中国のAPT41がUSAHerdsアプリを通じて米国政府のネットワークに侵入
Mandiantセキュリティのセキュリティ研究者は、 APT41による最近の活動に関する調査結果を詳述した最近のレポートを公開しました。これは中国の国家支援を受けていると考えられているサイバー犯罪組織です。 Mandiantによると、APT41は、 Log4j攻撃とゼロデイ脆弱性の組み合わせを使用して、いくつかの米国政府ネットワークを危険にさらすことができました。
ゼロデイとLog4jを一緒に使用
問題のゼロデイ脆弱性は、USAHerdsと呼ばれるアプリケーションにあります。これは、米国中の畜産農家が「動物の健康情報管理システム」として使用しているツールです。このアプリケーションは何年も前から存在しています。しかし、APT41がセキュリティ上の欠陥を悪用したのはごく最近のことです。
APT41は、伝統的にサイバースパイ活動に従事している、国が後援する中国を拠点とする衣装であると考えられています。この最新の攻撃では、研究者は、新しいツール、検出を回避するための新しい方法、および脅威アクターによって採用された新しい技術を発見しました。
米国のネットワークへのアクセスに使用される脆弱性は、CVE-2021-44207として追跡されます。この攻撃では、悪名高いLog4jの脆弱性も利用して、2つのアプローチを使用しました。 USAHerdsの脆弱性は、2021年11月にパッチが適用され、アプリケーションでのハードコードされた静的検証および暗号化キーの使用に依存し、最終的にシステムでのリモートコード実行を許可しました。
研究者によると、アプリケーションは、インストールごとに一意のキーを生成するのではなく、インストールされているすべてのインスタンス間でこれらの静的キーを共有しました。これは、セキュリティ上の重大な問題です。
APT41によってアクセスされる少なくとも6つのネットワーク
APT41がどのようにして共有キー値を取得したかを知る方法はありませんが、共有キー値にアクセスできるようになると、USAHerdsアプリケーションを実行している「任意のサーバー」にアクセスできるようになります。 6つの米国政府ネットワークが攻撃で危険にさらされたことが知られていますが、マンディアントは、単に記録されていない犠牲者がもっといると予想しています。
APT41は、米国を拠点とするエンティティを長い間標的にしており、同じ衣装に関連する攻撃は2019年にさかのぼります。このグループは、回避に関して鋭敏で機敏であり、標的に侵入する際に高度な技術を使用することで知られています。