10月1日、サイバーセキュリティとインフラセキュリティ庁(CISA)は、FBIと共同で、中国国家安全部関連の脅威活動についてのサイバーセキュリティアドバイザリーを発行しました。 アラート AA20-275A。
このアラートは、コロナウイルスの感染拡大に対する不十分な管理措置を中国が取ったとしての告発、及び人権侵害、スパイ行為、知的財産窃盗の告発に続き、アメリカと中国の間の緊張が高まっている中で送信されました。
SOC Primeは、Detection as a Codeにおける業界トップのパイオニアとして、新たに出現する脅威に対抗するために、常に情報を把握し、セキュリティ実務者が早期に防御できるよう支援しています。これに対する対応策として、 アラート AA20-275A、クリティカルインフラに脅威の深刻度情報と軽減手順をThreat Detection Marketplace機能を使って提供する責任を感じています。ここでは、中国の脅威アクターがよく使用するツールとフレームワーク、及びAPTグループが悪用する主な脆弱性に対応する標的検出コンテンツの情報を見つけることができます。
脅威アクター
様々なアメリカの産業が、中国の国家支援APTグループによる標的型サイバー犯罪の犠牲になっています。これらのマルウェア活動に関与した悪名高い脅威アクターは、 アラート AA20-275A 重要な製造施設、金融機関および政府機関、防衛産業資産、医療機関、教育施設を狙いました。
| 中国の脅威アクター | 検出コンテンツ |
| APT3 | APT3攻撃を検出するコンテンツ |
| APT10 | APT10攻撃を検出するコンテンツ |
| APT19 | APT19攻撃を検出するコンテンツ |
| APT40 (別名Leviathan) | APT40攻撃を検出するコンテンツ |
| APT41 | APT41攻撃を検出するコンテンツ |
ツール&フレームワーク
以下では、企業ネットワークを標的としたTTP攻撃を組織する中国の脅威アクターと関連付けられるHacktoolsの検出コンテンツへのリンクを提供します。 アラート AA20-275A。
| 中国の脅威アクターが使用するツール | Threat Detection Marketplaceには、脅威検出に有用なコンテンツがあります |
| Cobalt Strike | Cobalt Strikeに対するコンテンツ |
| Mimikatz | Mimikatzを検出するコンテンツ |
| PoisonIvy | PoisonIvyを検出するコンテンツ |
| PowerShell Empire | PowerShell Empireを検出するコンテンツ |
| China Chopper Web Shell | China Chopper Web Shellを検出するコンテンツ |
CVE脆弱性
主要な企業ネットワークを保護するには、既知の脆弱性に対するパッチを適用する技術的勧告を採用することが重要です。インフラ全体の脆弱性を減らすために、組織はパッチ作成サイクルを維持する必要があります。Threat Detection Marketplaceは、脆弱性の悪用に関連する悪意のある活動を特定するための実用的なコンテンツを提供します。 アラート AA20-275A.
| 脆弱性 | 悪意のある活動を検出するコンテンツ |
| CVE-2012-0158 | CVE-2012-0158を検出するコンテンツ |
| CVE-2020-5902 | CVE-2020-5902を検出するコンテンツ |
| CVE-2019-19781 | CVE-2019-19781を検出するコンテンツ |
| CVE-2019-11510 | CVE-2019-11510を検出するコンテンツ |
| CVE-2020-10189 | CVE-2020-10189を検出するコンテンツ |
SOC Prime Threat Detectionを試してセキュリティソリューションを強化する準備はできていますか? 無料で登録。または Threat Bountyプログラムに参加して 自分のコンテンツを作成し、Threat Detection Marketplaceコミュニティと共有しましょう。