중화인민공화국 (PRC) 국가안전부 APT40의 작전 방식

이 권고문은 호주 및 국제 네트워크를 표적으로 삼는 중국 국가 지원 사이버 그룹 APT40의 활동과 위협에 대해 자세히 설명합니다. 활동 개요: - APT40은 정교한 기술을 사용하여 널리 사용되는 소프트웨어(예: Log4J, Atlassian Confluence, Microsoft Exchange)의 취약점을 악용하고 네트워크에 침투합니다. - 이 그룹은 종종 취약한 공용 인프라를 손상시키고 손상된 디바이스를 운영 인프라로 사용합니다. - APT40은 지속성을 확립하고 유효한 자격 증명을 획득하여 액세스를 유지하는 데 중점을 둡니다. 주목할 만한 트레이드크래프트: - APT40은 손상된 소규모 사무실/홈오피스(SOHO) 디바이스를 C2 인프라로 사용하는 방향으로 전환했습니다. - 조달 또는 임대 인프라를 C2 인프라로 사용하는 그룹은 감소했습니다. 툴링: - ASD의 ACSC는 분석 및 탐지를 위해 악성 파일 샘플을 제공했습니다. 사례 연구: - 익명으로 작성된 두 개의 조사 보고서에서 APT40의 기법과 수법을 확인할 수 있습니다. - 한 사례 연구에서는 조직이 의도적으로 표적이 되어 민감한 데이터가 유출되었습니다. - 조사 결과 이 그룹은 네트워크를 통해 측면으로 이동하여 권한 있는 자격 증명을 획득할 수 있는 능력이 있는 것으로 밝혀졌습니다. 결론: APT40은 여전히 전 세계 조직에 심각한 위협이 되고 있습니다. 효과적인 방어 조치를 구현하려면 이들의 전술, 기법, 절차를 이해하는 것이 중요합니다.