Five Eyes 中華人民共和国の国家支援サイバー攻撃者は検知を逃れるために現地調達型対応をする (2023.05.24)
こんにちは、丸山満彦です。
米国 (CISA, NSA, FBI等) 、英国 (NCSC) 、オーストラリア (ACSC) 、カナダ (CCCS) 、ニュージーランド (NCSC-NZ) が連携して、中華人民共和国が支援していると思われるサイバー行為者(Volt Typhoon)に関連する注意喚起をしていますね。。。米国の重要インフラを対象としているようですが、それ以外の国の同様の組織も対象とされているような気がします。。。現地されにくくするために、”Living off the Land” (現地調達)という手法を使っているようですね。。。
U.S.
● Cybersecurity and Infrastructure Security Agency; CISA
ALERT
CISA and Partners Release Cybersecurity Advisory Guidance detailing PRC state-sponsored actors evading detection by “Living off the Land” | CISAとパートナーは、「現地調達」によって検知を回避する中華人民共和国の国家支援行為者の詳細について、サイバーセキュリティ勧告ガイダンスを発表した。 |
Today, CISA joined the National Security Agency (NSA), the Federal Bureau of Investigation (FBI), and international partners in releasing a joint cybersecurity advisory highlighting recently discovered activities conducted by a People’s Republic of China (PRC) state-sponsored cyber threat actor. | 本日、CISAは、国家安全保障局(NSA)、連邦捜査局(FBI)、および国際的なパートナーとともに、中華人民共和国(PRC)の国家が支援するサイバー脅威行為者が最近発見した活動に焦点を当てた共同サイバーセキュリティ勧告を公開した。 |
This advisory highlights how PRC cyber actors use techniques called “living off the land” to evade detection by using built-in networking administration tools to compromise networks and conduct malicious activity. This enables the cyber actor to blend in with routine Windows system and network activities, limit activity and data captured in default logging configurations, and avoid endpoint detection and response (EDR) products that could alert to the introduction of third-party applications on the host or network. Private sector partners have identified that this activity affects networks across U.S. critical infrastructure sectors, and the authoring agencies believe the actor could apply the same techniques against these and other sectors worldwide. | この勧告では、PRCのサイバーアクターが「現地調達」と呼ばれる技術を使用して、内蔵のネットワーク管理ツールを使用して検出を回避し、ネットワークを侵害し、悪意のある活動を行う方法を紹介している。これにより、サイバー行為者は、Windowsシステムやネットワークの日常的な活動に紛れ込み、デフォルトのロギング設定で取得される活動やデータを制限し、ホストまたはネットワーク上のサードパーティ製アプリケーションの導入を警告する可能性のあるエンドポイント検出および応答(EDR)製品を回避することができる。民間企業のパートナーは、この活動が米国の重要なインフラストラクチャー部門のネットワークに影響を及ぼすことを確認しており、作成者は、この行為者がこれらの部門や世界中の他の部門に対して同じ技術を適用する可能性があると考えている。 |
The authoring agencies have identified potential indicators associated with these techniques. To hunt for this activity, CISA and partners encourage network defenders to use the actor’s commands and detection signatures provided in this advisory. CISA and partners further encourage network defenders to view the indicators of compromise (IOCs) and mitigations summaries to detect this activity. | 作成機関は、これらの技術に関連する潜在的な指標を特定した。この活動を監視するために、CISAとパートナーは、ネットワーク防御者がこの勧告で提供される行為者のコマンドと検出シグネチャを使用することを推奨する。CISAとパートナーはさらに、この活動を検出するために、ネットワーク防御者が侵害の指標(IOC)と緩和策のサマリーを表示することを推奨する。 |
CYBERSECURITY ADVISORY
・2023.05.24 People's Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection
Summary | 概要 |
