République populaire de Chine (RPC) Ministère de la Sécurité d'État APT40 Tradecraft en action
Cette note d'orientation détaille les activités et les menaces posées par un groupe de cyber-attaquants parrainé par l'État chinois connu sous le nom d'APT40, ciblant les réseaux australiens et internationaux.Aperçu des activités :- APT40 utilise des techniques sophistiquées pour exploiter les vulnérabilités dans des logiciels populaires (par exemple, Log4J, Atlassian Confluence, Microsoft Exchange) et pénétrer dans les réseaux.
- Le groupe compromet souvent des infrastructures vulnérables accessibles au public et utilise des appareils compromis comme infrastructure opérationnelle.
- APT40 met l'accent sur l'établissement de la persistance et l'obtention de crédentials valides pour maintenir l'accès.Techniques notables :- APT40 a tendance à utiliser des appareils SOHO (Small Office/Home Office) compromis comme infrastructure C2.
- L'utilisation par le groupe d'infrastructures acquises ou louées comme infrastructure C2 a diminué.Outils :- L'ACSC d'ASD a fourni des échantillons de fichiers malveillants pour l'analyse et la détection.Études de cas :- Deux rapports d'enquête anonymisés mettent en évidence les techniques et les pratiques d'APT40.
- Dans l'un des cas, l'organisation a été ciblée intentionnellement et des données sensibles ont été exfiltrées.
- L'enquête a révélé la capacité du groupe à se déplacer latéralement dans le réseau et à obtenir des crédentials privilégiés.Conclusion :APT40 demeure une menace significative pour les organisations dans le monde entier. Comprendre leurs tactiques, techniques et procédures est crucial pour mettre en œuvre des mesures d'atténuation efficaces.