RSS CISA Советы по кибербезопасности
Подписаться
Министерство государственной безопасности Народной Республики Китая (НРК) APT40 Приемы работы в действии
Это руководство по деятельности и угрозам, создаваемым китайской государственной кибергруппой APT40, которая атакует австралийские и международные сети.Обзор активности:- APT40 использует сложные методы для эксплуатации уязвимостей в популярном программном обеспечении (например, Log4J, Atlassian Confluence, Microsoft Exchange) и проникновения в сети.
- Группа часто компрометирует уязвимую публично доступную инфраструктуру и использует захваченные устройства как оперативную инфраструктуру.
- APT40 уделяет особое внимание установлению устойчивости и получению действительных учетных данных для поддержания доступа.Заметные приёмы:- APT40 перешла на использование захваченных устройств для дома/малого офиса (SOHO) в качестве инфраструктуры C2.
- Использование группы закупленной или арендованной инфраструктуры в качестве инфраструктуры C2 сократилось.Программное обеспечение:- ASD's ACSC предоставил образцы вредоносных файлов для анализа и обнаружения.Исследовательские работы:- Два анонимных отчета по расследованиям подчеркивают методы и приёмы APT40.
- В одном из исследований организация была целенаправленно атакована, и чувствительные данные были похищены.
- Расследование выявило способность группы перемещаться по сети и получать привилегированные учетные данные.Заключение:APT40 остается значительной угрозой для организаций по всему миру. Понимание их тактик, методов и процедур является ключевым для реализации эффективных мер противодействия.