The United States and international cybersecurity authorities are issuing this joint Cybersecurity Advisory (CSA) to highlight a recently discovered cluster of activity of interest associated with a People’s Republic of China (PRC) state-sponsored cyber actor, also known as Volt Typhoon. Private sector partners have identified that this activity affects networks across U.S. critical infrastructure sectors, and the authoring agencies believe the actor could apply the same techniques against these and other sectors worldwide. | 米国および国際的なサイバーセキュリティ当局は、最近発見された中華人民共和国(PRC)国家支援型サイバー行為者(Volt Typhoonとしても知られる)に関連する注目すべき活動群を強調するために、本共同サイバーセキュリティ勧告(CSA)を発行する。民間企業のパートナーは、この活動が米国の重要インフラ部門のネットワークに影響を及ぼすことを確認しており、作成者は、この行為者がこれらの部門や世界中の他の部門に対して同じ技術を適用する可能性があると考えている。 |
This advisory from the United States National Security Agency (NSA), the U.S. Cybersecurity and Infrastructure Security Agency (CISA), the U.S. Federal Bureau of Investigation (FBI), the Australian Signals Directorate’s Australian Cyber Security Centre (ACSC), the Communications Security Establishment’s Canadian Centre for Cyber Security (CCCS), the New Zealand National Cyber Security Centre (NCSC-NZ), and the United Kingdom National Cyber Security Centre (NCSC-UK) (hereafter referred to as the “authoring agencies”) provides an overview of hunting guidance and associated best practices to detect this activity. | この勧告は、米国国家安全保障局(NSA)、米国サイバーセキュリティおよびインフラストラクチャ・セキュリティ局(CISA)、米国連邦捜査局(FBI)のものである。米国連邦捜査局(FBI)、オーストラリア信号局オーストラリア・サイバーセキュリティセンター(ACSC)、通信安全保障局カナダ・サイバーセキュリティセンター(CCCS)、ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)、英国国家サイバーセキュリティセンター(NCSC-UK)(以下「作成機関」といいる)は、この活動を検知するための捕捉指導と関連ベストプラクティスを概観する。 |
One of the actor’s primary tactics, techniques, and procedures (TTPs) is living off the land, which uses built-in network administration tools to perform their objectives. This TTP allows the actor to evade detection by blending in with normal Windows system and network activities, avoid endpoint detection and response (EDR) products that would alert on the introduction of third-party applications to the host, and limit the amount of activity that is captured in default logging configurations. Some of the built-in tools this actor uses are: wmic, ntdsutil, netsh, and PowerShell. The advisory provides examples of the actor’s commands along with detection signatures to aid network defenders in hunting for this activity. Many of the behavioral indicators included can also be legitimate system administration commands that appear in benign activity. Care should be taken not to assume that findings are malicious without further investigation or other indications of compromise. | 行為者の主な戦術、技術、手順(TTP)の1つは、内蔵のネットワーク管理ツールを使って目的を遂行する、現地調達型である。このTTPにより、行為者は通常のWindowsシステムおよびネットワークの活動に紛れ込むことで検知を回避し、ホストへのサードパーティ製アプリケーションの導入について警告するエンドポイント検知・応答(EDR)製品を回避し、デフォルトのロギング構成で捕捉される活動量を制限することができる。この行為者が使用する組み込みツールには、wmic、ntdsutil、netsh、およびPowerShellがある。この勧告では、この行為者のコマンドの例と検出シグネチャを提供しており、ネットワーク防御者がこの活動を発見するのに役立つようになっている。この勧告に含まれる行動指標の多くは、良性の活動に現れる正当なシステム管理コマンドである可能性もある。さらなる調査や侵害の兆候がない限り、発見されたものが悪意あるものであると決めつけないように注意する必要がある。 |
・[PDF] People's Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection
U.K.
