesten Anleitungen zur Minderung gängiger TTPs im Zusammenhang mit China-unterstützter APT-Aktivität sind ebenfalls entscheidend für Verteidiger, um das Risiko von Eindringlingen zu minimieren.
Angesichts der zunehmenden Raffinesse der chinesischen gegnerischen Fähigkeiten, die vom Staat in den letzten fünf Jahren unterstützt wurden, wird China höchstwahrscheinlich seine Position an der Cyberfront durch die Verbesserung seiner Cyberkriegstechnologien und die Erweiterung des Angriffsbereichs stärken. Verlassen Sie sich auf SOC Prime und zugreifen auf über 500+ kuratierte Erkennungsalgorithmen gegen aktuelle und aufkommende APT-Angriffe jeglichen Umfangs und Maßstabs, um Ihre Cyberresilienz kontinuierlich zu stärken.
