Kryptonite Panda hackers

国際的なサイバーセキュリティ機関と法執行機関の共同勧告は、中国国家に支援されたAPT 40ハッキング・グループが使用する手口と、SOHOルーターを乗っ取ってサイバースパイ攻撃を仕掛ける手口について警告している。

Kryptonite Panda、GINGHAM TYPHOON、Leviathan、Bronze Mohawkとしても知られるAPT 40は、少なくとも2011年以降、米国とオーストラリアの政府組織や主要な民間団体を標的として活動してきた。

以前、APT40は、ProxyLogonの脆弱性を利用した25万台以上のMicrosoft Exchangeサーバーを標的とした一連の攻撃や、WinRARなどの広く使用されているソフトウェアの欠陥を悪用したキャンペーンに関連していました。

APT40 の活動概要

オーストラリア、米国、英国、カナダ、ニュージーランド、ドイツ、韓国、日本のサイバーセキュリティ当局や政府機関が述べているように、APT40は、フィッシングメールやソーシャル・エンジニアリングといった人為的なやり取りの代わりに、公共向けのインフラやエッジ・ネットワーク機器の脆弱性を悪用します。

APT40は、新しい脆弱性が公開されると、迅速にその脆弱性を悪用することが知られており、この勧告では、Log4J、Atlassian Confluence、Microsoft Exchangeの欠陥がその例として挙げられています。

「注目すべきは、APT40が新しい脆弱性の概念実証(POC)を迅速に変換して適応させ、関連する脆弱性のインフラを保有する標的ネットワークに対して即座に利用する能力を有していることである。

“APT40は、標的を侵害する機会を求めて、作成者の国のネットワークを含む関心のあるネットワークに対して定期的に偵察を行う。”

サーバやネットワーク機器に侵入した後、中国のハッカーはSecure Socket Funnellingを使用してWebシェルを展開し、RDPとともにKerberoastingで取得した有効な認証情報を使用してネットワークを横移動します。

特に興味深いのは、N-day 脆弱性を利用して、脅威者が一般的に使用済みの小規模オフィス/ホームオフィス(SOHO)ルータに侵入し、それらをハイジャックして運用インフラとして機能させていることです。これらの乗っ取られたデバイスは、乗っ取られたルーターから発信される正当なトラフィックに紛れ込みながら、APT40が攻撃を仕掛けるために使用するネットワークプロキシとして機能します。

他の中国のAPTグループも、ハイジャックされたEoLルーターやIoTデバイスで構成されるORB(Operational Relay Box)ネットワークを利用することが知られています。これらのプロキシメッシュは独立したサイバー犯罪者によって管理され、悪意のあるトラフィックをプロキシするために複数の国家支援行為者(APT)にアクセスを提供している。

サイバースパイ攻撃の最終段階では、APT40はSMB共有にアクセスし、コマンド&コントロール(C2)サーバーにデータを流出させる一方、イベントログを削除し、侵入されたネットワーク上でステルス的な存在を維持するためのソフトウェアを展開します。

APT40 activity overview
APT40 攻撃の概要
CISA

ケーススタディ

この勧告には、2022年に発生した2つのケーススタディが掲載されており、APT40の戦術と手順を浮き彫りにする好例となっています。

最初のケースでは、2022年7月から9月にかけて、APT40はカスタムWebアプリケーションを悪用してオーストラリアの組織のネットワークに足がかりを築きました。

ウェブシェルを使用してネットワーク偵察を行い、Active Directoryにアクセスし、特権資格情報を含む機密データを流出させました。

Timeline of first case study
最初の攻撃事例のタイムライン
ソースはこちら:CISA

2つ目のケーススタディは、2022年4月から5月にかけて発生したインシデントに関するもので、APT40がリモートアクセス・ログイン・ポータルのRCEの欠陥を悪用して、ある組織に侵入しました。

彼らはウェブシェルを展開し、何百ものユーザー名とパスワードのペア、MFAコード、JSONウェブトークン(JWT)を取得し、最終的には権限をエスカレートさせて社内のSQLサーバーをスクレイピングしました。

攻撃の検知と緩和

この勧告では、APT40や同様の国家が支援するサイバー脅威を軽減し、防御するための一連の推奨事項を提示しており、これには脅威行為者がツールやマルウェアを展開するために使用する既知のファイルパスも含まれています。

防御に関する推奨事項では、タイムリーなパッチ適用、包括的なロギング、ネットワーク・セグメンテーションの利用が強調されている。

さらに、使用されていないポートやサービスを無効にすること、ウェブ・アプリケーション・ファイアウォール(WAF)を使用すること、最小特権の原則を徹底すること、リモート・アクセス・サービスに多要素認証(MFA)を使用すること、使用済み(EoL)機器を交換することが推奨されている。

EoLエッジ・ネットワーク機器の交換は優先事項である。この種のデバイスは一般に公開されることを意図しており、パッチを受けなくなると、あらゆるタイプの脅威行為者にとって貴重な標的として機能する。