● National Cyber Security Centre; NCSC
・2023.05.24 NCSC joins partners to issue warning about China state-sponsored cyber activity targeting CNI networks
NCSC joins partners to issue warning about China state-sponsored cyber activity targeting CNI networks | NCSCはパートナーと共に、CNIネットワークを標的とした中国国家主催のサイバー活動に関する警告を発表した。 |
The advisory provides technical indicators of compromise and examples of techniques deployed by the actor to help network defenders identify malicious activity. | この勧告では、ネットワーク防御者が悪意のある活動を特定できるように、侵害の技術的指標と行為者が展開する技術の例を示している。 |
The UK and agencies in the US, Australia, Canada and New Zealand have issued new advice today (Wednesday) to help organisations detect China state-sponsored activity being carried out against critical national infrastructure networks. | 英国および米国、オーストラリア、カナダ、ニュージーランドの機関は、本日(水曜日)、重要な国家インフラネットワークに対して行われている中国の国家支援活動を組織が検知するための新しいアドバイスを発表した。 |
In the new joint advisory the National Cyber Security Centre – a part of GCHQ – alongside international partners highlight how recent activity has targeted networks across critical infrastructure sectors in the US and how the same techniques could be applied worldwide. | GCHQの一部である国立サイバー・セキュリティ・センターは、国際的なパートナーとともに、新しい共同勧告の中で、最近の活動が米国の重要インフラ部門のネットワークを標的にしていること、同じ手法が世界中で適用されうることを強調している。 |
The actor has been observed taking advantage of built-in network administration tools on targets’ systems to evade detection after an initial compromise. | この行為者は、最初の侵害の後、検出を回避するために、標的のシステムに組み込まれたネットワーク管理ツールを利用することが観察されている。 |
The advisory provides technical indicators of compromise and examples of techniques deployed by the actor to help network defenders identify the malicious activity. | この勧告では、ネットワーク防御者が悪意のある活動を特定できるように、侵害の技術的指標と行為者が展開した技術の例を示している。 |
Paul Chichester, NCSC Director of Operations, said: | NCSCのオペレーションディレクターであるPaul Chichesterは、次のように述べている: |
“It is vital that operators of critical national infrastructure take action to prevent attackers hiding on their systems, as described in this joint advisory with our international partners. | 「重要な国家インフラの運用者は、国際的なパートナーとの共同勧告に記載されているように、攻撃者がシステムに潜伏するのを防ぐための行動を取ることが極めて重要である。」 |
“We strongly encourage providers of UK essential services to follow our guidance to help detect this malicious activity and prevent persistent compromise.” | 「この悪意のある活動を検知し、持続的な侵害を防ぐために、英国の重要なサービスを提供するプロバイダーが我々の指針に従うことを強く推奨する。」 |
The advisory has been jointly issued by the NCSC, the US National Security Agency (NSA), the US Cybersecurity and Infrastructure Security Agency (CISA), the US Federal Bureau of Investigation (FBI), the Australian Signals Directorate’s Australian Cyber Security Centre (ACSC), the Communications Security Establishment’s Canadian Centre for Cyber Security (CCCS), and the New Zealand National Cyber Security Centre (NCSC-NZ). | この勧告は、NCSC、米国国家安全保障局(NSA)、米国サイバーセキュリティ・基盤セキュリティ局(CISA)、米国連邦捜査局(FBI)、オーストラリア信号局(ACSC)、通信セキュリティ確立局(CCCS)、ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)によって共同発表されている。 |
The advisory can be found on the NSA's website. | この勧告は、NSAのウェブサイトで見ることができる。 |
