TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

中国の国家支援アクターAPT40、Nデイ脆弱性を「数時間以内」に悪用

中国の国家支援アクターAPT40は、新たに発見されたソフトウェア脆弱性(Nデイ)の悪用に注力しており、公表から数時間以内に悪用することも多いと、政府機関による共同勧告が警告した。

オーストラリア信号局のオーストラリア・サイバーセキュリティセンター(ASDのACSC)は、米国、英国、カナダ、ニュージーランド、ドイツ、韓国、日本の各国機関パートナーとともに、同グループがフィッシングキャンペーンのようにユーザーの操作を必要とする手法よりも、脆弱なインターネット公開インフラの悪用を好むと指摘した。

APT40は、標的ネットワークに対して定期的に偵察を行い、関心のあるネットワーク上の脆弱な機器、サポート終了(EOL)機器、または保守されなくなった機器を特定し、迅速にエクスプロイトを展開する。

同グループは、Log4jAtlassian ConfluenceMicrosoft Exchangeなど、広く利用されているソフトウェアで新たに公表された脆弱性を、公表から数日、場合によっては数時間以内に悪用できる。

勧告は「特筆すべき点として、APT40は新たな脆弱性のエクスプロイトの概念実証(POC)を迅速に変換・適応させ、当該脆弱性に関連するインフラを有する標的ネットワークに対して直ちに利用する能力を有している」と述べている。

こちらを読む:攻撃者がフィッシングを捨て、脆弱性悪用が増加

同グループは、2017年まで遡る脆弱性の悪用でも引き続き成果を上げている。

いったんネットワーク内部に侵入すると、APT40は回避と永続化の手法に特化し、中華人民共和国(PRC)国家安全部のために機微データを持ち出すと、各機関は評価した。

APT40は、オーストラリアのネットワークに加え、同地域の政府および民間部門のネットワークを繰り返し標的としており、勧告の作成に関与した他機関の各国にとっても脅威であり続けている。

同グループの活動と手法は、業界レポートでKryptonite Panda、GINGHAM TYPHOON、Leviathan、Bronze Mohawkとして追跡されている脅威アクターと重複している。

APT40が作戦を実施する方法

ASDは、APT40がオーストラリアでの作戦において、侵害されたデバイス(小規模オフィス/ホームオフィス(SOHO)を含む)を運用インフラとして用い、最終段のリダイレクター(ラストホップ)として利用するという世界的な傾向を取り入れていると述べた。

これらのSOHOデバイスの多くはサポート終了または未パッチであり、Nデイ悪用の格好の標的となる。侵害されると、こうしたデバイスは正規トラフィックに紛れ込む形で攻撃を開始する足掛かりにもなり、悪意ある活動を不明瞭化できる。

この手法は、他のPRC国家支援アクターによっても常用されていると、勧告作成機関は述べた。

このアプローチはAPT40のトレードクラフトの進化を示しており、同グループは以前、侵害したオーストラリアのWebサイトを作戦のコマンド&コントロール(C2)ホストとして使用していた。

勧告では、過去のAPT40攻撃のケーススタディも提示され、侵害後に検知を回避しつつネットワーク内を横展開するために同グループが用いた戦術・技術・手順(TTP)が浮き彫りになった。

これらのケーススタディは、以下の共通テーマを示した:

  • 標的ネットワークの地図を作るためのホスト列挙
  • インターネット公開アプリケーションの悪用とWebシェルの使用により、ネットワークへの初期侵入点とコマンド実行能力を獲得
  • 権限昇格のためのソフトウェア脆弱性の悪用
  • 横展開を可能にするための認証情報の収集
APT40の活動に関するTTPフローチャート。出典:オーストラリア信号局
APT40の活動に関するTTPフローチャート。出典:オーストラリア信号局

APT40の標的となる組織向けのセキュリティ推奨事項

  • インターネットに公開されているデバイスおよびサービスにおけるすべての新規脆弱性に対し、48時間以内にセキュリティパッチまたは緩和策を適用する
  • 可能な限り、ソフトウェアおよびオペレーティングシステムの最新バージョンを使用する
  • 必要がない限りコンピュータ間の通信を拒否し、横展開を制限または遮断するためにネットワークをセグメント化する
  • 未使用または不要なネットワークサービス、ポート、プロトコルを無効化する
  • 適切にチューニングされたWebアプリケーションファイアウォール(WAF)を使用してWebサーバーとアプリケーションを保護する
  • サーバー、ファイル共有、その他リソースへのアクセスを制限するため、最小権限を徹底する
  • 多要素認証(MFA)と管理されたサービスアカウントを使用し、認証情報の解読や再利用を困難にする
  • Webサーバーのリクエストログ、Windowsイベントログ、インターネットプロキシログなどの領域にわたり、包括的な過去ログ情報を保持して調査の有効性と速度を高める
  • サポート終了機器を置き換える
  • 悪用され得る機能がないかカスタムアプリケーションを見直し、可能な場合は削減、削除、または無効化する

翻訳元: https://www.infosecurity-magazine.com/news/chinese-state-exploits/

ソース: infosecurity-magazine.com
#APT40 #Atlassian Confluence #Log4j #Microsoft Exchange #Nデイ脆弱性 #SOHOルーター侵害 #ゼロデイ・脆弱性対策 #パッチ適用(48時間以内) #中国国家支援ハッカー #横展開(ラテラルムーブメント)

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新