中国政府支援によるAPT攻撃の検出：Recorded FutureのInsikt Groupの調査に基づく中国国家による攻撃作戦の高度な洗練と成熟化に耐える

過去5年間、 中国の国家支援攻撃キャンペーン は、以前に比べてより高度で巧妙かつよく調整された脅威へと進化しました。この変革は、公開されているセキュリティおよびネットワークインスタンスにおけるゼロデイと既知の脆弱性の広範な悪用によって特徴づけられます。また、侵入の兆候を減らすことを目的とした運用セキュリティへの注力が強化され、攻撃者は敵対者検出回避技術のセットを LOLbins や匿名化ネットワークによって補強しています。中国の国家支援攻撃オペレーションにおけるステルスと運用セキュリティの向上へのシフトは、多くの産業分野、特に公共部門や世界のサイバー防衛コミュニティにとって、より複雑で要求の高いサイバー脅威環境を生み出しています。

この記事は、中国がどのようにして世界規模でサイバーの力をリードする国となったかについて、 Recorded FutureのInsikt Groupの専用レポートを基に 洞察を得、防御者に対して、中国に関連する国家支援の悪意のあるアクターによるエスカレートしている攻撃に備えて、キュレーションされた検出アルゴリズムを提供します。

Recorded Futureの調査で取り上げられた中国国家支援APT攻撃の検出

過去10年間で、中国支援の国家スポンサー付きアクターは攻撃の巧妙さに著しいシフトを遂げました。Insikt Groupの調査によると、中国のハッカーはより戦略的で巧妙になり、公にアクセスできる機器のゼロデイや既知の脆弱性に依存する傾向があります。また、IoTデバイスや仮想専用サーバーインストールで構成された大規模な匿名化ネットワークを活用し、オープンソースのファミリーやエクスプロイトを利用して検出を逃れ、識別を回避します。特に、中国に関連するアクターは、共有されたインテリジェンスと攻撃インフラを使用し、知識と経験を継続的に共有していることが観察されています。

敵対者よりも迅速に行動するために、サイバー防衛者はリスク評価と正確な優先順位付け、関連する検出と緩和戦略について協力する必要があります。広く使用されている中国国家支援グループによるTTPに対応したキュレーションされた検出コンテンツを取得するには、SOC Primeのプラットフォームを利用してください。

中国国家支援活動に関連する一般的なTTPを検出するためのSigmaルール

さらに、セキュリティ専門家は、中国支援グループによって活用されたゼロデイエクスプロイトを識別する専用の検出スタックを取得するためにSOC Primeプラットフォームを閲覧できます。以下のリンクをたどり、28のSIEM、EDR、XDR、およびデータレイク技術に対応する広範なルールリストを掘り下げてください。 MITRE ATT&CKフレームワークにマッピングされ、関連するCTIとメタデータで強化されています。

推定される中国国家支援グループによって使用される可能性のあるゼロデイ脆弱性の悪用を検出するためのSigmaルール

記載されたTTPに対応する完全なルールリストを取得するには、 Recorded FutureのInsikt Groupの報告書で説明されたTTPに対応する完全なルールリストを取得するには、Explore Detectionsボタンをクリックしてください。セキュリティ専門家は、ATT&CK参照とCTIリンクを伴う詳細なインテリジェンスを取得し、脅威の調査を効率化し、SOCの生産性を向上させることができます。

検出を探求

Insikt Groupの研究に基づく中国国家支援APT攻撃の変革の分析

中国は、数年来、米国および世界中のさまざまな産業の組織を標的にして、インテリジェンスと機密データを収集する悪意のあるキャンペーンを行っています。国家支援APTグループに関連する破壊的攻撃には、 ムスタングパンダ or APT41.

が含まれます。中国に関連する攻撃の範囲の拡大とそれらの巧みさの向上は、協調的な攻撃力に対抗するために協調的なサイバー防衛を強化する必要性を促進しています。2023年春後半、NSA、CISA、FBAを含む他の米国および国際当局は、中国国家支援APTとして知られる ボルトタイフーン による悪意のある活動の急増について、サイバーセキュリティ意識を高めるための合同サイバーセキュリティアドバイザリーを発表しました。

中国国家支援のサイバー作戦は主に人民解放軍戦略支援部隊（PLASSF）および国家安全保障省（MSS）を含む軍部門によって実行されています。過去半数十年で、中国のAPTグループは主に軍事および政治インテリジェンスに目を向け、戦略的経済および政策目標の支援に焦点を移し、民族や宗教の少数派を含む内部脅威と見なされる対象を狙っています。

2021年以降、中国支援の脅威グループは、公開リスティングされたシステムの脆弱性の悪用に大きく焦点を移しました。この期間、中国国家支援グループにより悪用されたゼロデイ脆弱性の85%以上が、ファイアウォール、企業VPN製品、ハイパーバイザー、ロードバランサー、電子メールセキュリティ製品を含む公開リスティングされたシステムで見つかりました。推定される中国国家支援グループによって悪用された重要な脆弱性には、 Confluence Data CenterおよびServerにおけるCVE-2023-22515 、およびCitrix NetScalerで追跡されるRCEゼロデイである CVE-2023-3519、そして Fortinet FortiOS SSL-VPNにおける不正なゼロデイ脆弱性であるCVE-2022-42475が含まれます。組織のクラウドベース環境への移行が進行中であることを考えると、これらの環境を標的にすることに関する強調が近い将来に増加する可能性があります。, a nefarious zero-day vulnerability in Fortinet FortiOS SSL-VPN. Given the ongoing migration of organizations to cloud-based environments, there is likely to be an increased emphasis on targeting these environments in the near future.

ゼロデイと既知の脆弱性を武器化することに加えて、中国国家支援ハッキング集団は、偵察、悪用、およびC2インフラのための大規模匿名化ネットワークを大々的に採用しています。より洗練された巧妙な敵対者活動へのシフトには、オープンソースのマルウェアファミリーとエクスプロイトを使用し、持続性を維持するために公開リスティングされたソフトウェアに特化したカスタムマルウェアサンプルの使用が含まれます。

Recorded Futureの Insikt Group 研究者によって提供された潜在的な緩和策として、組織および個人ユーザーはタイムリーなパッチ適用で脆弱性の露出を減らし、特にRCEセキュリティ欠陥を含む公開リスティングされたエンティティにおける重要な脆弱性を優先し続けることが推奨されます。ネットワークセグメンテーションのベストプラクティスに従い、マルチファクタ認証を有効にし、中国支援APT活動に関連する一般的なTTPの緩和に関する最新情報とガイドラインを継続的に把握することは、防御者にとって侵入リスクを最小限に抑えるために不可欠です。

過去半数十年にわたり政府によって支えられた中国の敵対者能力の洗練が進む中で、中国はサイバー戦力を強化し、攻撃範囲を拡大することでサイバー前線での地位を強固にする可能性が非常に高いです。SOC Primeに依存し、 500を超えるキュレーションされた検出アルゴリズムにアクセスし、 現在および新たに出現するあらゆるスコープと規模のAPT攻撃に対抗するために、サイバー耐性を継続的に強化してください。