国際連合が政府ネットワークへのハッキングで中国のAPT40ハッキング集団を非難

米国、英国、カナダ、ドイツ、日本、ニュージーランド、韓国を含む連合国は、オーストラリアに加わり、政府ネットワークへの侵入は中国政府が支援するハッキング集団APT40の仕業だと非難した。これは、2024年3月のAPT31メンバーに対する制裁に続くもので、中国の高度で持続的な脅威（APT）攻撃者による継続的な脅威を浮き彫りにしている。

APT40 は、ブロンズ モホーク、ギンガム タイフーン、クリプトナイト パンダ、リヴァイアサンなど、さまざまな名前で知られ、オーストラリアのネットワークやその周辺地域のネットワークを繰り返し標的にしている。連合の勧告では、「APT40 はオーストラリアのネットワークやその地域の政府および民間部門のネットワークを繰り返し標的にしており、我々のネットワークに対する脅威は継続している」と述べられている。

APT40は定期的に偵察活動を行っており、古くて脆弱なデバイスを悪用しています。Atlassian Confluence（CVE-2021-26084）、 Log4J（CVE-2021-44228） 、 Microsoft Exchange（CVE-2021-31207、CVE-2021-34523、CVE-2021-34473）など、広く使用されているソフトウェアの脆弱性を含む新しい脆弱性に対するエクスプロイトを迅速に採用することに長けています。アドバイザリは、APT40が、新しい注目度の高い脆弱性が公開された直後に、概念実証（PoC）エクスプロイトを使用し続けることが予想されると警告しています。

他の多くの脅威アクターとは異なり、 APT40 はフィッシングやその他のユーザー インタラクション ベースの手法に頼るのではなく、脆弱なインターネット接続インフラストラクチャを最初のアクセスに利用することを好みます。彼らは、後続のオペレーションのために認証情報を盗み出し、攻撃チェーンの早い段階で持続性を確立します。このグループは、従来の小規模オフィス/ホーム オフィス (SOHO) デバイスを侵害し、それらを正規のネットワーク トラフィックに紛れ込ませる後続の攻撃の開始点として利用することが知られています。この戦術は、世界中の他の中国政府支援アクターによって共有されており、世界的な脅威となっています。

注目すべきインシデントの 1 つとして、APT40 は 2022 年 7 月から 9 月までオーストラリアの組織のネットワークへのアクセスを維持しました。彼らは複数のアクセス ベクトルを確立し、大量のデータを盗み出し、ネットワーク内を横方向に移動しました。別のケースでは、このグループは組織のリモート アクセス ログイン ポータルを侵害し、公開されているリモート コード実行 (RCE) の脆弱性を悪用して、数百の固有のユーザー名とパスワードのペアを盗み出しました。

このような攻撃のリスクを軽減するために、組織は包括的なログ機能を実装し、インターネットにアクセスできるすべてのアプライアンスに速やかにパッチを適用し、ネットワークのセグメント化を実装し、使用されていないサービス、ポート、プロトコルを無効にし、多要素認証を有効にし、レガシー機器を交換することをお勧めします。ソフトウェア製造元は、製品のセキュリティを強化するために、Secure by Design の原則を採用することが推奨されます。

同連合の勧告では、すべての組織がこれらの推奨事項を確認して、APT40 の侵入を特定、防止、修復する必要性を強調しています。これらの対策を採用することで、組織は APT40 やその他の国家支援の脅威アクターが使用する高度な手法に対する防御を強化できます。