APT40攻撃の検出：中国国家支援ハッカーが新たに明らかになった脆弱性を迅速に悪用しサイバー諜報活動を行う

オーストラリア、アメリカ、カナダ、ドイツ、イギリス、ニュージーランド、韓国、日本の法執行機関から発行された最新の勧告では、増大する脅威について警告しています。 APT40 は北京の国家安全部（MSS）を代表して運営されます。特に、この勧告は、中国の国家支援グループの活動について詳細を述べており、新しい脆弱性に対して迅速に適応し、PoC（概念実証）エクスプロイトを展開し、関心のあるネットワークを監視し、パッチが適用されていないシステムを標的とする能力を持っています。

新たに発見された脆弱性を活用するAPT40攻撃を検出する

2024年の第1四半期には、中国、北朝鮮、イラン、ロシアを含む様々な地域のAPTグループが、攻撃技術を大幅に強化し、新発想の攻撃技術を披露しました。地政学的緊張が近年急激に高まる中で、APT脅威はサイバー防衛者にとって大きな脅威のひとつとなっています。

サイバーセキュリティ機関による最新の合同勧告は、世界中の複数の政府およびビジネスネットワークを標的にしたとされる中国支援のAPT40グループの増大する脅威を警告しています。特に、オーストラリアと米国の民間および公共部門に関心を持っています。潜在的な攻撃を事前に識別し耐えるためには、サイバー防衛者は高度な脅威検出およびハンティングツールを必要とします。

SOC Primeプラットフォームは、集合的なサイバー防衛を目的として、24時間SLAでリリースされる最新の脅威に対する最高のソリューションとキュレーションされた検出コンテンツをすべてのセキュリティチームに装備することを目指しています。APT40攻撃への対応を続けるために、セキュリティ専門家はCISAのAA24-190A勧告で説明されているTTPsに対応する一連の検出ルールを活用できます。

以下の 探索 検出 ボタンをクリックして、CISAによって分析された最新のAPT40キャンペーンに関連付けられたSigmaルールのキュレーションされたリストをすぐに掘り下げてください。これらのルールは、30以上のSIEM、EDR、データレイクプラットフォームと互換性があり、 MITRE ATT&CKフレームワークにマッピングされています。さらに、すべてのルールには、広範なメタデータ、 脅威インテリジェンス の詳細、攻撃のタイムライン、および調査を支援するためのトリアージ推奨事項が豊富に含まれています。

探索 検出

APT40のハッカーは、ユーザーの関与に依存するTTPよりも露出した公開インフラを悪用する傾向があり、最新のCVEに合わせてPoCエクスプロイトを適応させることが、関心のあるネットワークで足場を得るための最も頻繁に用いられる方法のひとつです。以下のリストを確認して、中国のAPTアクターによって武器化された著名なCVEとそれに付随する検出ルールについて学んでください。

Log4J

CVE-2021-44228の検出ルール

Atlassian Confluenceの脆弱性

CVE-2021-31207の検出ルール
CVE-2021-26084の検出ルール

Microsoft Exchangeの脆弱性

CVE-2021-31207の検出ルール

CVE-2021-34523の検出ルール

CVE-2021-34473の検出ルール

APT40の活動を過去に遡って分析し、グループが利用するTTPの上に立つために、追加の検出コンテンツを探しているサイバーセキュリティ専門家は、SOC Prime Teamによってキュレーションされた専用のルールセットを探索できます。単にThreat Detection Marketplaceで「APT40」タグを使用してブラウズするか、以下のリンクを使用して APT40ルールコレクション に直接アクセスしてください。

AA24-190A勧告 で言及されているファイル、ホスト、またはネットワークのIOCの検索を簡素化するために、セキュリティエンジニアは、SOC Primeの by CISA, security engineers can take advantage of the SOC Prime’s Uncoder AI に組み込まれているIOCパッケージ機能を利用できます。これにより、CTIの詳細を自動でカスタムIOCクエリに変換し、選択したSIEMやEDR形式と即時に互換性を持たせることができます。

中国の国家支援アクターが現在、世界的に最も活発なハッキング集団のひとつであるため、組織はPRCと関係のあるアクターに最も関連する戦術、技術、手順に対応する 検出スタック.

APT40攻撃分析

最新の 合同サイバーセキュリティ勧告により、オーストラリアサイバーセキュリティセンター（ACSC）が主導する中華人民共和国（PRC）の国家グループAPT40の活動が明らかになっています。この敵対的集団は、Bronze Mohawk、Gingham Typhoon（旧Gadolinium）、ISLANDDREAMS、Kryptonite Panda、Leviathan、Red Ladon、TA423、およびTEMP.Periscopeとしても知られ、少なくとも2013年以来、アジア太平洋地域の企業に対してサイバー攻撃を行っています。

2022年に、ACSCは未公開の現地組織に対するAPT40の攻撃を認識しました。被害者の同意を得て、ACSCはホストベースのセンサーから収集されたデータに基づいて、この攻撃をAPT40の活動と線引きし、この事件を調査しました。さらに、2024年3月、ニュージーランド政府は、2021年に発生した議会顧問事務所および議会サービスの侵害でAPT40のハッカーを指名しました。

APT40に関する専用の勧告で反映されているさらなる分析により、サイバーセキュリティ専門家は、ハッキング集団が主に関心のあるネットワークでの偵察活動に向けられていると述べています。これらの監視活動は、これらのネットワーク上で脆弱性があり、未更新またはメンテナンスされていないデバイスを特定し、迅速にエクスプロイトを展開することを可能にします。

APT40は、フィッシングキャンペーンのようにユーザーの関与を必要とする方法よりも、脆弱な公開インフラストラクチャを標的にすることを好み、有効な資格情報の取得を優先し、続いて活動を容易にします。特に、APT40は新しいセキュリティ問題に対して素早くエクスプロイトを修正し展開することに長けているようで、未パッチのシステムを見つけるために積極的にネットワークを監視しています。特に、勧告によれば、ハッカーはLog4j、Atlassian Confluence、およびMicrosoft Exchangeのような人気のあるソフトウェアでのエクスプロイトから迅速に利益を得て、注目されるシステムを標的としています。

APT40の技術をさらに分析することで、敵対者は侵入の初期段階で持続性を持つためにウェブシェルを使用することを示しています。最初の足場を得た後、グループはSOHOルーターのような古いデバイスに依存し、悪意のあるトラフィックを通し、監視を逃れます。続く攻撃チェーンには、偵察、権限昇格、および横方向移動の活動が含まれ、RDPを活用して資格情報をキャプチャし、貴重なデータをダンプします。

このような侵入を防ぐために、セキュリティ専門家は、包括的なログソリューションを展開し、多要素認証（MFA）を強制し、厳格なパッチ管理プロトコルを確立し、古い機器をアップグレードし、不要なサービス、ポート、プロトコルを無効化し、ネットワークをセグメント化して機密情報を保護することを推奨します。浮上する脅威に先行し、組織のサイバーセキュリティ体制を将来にわたって保護するためには、 SOC Primeの完全な製品スイート を活用して、AI駆動の検出エンジニアリング、自動脅威ハンティング、および検出スタックの検証を行いましょう。