The NCSC has published a range of guidance to help critical national infrastructure organisations protect themselves online. This includes the Cyber Assessment Framework (CAF), which is designed to help organisations effectively manage cyber risk. | NCSCは、重要な国家インフラ組織がオンラインで自らを保護するためのさまざまなガイダンスを発表している。これには、組織がサイバーリスクを効果的に管理できるように設計されたサイバーアセスメントフレームワーク(CAF)が含まれている。 |
Australia
Australian Cyber Security Centre; ACSC
・2023.05.25 People’s Republic of China (PRC) State-Sponsored Cyber Actor Living Off the Land to Evade Detection
People’s Republic of China (PRC) State-Sponsored Cyber Actor Living Off the Land to Evade Detection | 中華人民共和国(PRC)の国家支援型サイバーアクター、探知を逃れるために現地調達活動をおこなっている。 |
Background / What has happened? | 背景/何が起こったのか? |
In May 2023, the Australian Signals Directorate’s Australian Cyber Security Centre (ACSC) , in conjunction with the US NSA, the US Cybersecurity and Infrastructure Security Agency (CISA), the US Federal Bureau of Investigation (FBI), the Communications Security Establishment’s Canadian Centre for Cyber Security (CCCS), the New Zealand National Cyber Security Centre (NCSC-NZ) and the United Kingdom National Cyber Security Centre (NCSC-UK), released the Cybersecurity Advisory “People’s Republic of China State-Sponsored Cyber Actor Living Off the Land to Evade Detection”. | 2023年5月、オーストラリア信号総局のオーストラリア・サイバーセキュリティセンター(ACSC)は、米国NSA、米国サイバーセキュリティ・インフラセキュリティ局(CISA)、米国連邦捜査局(FBI)、通信セキュリティ確立のカナダサイバーセキュリティセンター(CCCS)と連携している、 ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)および英国国家サイバーセキュリティセンター(NCSC-UK)は、サイバーセキュリティ勧告「中華人民共和国 国家支援型サイバーアクターは探知を逃れるために現地調達型対応をする」を発表した。 |
This advisory highlights a recently-discovered cluster of activity affecting networks across US critical infrastructure sectors, and provides threat hunting advice and best practices for network defenders to detect related activity. | 本勧告は、最近発見された米国の重要インフラ部門のネットワークに影響を与える活動群を取り上げ、ネットワーク防御者が関連活動を検出するための脅威捕捉のアドバイスとベストプラクティスを提供する。 |
The advisory details the tactics, techniques and procedures (TTPs) employed by the threat actor, which primarily involve the use of built-in Windows tools on compromised hosts to achieve their objectives. This is known as “living off the land”, and allows the actor to evade detection by blending in with normal Windows system and network activity, and avoid triggering security alerts by installing new tools. | この勧告では、脅威行為者が採用した戦術、技術、手順(TTPs)について詳述しており、その主な内容は、目的を達成するために侵害したホスト上のWindows内蔵ツールを使用することである。これは「現地調達」と呼ばれ、通常のWindowsシステムおよびネットワークの活動に紛れ込むことで検知を回避し、新しいツールをインストールすることでセキュリティ警告の発生を回避することが可能である。 |
The authoring agencies assess there is significant risk these TTPs could be employed by the actor against CI and other sectors worldwide. | 作成者は、これらのTTPが、世界中のCIおよびその他のセクターに対して行為者によって使用される可能性があるという重大なリスクがあると評価している。 |
Mitigation / How do I stay secure? | 緩和策/安全性を保つにはどうすればよいか? |
Given the potential threat to CI sectors outside the US, the ACSC strongly encourages Australian organisations to review the advisory, reported TTPs and indicators of compromise (IOCs) and investigate their networks for signs of potential malicious activity. By design, “living off the land” is intended to resemble legitimate system and network activity, so any findings should not be assumed malicious without further investigation. | 米国外の情報通信部門に対する潜在的な脅威を考慮し、ACSCはオーストラリアの組織に対し、勧告、報告されたTTPおよび侵害の指標(IOC)を確認し、潜在的な悪意のある活動の兆候がないかネットワークを調査することを強く推奨している。この「現地調達」は、設計上、正当なシステムやネットワークの活動に似せることを意図しているため、発見した場合は、さらなる調査なしに悪意があると判断してはならない。 |
