中国の国家支援サイバーアクター検出：共同サイバーセキュリティアドバイザリー（CSA）AA23-144a、Volt Typhoonによる米国重要インフラを標的としたステルス活動を明らかに

長年にわたり、中国は諜報活動を目的とし、U.S.および世界中の複数の業界の組織から機密データを収集するための攻撃的な作戦を展開してきました。これらの攻撃は、国家支援のAPTグループと関連することが多く、 Mustang Panda or APT41.

2023年5月24日、NSA、CISA、FBAは他のU.S.および国際協力機関と共同で 共同サイバーセキュリティ勧告 を発行しました。これは、中国と関連し国家支援を受けているAPTグループ、Volt Typhoonとして追跡されている最近の敵対者活動をカバーしています。企業のシステムにアクセスすることで、脅威アクターはユーザーログイン情報を盗み、他のネットワークへのアクセスを拡大し、持続を維持します。これにより、Volt Typhoonはレーダーの下に長期間滞在することが可能になります。報告によれば、敵対者の活動はU.S.の重要インフラに影響を与え、攻撃の範囲を世界規模で複数の産業セクターを標的に拡大する可能性があるため、サイバー防御者にとって深刻な脅威をもたらします。

中国国家支援のVolt Typhoon APT攻撃を検出

U.S.と中国間の緊張が高まる中、中華人民共和国（PRC）と提携している高度な持続的脅威グループは、アメリカ合衆国内部をターゲットにしています。NSA、CISA、FBA、国際当局の最新の共同勧告は、U.S.の重要インフラセクターを攻撃するために「生活の知恵」技術を活用した長期のサイバーエスピオナージキャンペーンを明らかにしています。

Volt Typhoonに関連する悪質な活動を検出するために、SOC Prime’s Platformは関連するSigmaルールのセットを集約します。すべての検出は25以上のSIEM、EDR、XDRソリューションと互換性があり、 MITRE ATT&CKフレームワーク v12 にマッピングされ、セキュリティ専門家が調査と脅威ハンティング操作を合理化するのを助けます。

「 探索検出 」ボタンを押して、最近の侵入中に生活の知恵を活用した隠密Volt Typhoon攻撃を検出することを目的とした検出コンテンツバンドルにすぐにドリルダウンします。コンテンツ検索を簡素化するために、SOC PrimeはCISAアラートとハッキング集団の地理識別子に基づき、「AA23-144a」および「RPC」のカスタムタグを用いたフィルタリングをサポートしています。

探索検出

中国、イラン、ロシアに支援された著名なAPTグループに対抗するための独自の検出ルールセットで貴社のSOCを装備する

10年以上にわたって続くグローバルサイバー戦争のエスカレーションを目撃しているSOC Primeのチームは、 Threat Bounty Program メンバーに支えられ、世界中の著名なAPTグループの活動を継続的に分析し、組織が国家支援の脅威に対抗するサイバー防御を強化するのを支援するために精選された検出コンテンツを作成してきました。当社の専門家は BlackEnergy 攻撃 and NotPetya の発生以来、業界の集団的専門知識を集約し、関連する検出コンテンツを開発しています。

現在、SOC PrimeのThreat Detection Marketplaceは、ベンダーに依存しないSigma標準を用いた1,000以上のSigmaルールをまとめており、中国、イラン、ロシアの国家支援の集団が利用する著名な戦術、技術、手続きを扱っています。Threat Detection Marketplaceを使用して、セキュリティソリューションに関係なく、APTアクターのTTPに対応する検出コンテンツでSOCチームを完全に武装させることができます。

中国、イラン、ロシアの国家支援のハッキング集団に対するSigmaルールの精選リストは、サイバー防御者に検証済みの検出アルゴリズムを提供する準備が整っており、28のSIEM、EDR、XDRソリューションに変換可能です。関連する脅威に対する1,000以上のSigmaルールの全コレクションをいち早く解放し、攻撃者に打撃を与える機会を与えないために、我々のアップデートにご注目ください。

最新の共同CSAアラートでカバーされたVolt Typhoon中国支援APT活動の分析

米国国家安全保障局（NSA）、サイバーセキュリティ＆インフラストラクチャーセキュリティ局（CISA）、米国連邦捜査局（FBI）と他のサイバーセキュリティ当局は最近 共同サイバーセキュリティ勧告（CSA） を発行し、Volt Typhoon国家支援ハッキング集団の新たに発見された悪意ある活動を明るみに出しました。この報告で取り上げられているグループは中華人民共和国（PRC）と関連し、U.S.の重要インフラセクター全体でのネットワークを標的とした一連の攻撃的作戦を開始しています。

によると Microsoftの研究では、Volt Typhoonは2021年以来サイバー脅威領域で攻撃作戦を行い、主にグアムやU.S. 他の地域での重要インフラを標的としています。識別された行動パターンは、サイバーエスピオナージ活動とステルスおよび持続を維持することに関連する攻撃者の目的を明らかにしています。

このハッキンググループはその敵対者兵器庫からの生活の知恵TTPを主に適用し、組み込みネットワーク管理ツールを悪用して悪質な目的を達成します。この技術により、攻撃者は正当なWindowsシステムや通常のネットワーク操作に融合することで検出を回避し、EDRソリューションを回避します。Volt Typhoonは、PowerShellや“ntdsutil”や“netsh”ツールなどのMicrosoft Windowsのコマンドラインユーティリティのセットを活用します。

攻撃チェーンには3つの段階が含まれており、侵害されたシステムからの資格情報の収集、データのアーカイブでの保存を準備するための準備、持続性の維持のための取得された資格情報の適用が含まれます。初期段階では、脅威アクターは広く利用されているFortiGuardサイバーセキュリティスイートの脆弱性を利用して企業システムにアクセスします。標的環境にアクセスした後、Volt Typhoonは手動での活動を行い、侵害されたネットワーク全体の情報検索とデータ抽出のために生活の知恵のコマンドに依存します。

CSA勧告は、上記の中国関連APTに関連する脅威を追跡するのに役立つ敵対者のコマンドとIOCのリストを含んでいます。

サイバーセキュリティ調査によると、Volt Typhoonはそれに影響を受けるSOHOネットワークデバイスを悪意ある活動を隠すために使用しており、これらのデバイスの所有者に即時の注意が必要です。

また、ハッカーたちは、Windowsドメインコントローラーから“ntds.dit”ファイルとユーザー、グループ、パスワードハッシュに関する機密データ、およびSYSTEMレジストリハイブを抽出しようとする試みが観察されてきました。Volt Typhoonはシャドウコピーを生成し、そこから“ntds.dit”ファイルのコピーを取得しようと試みます。脅威アクターはこれらの悪質な操作を実行し、Microsoft Windows Server管理者がADとその関連コンポーネントを管理するために用いるNtdsutilコマンドラインユーティリティを通じてユーザーパスワードを盗むことができます。ツールコマンドを実行する際には、サイバー防御者による注意が必要です。

リスクを軽減するために、サイバーセキュリティ研究者は、関連する CISAの追放ガイダンスを含む侵害されたネットワークから脅威アクターを排除する方法に関するガイドラインに従うこと、攻撃面を縮小し、サイバーセキュリティ姿勢を最適化するために強力な多要素認証を実施し、環境内のポートプロキシ使用を制限し、クラウド提供の保護を有効にし、ブロックモードでEDRソリューションを実行するなどの業界ベストプラクティスに従うことも推奨しています。

MITRE ATT&CK コンテキスト

中国支援のVolt Typhoon APTグループの現在進行中の標的活動の詳細なコンテキストを探るために、上記の検出スタックで提供されるすべてのSigmaルールは、対応する戦術と技術に対応するMITRE ATT&CKでタグ付けされています: