Министерство государственной безопасности Народной Республики Китая (НРК) APT40 Приемы работы в действии

Это руководство по деятельности и угрозам, создаваемым китайской государственной кибергруппой APT40, которая атакует австралийские и международные сети. Обзор активности: - APT40 использует сложные методы для эксплуатации уязвимостей в популярном программном обеспечении (например, Log4J, Atlassian Confluence, Microsoft Exchange) и проникновения в сети. - Группа часто компрометирует уязвимую публично доступную инфраструктуру и использует захваченные устройства как оперативную инфраструктуру. - APT40 уделяет особое внимание установлению устойчивости и получению действительных учетных данных для поддержания доступа. Заметные приёмы: - APT40 перешла на использование захваченных устройств для дома/малого офиса (SOHO) в качестве инфраструктуры C2. - Использование группы закупленной или арендованной инфраструктуры в качестве инфраструктуры C2 сократилось. Программное обеспечение: - ASD's ACSC предоставил образцы вредоносных файлов для анализа и обнаружения. Исследовательские работы: - Два анонимных отчета по расследованиям подчеркивают методы и приёмы APT40. - В одном из исследований организация была целенаправленно атакована, и чувствительные данные были похищены. - Расследование выявило способность группы перемещаться по сети и получать привилегированные учетные данные. Заключение: APT40 остается значительной угрозой для организаций по всему миру. Понимание их тактик, методов и процедур является ключевым для реализации эффективных мер противодействия.