République populaire de Chine (RPC) Ministère de la Sécurité d'État APT40 Tradecraft en action

Cette note d'orientation détaille les activités et les menaces posées par un groupe de cyber-attaquants parrainé par l'État chinois connu sous le nom d'APT40, ciblant les réseaux australiens et internationaux. Aperçu des activités : - APT40 utilise des techniques sophistiquées pour exploiter les vulnérabilités dans des logiciels populaires (par exemple, Log4J, Atlassian Confluence, Microsoft Exchange) et pénétrer dans les réseaux. - Le groupe compromet souvent des infrastructures vulnérables accessibles au public et utilise des appareils compromis comme infrastructure opérationnelle. - APT40 met l'accent sur l'établissement de la persistance et l'obtention de crédentials valides pour maintenir l'accès. Techniques notables : - APT40 a tendance à utiliser des appareils SOHO (Small Office/Home Office) compromis comme infrastructure C2. - L'utilisation par le groupe d'infrastructures acquises ou louées comme infrastructure C2 a diminué. Outils : - L'ACSC d'ASD a fourni des échantillons de fichiers malveillants pour l'analyse et la détection. Études de cas : - Deux rapports d'enquête anonymisés mettent en évidence les techniques et les pratiques d'APT40. - Dans l'un des cas, l'organisation a été ciblée intentionnellement et des données sensibles ont été exfiltrées. - L'enquête a révélé la capacité du groupe à se déplacer latéralement dans le réseau et à obtenir des crédentials privilégiés. Conclusion : APT40 demeure une menace significative pour les organisations dans le monde entier. Comprendre leurs tactiques, techniques et procédures est crucial pour mettre en œuvre des mesures d'atténuation efficaces.