概要
・・・中略・・・
APT40(BRONZE MOHAWK、FEVERDREAM、G0065、Gadolinium、GreenCrash、Hellsing、Kryptonite Panda、Leviathan、MUDCARP、Periscope、Temp.Periscope、Temp.Jumper)は、中華人民共和国(PRC)海南省海口市に拠点を置き、少なくとも2009年から活動しています。APT40は、米国、カナダ、欧州、中東、南シナ海地域、さらには中国の「一帯一路」構想に含まれる産業など、生物医学、ロボット工学、海洋研究など幅広い分野の政府機関、企業、大学を標的にしています。
2021年7月19日、米国司法省は、APT40のサイバーアクター4名がフロント企業である海南翔敦科技発展有限公司(海南翔敦)を通じた不正なコンピュータネットワーク搾取(CNE)活動を行っていたとして、起訴状を公開しました。海南翔敦の従業員であるWu Shurongは、中国国家安全部(MSS)海南国家安全局(HSSD)の諜報員であるDing Xiaoyang、Zhu Yunmin、Cheng Qingminに協力し、CNE活動を行うよう命令しました。呉氏のCNE活動により、米国内外の企業や組織、複数の外国政府から企業秘密、知的財産、その他の高価値情報が盗まれました。これらのMSS関連の行為者は、次の業界の被害者を標的としました:学術、航空宇宙/航空、生物医学、防衛産業基盤、教育、政府、医療、製造、海事、研究機関、輸送(鉄道と海運)。
(2021年7月19日更新)
STIX形式のIndicator of compromise(IOC)はこちらをご覧ください。注:悪意のある活動を発見するために、インシデント・レスポンダーは、ネットワークおよびホストベースのアーティファクトでIOCを検索し、その結果を評価します(評価の際には偽陽性を排除します)。例えば、STIXファイル内のMD5 IOCの中には、Putty、cmd.exe、svchost.exeなどの正規のツールを侵害の指標として識別するものがあります。ツール自体は悪意のあるものではありませんが、APT40の攻撃者は、コンピュータへの侵入行為の際に、被害者のシステム上の標準的でないフォルダからツールを配置し、使用しました。インシデント・レスポンダーによって正規のツールが特定された場合、誤検知を排除したり、悪意のある活動を発見したりするために、そのツールの場所を評価する必要があります。インシデント対応のガイダンスについては、「Technical Approaches to Uncovering and Remediating Malicious Activity」を参照してください。
技術的詳細
本Joint Cybersecurity Advisoryは、MITRE ATT&CK®フレームワーク、バージョン9を使用しています。参照されているすべての脅威アクターの戦術と技術については、ATT&CK for Enterprise フレームワークを参照してください。
APT40 [G0065]は、さまざまな戦術や技術、カスタムおよびオープンソースのマルウェアの大規模なライブラリ(その多くは、他の複数の中国の疑いのあるグループと共有されています)を使用して、ユーザや管理者の認証情報による初期アクセスを確立し、ネットワーク内に侵入した後は横方向の移動を可能にし、データを流出させるために高価値の資産を見つけ出しました。表1は、これらの戦術・技術の詳細を示したものです。注:この活動を促進するために使用されたドメイン、ファイル名、マルウェアのMD5ハッシュ値のリストについては、付録を参照してください。
注、元記事の下の方のTactics and Techniques、APPENDIXも、興味深い。
緩和策
ネットワーク防御の深化
適切なネットワーク防御の徹底と情報セキュリティのベストプラクティスの遵守は、脅威を軽減し、リスクを低減するのに役立ちます。以下のガイダンスは、組織がネットワーク防御の手順を策定する際に役立ちます。
パッチと脆弱性の管理
- 重要な脆弱性に対しては、ベンダーが提供し、検証されたパッチをすべてのシステムにインストールする。特に、インターネットに接続されたサーバやインターネットデータを処理するソフトウェア(Webブラウザ、ブラウザのプラグイン、ドキュメントリーダーなど)に対しては、優先的に適時パッチを適用する。
- タイムリーにパッチを当てることができない脆弱性に対しては、適切な移行手順や代償のコントロールを確実に実施する。
- ウイルス対策用のシグネチャとエンジンを最新の状態に維持する。
- 構成とパッチの管理プログラムを定期的に監査し、新たな脅威を追跡して緩和する能力を確保する。厳格な設定とパッチ管理プログラムを導入することで、高度なサイバー犯罪者の活動を妨げ、リソースと情報システムを保護することができます。
- 一般的な脆弱性を悪用した中国のAPTに関する詳細は、「参考文献」セクションの記事を参照してください。
クレデンシャルの保護
- クレデンシャル要件を強化し、パスワードを定期的に変更し、多要素認証を導入することで、個々のアカウント、特にウェブメールやVPNアクセス、重要なシステムにアクセスするアカウントを保護します。また、複数のアカウントでパスワードを使い回さないこと。
- 信頼できるネットワークやサービスプロバイダからのリモート認証をすべて監査する。
- 内部ネットワークで使用されている認証情報と外部システムで使用されている認証情報を関連付けることで、不一致を検出する。
- net、ipconfig、ping などのシステム管理者用コマンドの使用を記録する。
- 最小限の特権の原則を実施する。
ネットワークの衛生と監視
- インターネットに接続可能なアプリケーションを積極的にスキャンし、不正なアクセスや変更、異常な活動を監視する。
- サーバーのディスク使用量を積極的に監視し、著しい変化がないか監査する。
- ドメイン ネーム サービス (DNS) のクエリを記録し、承認された DNS サーバから発信されていないすべての送信 DNS 要求をブロックすることを検討します。DNS クエリを監視して、C2 over DNS を確認します。
- ネットワークとシステムのベースラインを構築して監視し、異常なアクティビティを特定できるようにします。不審な動作についてログを監査する。
- 異常な活動を行っているユーザーを特定し、アクセスを停止する。
- 許可リストまたはベースライン比較を使用して、Windowsイベントログおよびネットワークトラフィックを監視し、ユーザがWindowsシステムの特権的な管理共有をマッピングしたことを検出する。
- ファイル、DNS、URL、IPアドレス、電子メールアドレスを対象としたマルチソースの脅威評価サービスを利用する。
- Telnet、SSH(Secure Shell)、Winbox、HTTPなどのネットワークデバイス管理インターフェイスは、ワイドエリアネットワーク(WAN)インターフェイスではオフにし、有効な場合は強力なパスワードと暗号化で保護すること。
- 重要な情報は、可能な限りエアギャップのあるシステム上で管理する。重要なデータには厳格なアクセス制御手段を用いる。
出典
Alert (AA21-200A)Tactics, Techniques, and Procedures of Indicted APT40 Actors Associated with China’s MSS Hainan State Security Department
https://us-cert.cisa.gov/ncas/alerts/aa21-200a
No comments:
Post a Comment