中国のAPT40はどのようにしてサイバーセキュリティにおける攻撃にこれほど迅速に適応しているのでしょうか?

中国に拠点を置くハッカー グループ APT40 は、サイバーセキュリティ攻撃を実行するために迅速に適応する驚くべき能力で際立っています。彼らの機敏性と専門知識により、標的となった組織の防御を回避することができ、IT セキュリティ専門家にとって常に課題となっています。

APT40: 恐るべきサイバネティックスパイ集団

オーストラリア、カナダ、ドイツ、日本、ニュージーランド、韓国、英国、米国のサイバーセキュリティ機関は、APT40として知られる中国との関連サイバースパイ集団に関する共同勧告を発表した。このグループは、新たに公開されたセキュリティの脆弱性を、公開から数時間または数日以内に悪用することができます。

迅速な変革能力

APT40 は、ブロンズ モホーク、ギンガム タイフーン、クリプトナイト パンダなどとも呼ばれ、脆弱性の概念実証 (PoC) を標的化、偵察、悪用作戦に迅速に変換する優れた能力を実証しています。

沿革と所属

APT40 は少なくとも 2011 年から活動しており、アジア太平洋地域の組織を標的とした攻撃を実行しています。 2021年7月、米国とその同盟国はこのグループが中国国家安全部（MSS）の仕業であると正式に認定し、企業秘密や貴重な情報を盗む複数年にわたる活動の罪で数人のメンバーを起訴した。

使用された攻撃方法

APT40 は、Web シェルを展開して永続性を確立し、被害者の環境へのアクセスを維持することが知られています。このグループは、指揮統制 (C2) の目的でもオーストラリアの Web サイトを使用しています。

• 広く使用されているパブリック ソフトウェア (Log4j、Atlassian Confluence、Microsoft Exchange など) の脆弱性の使用。
• 対象となるネットワークを定期的に認識します。
• 古いデバイスまたはパッチが適用されていないデバイス (SOHO ルーターなど) の悪用。

スピアフィッシングおよびScanBoxキャンペーン

近年、APT40 は、パプア ニューギニアをターゲットとしたフィッシング キャンペーンで、ScanBox 偵察フレームワークを使用したり、WinRAR (CVE-2023-38831) などのソフトウェアのセキュリティ脆弱性を悪用した一連の侵入に関連していると考えられています。

機関サービスの侵害

ニュージーランド政府は 3 月に、APT40 を 2021 年の国会議員局の侵害と関連付けました。これは、このグループによって組織された攻撃の範囲と有効性を示しています。

組織への推奨事項

組織にとって、適切なログ メカニズムを維持し、多要素認証 (MFA) を適用し、堅牢なパッチ管理システムを実装し、耐用年数が終了した機器を交換し、未使用のサービス、ポート、プロトコルを非アクティブ化し、機密情報へのアクセスを防ぐためにネットワークをセグメント化することが重要です。データ。

ソース： ザハッカーニュース.com