ハッカーグループAPT41、数ヶ月にわたる米国州政府ネットワークへの侵入の試み

APT41の攻撃者は、昨年5月から現在進行形で6つ以上の米国州政府ネットワークを侵害しました。APT41は、悪名高いゼロデイを使用するなど、公開されているWebアプリケーションの多数のエクスプロイトを実施し、 Log4jを含み、18州で動物の健康を監視および報告するために使用されるUSAHERDS WebアプリケーションでCVE-2021-44207を活用しました。最近の攻撃は、LOWKEYバックドアを起動する役割を持つダウンローダーDeadEyeのようなポストコンプロマイズツールを敵対者が利用することによって特徴付けられます。

ハッカーグループAPT41の活動を検出する

あなたの組織がAPT41の犠牲者のリストに載っていないことを確認するために、SYSTEMのコンテキストで実行される既存のスケジュールされたタスクを修正して、APT41のグループの疑わしいコマンドを検出するための次のルールを使用してください。

APT-41のDEADEYEドロッパー永続的作成（Cmdline経由）

スケジュールされたタスクが変更されて実行された疑わしいAPT41のプロセス作成（プロセス作成経由）

この検出は、Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、SentinelOne、Graylog、Regex Grep、CrowdStrike、Microsoft PowerShell、RSA NetWitness、Chronicle Security、Microsoft Defender ATP、Securonix、Apache Kafka ksqlDB、Carbon Black、Open Distro、AWS OpenSearchの各SIEM、EDR、XDRプラットフォームに対応する翻訳が含まれます。

ルールは、Execution戦術のScheduled Task/Job (T1053)を主な技術として扱う、最新のMITRE ATT&CK® フレームワークv.10と一致しています。

ルールは、我々の洞察力あるThreat Bounty開発者によって提供されています Kyaw Pyiyt Htet and Nattatorn Chuensangarunは、新しい脅威を注視している。

サイバーセキュリティの専門家は、コミュニティの力を利用し、脅威検出コンテンツに対する報酬を得るために、Threat Bountyプログラムへの参加を歓迎します。

検出を見る Threat Bountyに参加する

APT41の米国政府への侵入

APT41は、悪名高い中国国家支援のハッキンググループです。この脅威アクターは、TA415、Double Dragon、Barium、GREF、Wicked Spider、Wicked Pandaとしても知られています。

最近の証拠によれば、APT41は2021年以来、少なくとも6つの米国州政府システムを侵害しており、数ヶ月にわたるこのハッキングキャンペーンが近い将来停戦に至る兆候はありません。Mandiantの調査により、 明らかになりました APT41の攻撃者は2021-22年に高プロフィールな被害者を積極的に標的にしており、主に米国政府への侵入に集中していることが報告されています。APT41は、上記の報告によると、多数の新しいアプローチ、回避戦略、能力を展開しました。

侵害されたアプリケーションのSQLインジェクションの脆弱性を利用してネットワークにアクセスした後、攻撃者は新しいゼロデイエクスプロイトを使ってネットワークを突破します。被害者のネットワークに侵入すると、APT41の攻撃者は偵察と資格情報の収集活動を行います。この集団はまた、被害者の環境に合わせて独自のマルウェアをカスタマイズし、攻撃者の指令・制御サーバーから指示を得るために特定のフォーラム投稿に定期的にエンコードされたデータを更新し、リバースエンジニアリングの試みを防ぐために、マルウェアをVMProtectで強化し、VMProtectでパッケージ化されたDeadEyeを多数のディスクセクションに組み込むことで他の分析回避メソッドを統合しました。

現代のこの時代、脅威の防止と検出は非常に重要です。 中国 and ロシア を含む国家支援の脅威アクターからの、国家レベルネットワークに対する継続的かつ増大する圧力は、対抗策の効率的な実施を要求しています。SOC PrimeのDetection as Codeプラットフォームに無料でサインアップし、業界のベストプラクティスと共有された専門知識を用いて脅威の検出をより簡単に、高速に、効率的に行いましょう。この プラットフォーム はまた、SOCのプロフェッショナルが検出コンテンツを共有し、トップクラスの業界イニシアチブに参加し、貴重な入力を収益化することを可能にします。