To maximise opportunities to detect malicious activity, the ACSC recommends Australian organisations review and optimise their logging configurations. Advice to support both the detection and investigation of malicious activity is available at Windows Event Logging and Forwarding. | 悪意のある活動を検知する機会を最大限に増やすため、ACSCはオーストラリアの組織がロギング設定を見直し、最適化することを推奨している。悪意のある活動の検出と調査の両方をサポートするアドバイスは、Windows Event Logging and Forwardingで入手できる。 |
For further information, please see: | 詳細については、こちらを参照のこと: |
・People's Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection advisory | ・中華人民共和国の国家支援によるサイバーアクターは、探知を逃れるために現地調達型対応をする。 |
・Volt Typhoon targets US critical infrastructure with living-off-the-land techniques | ・Volt Typhoon、現地調達技術で米国の重要インフラを狙う |
Assistance / Where can I go for help? | アシスタンス/どこに相談すればいいのか? |
In addition to reviewing the advisory, which contains an overview of actor TTPs, and detection and mitigation recommendations, the ACSC also recommends that all Australian critical infrastructure entities remain vigilant and continue to secure and monitor their networks for evidence of targeting or compromise. | ACSCは、行為者のTTPの概要、検知と緩和の推奨事項を含む勧告を確認することに加え、オーストラリアのすべての重要インフラ事業体が警戒を怠らず、標的や侵害の証拠がないかネットワークの安全確保と監視を継続することを推奨している。 |
The ACSC is monitoring the situation and is able to provide advice and assistance as required. If you find evidence of targeting or compromise, please report it to the ACSC via 1300 CYBER1 (1300 292 371), or [web] | ACSCは状況を監視しており、必要に応じてアドバイスや支援を提供することが可能である。標的型攻撃や侵害の証拠を見つけた場合は、1300 CYBER1(1300 292 371)または[web] 、ACSCにご報告ください。 |
Canada
● Canadian Centre for Cyber Security; CCCS
Alert - People's Republic of China state-sponsored cyber actor living off the land to evade detection - Joint cybersecurity advisory | 注意喚起 - 中華人民共和国の国家支援によるサイバーアクターは、探知を逃れるために現地調達型対応をしている - 共同サイバーセキュリティ勧告 |
Audience | 想定読者 |
This Alert is intended for IT professionals and managers of notified organizations. | この注意喚起は、IT専門家および通知された組織の管理者を対象としている。 |
Purpose | 目的 |
An Alert is used to raise awareness of a recently identified cyber threat that may impact cyber information assets, and to provide additional detection and mitigation advice to recipients. The Canadian Centre for Cyber Security ("Cyber Centre") is also available to provide additional assistance regarding the content of this Alert to recipients as requested. | 注意喚起は、サイバー情報資産に影響を与える可能性のある最近確認されたサイバー脅威に対する認識を高め、取得者に追加の検知および軽減の勧告を提供するために使用されます。また、カナダ・サイバーセキュリティセンター(以下、「サイバーセンター」)は、取得者の要望に応じて、本注意喚起の内容に関する追加支援を提供することができる。 |
Details | 詳細 |
On May 24, 2023, the Canadian Centre for Cyber Security joined cyber security partners from US agencies, the Australian Cyber Security Centre (ACSC), New Zealand’s National Cyber Security Centre (NCSC-NZ) and the United Kingdom’s National Cyber Security Centre (NCSC-UK) to publish a joint Cybersecurity Advisory (CSA) providing an overview of activity by a People’s Republic of China state-sponsored cyber actor. Footnote1 | 2023年5月24日、カナダ・サイバーセキュリティセンターは、米国機関、オーストラリア・サイバーセキュリティセンター(ACSC)、ニュージーランド国家安全保障センター(NCSC-NZ)、英国国家サイバーセキュリティセンター(NCSC-UK)のサイバーセキュリティパートナーと共同で、中国人民共和国の国家支援によるサイバー行為者の活動概要を示すサイバーセキュリティ勧告(CSA)を公表した。 脚注1 |
The Cyber Centre is highlighting the advisory as it provides detection and mitigation recommendations for system owners and operators to better protect themselves from this cyber actor. | サイバーセンターは、この勧告が、システム所有者と運用者がこのサイバー行為者からよりよく身を守るための検出と緩和の推奨事項を提供していることから、この勧告を強調している。 |
Should activity matching the content of this alert be discovered, recipients are encouraged to report via the My Cyber Portal, or email [mail]. | この勧告の内容と一致する活動を発見した場合、取得者はMy Cyber Portalを通じて報告するか、電子メール(mail)で報告することが推奨される。 |
References | 参考資料 |
Footnote 1 | 脚注1 |
People's Republic of China state-sponsored cyber actor living off the land to evade detection - Joint cybersecurity advisory (PDF) | 中華人民共和国の国家が支援するサイバーアクターは、検出を逃れるために現地調達型対応をする - 共同サイバーセキュリティ勧告 (PDF) |
New Zealand
● National Cyber Security Centre - New Zealand; NCSC-NZ
・2023.05.25 Joint Advisory: PRC cyber actor targeting US critical infrastructure – Guidance to assist detection
Joint Advisory: PRC cyber actor targeting US critical infrastructure – Guidance to assist detection | 共同勧告 米国の重要インフラを狙うPRCのサイバーアクター - 検出を支援するガイダンス |
The National Cyber Security Centre (NCSC) has joined international partners in publishing a technical advisory to highlight malicious cyber activity associated with a People’s Republic of China (PRC) state-sponsored cyber actor. | 国立サイバー・セキュリティ・センター(NCSC)は、国際的なパートナーとともに、中華人民共和国(PRC)の国家に支援されたサイバー行為者に関連する悪質なサイバー活動を強調する技術勧告を発表した。 |
The activity has been observed affecting networks across United States critical infrastructure sectors and the techniques described could be used to impact other sectors. | この活動は、米国の重要なインフラストラクチャー分野のネットワークに影響を与えることが確認されており、説明されている技術は、他の分野への影響にも使用される可能性があります。 |
One of the actor’s primary tactics, techniques, and procedures (TTPs) is living off the land, which uses a systems built-in network administration tools to achieve malicious objectives while avoiding detection. | この行為者の主な戦術、技術、手順(TTP)の1つは、システム内蔵のネットワーク管理ツールを使用して、検知を回避しながら悪意のある目的を達成する「現地調達」である。 |
The NCSC had published this advisory to provide New Zealand critical infrastructure operators and cyber defenders with information that will enable them to detect this activity. | NCSCは、ニュージーランドの重要インフラ事業者やサイバー防衛者がこの活動を検出できるようにするための情報を提供するために、この勧告を発表した。 |
The NCSC will also be using its own cyber defence resources, including its Malware Free Networks capability, to support New Zealand organisations’ efforts to detect and disrupt this activity. | また、NCSCは、マルウェアフリーネットワークス機能を含む独自のサイバー防衛リソースを使用して、この活動を検出し破壊するためのニュージーランド組織の努力を支援する予定である。 |
If organisations identify malicious activity as a result of reviewing the information in this advisory, they should contact the National Cyber Security Centre. | この勧告の情報を検討した結果、組織が悪意のある活動を発見した場合は、国立サイバー・セキュリティ・センターに連絡する必要があります。 |
Joint Cybersecurity Advisory: PRC State-Sponsored Cyber Actor Living off the Land to Evade Detection [PDF, 723 KB] | サイバーセキュリティに関する共同勧告 検出を逃れるために現地調達をするPRC国家支援型サイバーアクター [PDF, 723 KB]. |
« 米国 FedRAMP Rev. 5 Baselinesを公表、そして認定は300を超えている... (2023.05.30) | Main | 米国 CISA FBI NSA イスラエル リモートアクセスソフトウェアのセキュリティ確保のためのガイド (2023.06.06) »
Comments