Jul 20, 2021

中国国家がスポンサーとなっている悪質なサイバー活動の傾向 by NSA、CISA、FBI

●インフラと能力の獲得

中国の国家支援型サイバー犯罪者は、情報セキュリティコミュニティの慣行を機敏に把握しています。これらのアクターは、一連の仮想プライベートサーバ(VPS)や、一般的なオープンソースまたは商用のペネトレーションツールを使用することで、自らの活動を隠す努力をしています。

●公的な脆弱性の利用

中国の国家支援を受けたサイバーアクターは、脆弱性が公開されてから数日以内に、重要な脆弱性や高度な脆弱性がないか、ターゲットネットワークを常にスキャンしています。多くの場合、これらのサイバーアクターは、Pulse Secure、Apache、F5 Big-IP、Microsoft製品などの主要なアプリケーションの脆弱性を悪用しようとします。悪意のある中国国家のサイバーアクターによって悪用されることが知られているCVE(Common Vulnerabilities and Exposures)に関する情報は、以下を参照してください。

〇 CISA-FBI Joint CSA AA20-133A: Top 10 Routinely Exploited Vulnerabilities,

〇 CISAアクティビティアラート:AA20-275A:Potential for China Cyber Response to Heightened U.S.-China Tensions

〇 NSA CSA U/O/179811-20: 中国の国家支援行為者が公知の脆弱性を悪用


●暗号化されたマルチホップ・プロキシ

中国の国家支援を受けたサイバーアクターは、暗号化されたプロキシとしてVPSを使用することが日常的に観察されています。このサイバーアクターは、VPSだけでなく、スモールオフィスやホームオフィス(SOHO)のデバイスを運用ノードとして使用し、検知を回避しています。


観測された戦術と技術

中国の国家支援を受けたサイバーアクターは、世界中の関心のあるコンピュータネットワークを悪用し、機密性の高い知的財産、経済、政治、軍事情報を取得するために、あらゆる戦術と技術を使用しています。付録B:MITRE ATT&CKフレームワークには、中国の国家支援型サイバーアクターが使用する戦術・技術がリストアップされています。ダウンロード可能なJSONファイルは、NSA CybersecurityのGitHubページでもご覧いただけます。

これらの戦術や技術に関連する手順や、適用可能な緩和策については、「付録A:中国国家支援型サイバーアクターの観察された手順」を参照してください。


緩和策

NSA、CISA、FBIは、連邦政府、SLTT政府、CI、DIB、民間企業の各組織に対し、以下の推奨事項と、観測された戦術・技術に合わせた付録Aの検知・緩和の推奨事項を適用するよう促します。


●システムや機器に迅速かつ熱心にパッチを当てる

外部に面した機器のリモートコードの実行やサービス妨害を可能にする重要かつ高度な脆弱性や、中国の国家的なサイバーアクターによって悪用されることが知られているCVEに重点的にパッチを当てること。タイムリーかつ徹底したパッチサイクルを可能にするパッチマネジメントプログラムの導入を検討する。

    注:中国の国家支援型サイバー犯罪者によって日常的に悪用されているCVEの詳細については、「中国の国家支援型サイバー犯罪の動向」の項に記載されているリソースを参照してください。


●ネットワークトラフィック、電子メール、およびエンドポイントシステムの監視を強化する

ネットワーク上のシグネチャや指標を確認し、新たなフィッシング・テーマを監視し、それに応じて電子メールのルールを調整する。電子メールの添付ファイルを制限し、評判に基づいてURLやドメインをブロックするというベスト・プラクティスに従う。アカウントの不正使用の監視を中心に、最大限の検知能力を発揮できるように、ログ情報の集約と相関関係の構築を行う。一般的なポートとプロトコルを監視して、コマンド&コントロール(C2)活動を確認します。SSL/TLS検査を使用して暗号化セッションの内容を確認し、マルウェアの通信プロトコルのネットワークベースの指標を探すことができます。ネットワークとエンドポイントのイベント分析および検出機能を導入・強化し、初期感染、認証情報の漏洩、エンドポイントのプロセスやファイルの操作を特定する。


●保護機能を使用して悪意のある活動を阻止する

ウィルス対策ソフトウェアやその他のエンドポイント保護機能を導入し、悪意のあるファイルを自動的に検出して実行を阻止する。ネットワーク侵入検知・防止システムを使用して、一般的に使用されている敵対的なマルウェアを特定・防止し、悪意のあるデータ転送を制限する。ドメインレピュテーションサービスを利用して、疑わしいドメインや悪意のあるドメインを検出する。サービスアカウントに強力な認証情報を使用し、リモートアクセスに多要素認証(MFA)を使用することで、敵対者が盗んだ認証情報を利用する能力を軽減する。ただし、MFAの実装によっては、MFAの傍受技術に注意すること。


、「出典」元の、この後に出てくる「APPENDIX A: Chinese State-Sponsored Cyber Actors’ Observed Procedures」が面白そうで読み応えもありそうだけど、今日は、もう寝ます。

出典

Alert (AA21-200B)
Chinese State-Sponsored Cyber Operations: Observed TTPs (07/19)

No comments: