Last Updated on 2024-07-09 17:05 by admin

サイバーセキュリティ機関は、中国に関連するサイバー諜報グループAPT40が、公開されたばかりのセキュリティ脆弱性のエクスプロイトを数時間または数日以内に適応させる能力について警告している。オーストラリア、カナダ、ドイツ、日本、ニュージーランド、韓国、英国、米国の機関が共同でこの情報を発表した。APT40は、少なくとも2013年から活動しており、アジア太平洋地域の対象にサイバー攻撃を行っているとされる。このグループは、異なるセクターを狙い、貿易秘密、知的財産、高価値情報の盗難を容易にするための多年にわたるキャンペーンを指揮したとして、2021年7月に米国とその同盟国によって中国の国家安全部(MSS)に関連すると正式に認定された。

APT40は、Log4j、Atlassian Confluence、Microsoft Exchangeなどの広く使用されている公共のソフトウェア内の新しいエクスプロイトを特定し、関連する脆弱性のインフラを狙う。このグループは、関心のあるネットワークに対して定期的に偵察を行い、そのターゲットを侵害する機会を探している。特に、状態の悪い、またはもはやメンテナンスされていないデバイスを利用して、迅速にエクスプロイトを展開する。APT40は、被害者の環境への持続的なアクセスを確立し維持するためにWebシェルを展開すること、オーストラリアのウェブサイトをコマンド＆コントロール(C2)目的で使用すること、および攻撃インフラの一部として古いまたは未パッチのデバイスを組み込むことが観察されている。このグループは、リモートデスクトッププロトコル(RDP)を使用して偵察、権限昇格、横方向の移動活動を行い、関心のある情報の盗難と抽出を試みる。

これらの脅威に対処するためには、適切なログメカニズムの実装、多要素認証(MFA)の強制、堅牢なパッチ管理システムの実装、寿命の終わった機器の交換、使用されていないサービス、ポート、プロトコルの無効化、およびネットワークのセグメント化を推奨している。

【ニュース解説】

中国に関連するサイバー諜報グループAPT40が、新たに公開されたセキュリティ脆弱性のエクスプロイトを数時間または数日以内に適応させる能力について、オーストラリア、カナダ、ドイツ、日本、ニュージーランド、韓国、英国、米国のサイバーセキュリティ機関が共同で警告を発しています。APT40は、アジア太平洋地域を中心に活動しており、貿易秘密や知的財産の盗難を目的としたサイバー攻撃を行っていることで知られています。

APT40の活動は、公共のソフトウェア内で新たに発見された脆弱性を迅速に特定し、それを利用してターゲットのインフラを狙うことに特徴があります。このグループは、特に保守が終了したり、更新されていないデバイスを利用して攻撃を行うことで、迅速にエクスプロイトを展開し、情報を盗み出すことを目指しています。

APT40の攻撃手法には、Webシェルの展開や、コマンド＆コントロール(C2)目的でオーストラリアのウェブサイトを使用すること、さらには攻撃インフラの一部として古いまたは未パッチのデバイスを組み込むことが含まれます。これらの手法は、被害者の環境への持続的なアクセスを確立し、情報を盗み出すために利用されます。

このような脅威に対抗するためには、適切なログメカニズムの実装、多要素認証(MFA)の強制、堅牢なパッチ管理システムの実装、寿命の終わった機器の交換、使用されていないサービス、ポート、プロトコルの無効化、およびネットワークのセグメント化が推奨されます。これらの対策は、APT40のような高度なサイバー脅威から組織を守るために不可欠です。

APT40の活動は、国際的なサイバーセキュリティの環境において重要な課題を示しています。このグループのような高度な脅威アクターは、新たに発見された脆弱性を迅速に利用する能力を持っており、国家レベルでのサイバー諜報活動において重要な役割を果たしています。そのため、国際的な協力と情報共有、そして組織内でのセキュリティ対策の強化が、これらの脅威に効果的に対処するためには不可欠です。

from Cybersecurity Agencies Warn of China-linked APT40's Rapid Exploit Adaptation.