新たなサイバー諜報活動の検出：中国が支援すると思われる攻撃者が東南アジアの著名な組織を標的に

ディフェンダーは、増加するサイバー攻撃の数が 中国支援のAPT グループに関連しており、主に情報収集に焦点を当てています。2024年9月に、 Earth Baxiaとして追跡される中国系APTグループが 台湾の国家機関、おそらくAPAC地域内の他の国々を標的としました。最近明らかになったサイバースパイ活動は、少なくとも2023年10月から東南アジアの著名な組織を標的としており、中国関連のハッカーがこれらの攻撃に関与しているとみられています。

中国のアクターによる東南アジアの著名な組織への攻撃の検出

2024年中、中国のAPTグループは、北朝鮮、ロシア、イランと共に世界のサイバー脅威のトップにランクインし、攻撃力の強化を示し、サイバーセキュリティの状況に重大な課題をもたらしています。Emerging threatsを上回り、中国のアクターによる潜在的な攻撃をタイムリーに検出するためのCyber防衛のためのSOC Prime Platformは、関連するCTIで拡張された検出能力を提供し、先進的な脅威検出とハンティングのための完全な製品スイートを備えています。

そのまま 検出を探る ボタンをクリックするだけで、中国のAPTアクターによる東南アジアへの最近の攻撃に対処するためにキュレーションされたSigmaルールパックにすぐにアクセスできます。すべてのルールはMITRE ATT&CKフレームワークにマッピングされ、豊富なメタデータが付加されており、脅威調査を合理化するために30以上のSIEM、EDR、データレイクソリューションと互換性があります。

検出を探る

セキュリティエンジニアも利用できます Uncoder AI を使用して、IOCをシームレスにパッケージし、敵のTTPsのレトロスペクティブ分析を実施できます。対応するIOCを Symantecによる 調査からさまざまなSIEM、EDR、およびデータレイク言語に対応するクエリに瞬時に変換します。

サイバースパイ攻撃分析：中国ベースの敵と関連している可能性

によると SymantecのThreat Hunter Teamによる最近の調査、新たに発見されたサイバースパイ活動は、複数の産業セクターにわたる組織を標的としており、2か国の政府省庁、航空交通管制組織、電気通信会社、及びメディア関連の組織を含んでいます。

少なくとも2023年10月以降に活発化した新たに発見されたキャンペーンは、主に情報収集を目的としている。攻撃者はオープンソースや既存のツールをミックスして進行中のキャンペーンを展開している。異なるターゲット組織においてTTPsの幅広い範囲を利用しており、わずかな違いが見受けられる。しかし、被害者の地理的な位置と、中国に基づくAPTグループと以前に関連付けられたツールの使用は、これらの攻撃が中国のアクターによる悪意のある活動に関連している可能性を示しています。特に、プロキシツールRakshasaおよびダイナミックリンクライブラリ（DLL）サイドロードのための正当なアプリケーションファイルは、Earth Baku（別名 APT41 またはBrass Typhoon）として知られる中国のAPTグループに以前に関連付けられていました。他の関連するハッキングコレクティブには、Fireant（別名 Mustang Panda, APT31, Stately Taurus）、Budworm（別名 APT27, Emissary Panda, Lucky Mouse）などがあります。

敵対者は、WMIを介してコマンドを実行するためにImpacketを悪用したリモートアクセスツールを使用します。その後、キーロガー、パスワードコレクター、そしてRakshasa、Stowaway、またはReverseSSHなどのリバースプロキシツールを展開して、彼らのインフラストラクチャへの持続的なアクセスを維持します。また、攻撃者はカスタマイズされたDLLファイルをインストールし、認証フィルターとして機能させ、ログインクレデンシャルを取得します。加えて、研究者は、さまざまな中国のハッキングコレクティブによって一般的に使用されるツールである PlugX （またの名をKorplug）を使用するのを観察しました。 Earth Preta APT.

による操作では、攻撃者は少なくとも3か月間、2024年6月から8月まで活動を続け、主に情報収集に焦点を当て、貴重なデータを収集し可能性は高く持ち出しました。このケースでは特定の手法を示していますが、他の攻撃では追加のTTPs、DLLサイドロード、そしてRakshasaやSharpGPOAbuseなどのツールの展開に依存して攻撃目標を達成しました。研究者は、攻撃者が侵害されたネットワークへのステルシーなアクセスを長期間維持し、パスワードを収集し、主要なネットワークをマッピングできるようにしたことを観察しました。盗まれたデータは、その後WinRARを使用してパスワードで保護されたアーカイブに圧縮され、File.ioなどのクラウドストレージプラットフォームにアップロードされました。

Symantecは、対応する 保護通知 を発表しており、進行中の敵対的行動に関連すると考えられるリスクを軽減するために組織を支援しています。 SOC Prime Platformによる集合的なサイバー防御 セキュリティチームが最先端のソリューションを使用してサイバー脅威を上回り、脅威検出を進化させ、検出エンジニアリングを高め、脅威の狩りを自動化し、堅牢なサイバーセキュリティの姿勢を構築することを可能にします。