Five Eyes ドイツ 韓国 日本が、共同で、中華人民共和国（PRC）国家安全保障省 APT40 Tradecraft in Actionのガイダンスを公表...

こんにちは、丸山満彦です。

いつものFive Eyesに加えて、ドイツ、韓国、日本も共同署名に加わって、中華人民共和国（PRC）国家安全保障省 APT40に関するガイダンスを公表していますね...

国際連携の良い例が増えてきていますね...

 

● Australian Signals Directorate - Australian Cyber Security Centre 

・2024.07.09 APT40 Advisory PRC MSS tradecraft in action

・[PDF] 

 

● U.S. CISA

・2024.07.08 People’s Republic of China (PRC) Ministry of State Security APT40 Tradecraft in Action AA24-190A

途中までですが...

Background	背景
This advisory, authored by the Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC), the United States Cybersecurity and Infrastructure Security Agency (CISA), the United States National Security Agency (NSA), the United States Federal Bureau of Investigation (FBI), the United Kingdom National Cyber Security Centre (NCSC-UK), the Canadian Centre for Cyber Security (CCCS), the New Zealand National Cyber Security Centre (NCSC-NZ), the German Federal Intelligence Service (BND) and Federal Office for the Protection of the Constitution (BfV), the Republic of Korea’s National Intelligence Service (NIS) and NIS’ National Cyber Security Center, and Japan’s National Center of Incident Readiness and Strategy for Cybersecurity (NISC) and National Police Agency (NPA)—hereafter referred to as the “authoring agencies”—outlines a People’s Republic of China (PRC) state-sponsored cyber group and their current threat to Australian networks. The advisory draws on the authoring agencies’ shared understanding of the threat as well as ASD’s ACSC incident response investigations.	この勧告は、オーストラリア信号総局のオーストラリア・サイバーセキュリティ・センター（ASD's ACSC）、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）、米国国家安全保障局（NSA）、米国連邦捜査局（FBI）、英国国家サイバーセキュリティセンター（NCSC-UK）、カナダ・サイバーセキュリティセンター（CCCS）、ニュージーランド国家サイバーセキュリティセンター（NCSC-NZ）、 ドイツ連邦情報局（BND）および連邦憲法保護局（BfV）、大韓民国国家情報院（NIS）およびNISの国家サイバーセキュリティセンター、日本の国家サイバーセキュリティセンター（NISC）および警察庁（警察庁）-以下「認可機関」と呼ぶ）によるもので、中華人民共和国（PRC）の国家が支援するサイバー・グループと、オーストラリアのネットワークに対する彼らの現在の脅威について概説している。この勧告は、ASDのACSCインシデント対応調査だけでなく、認可機関が共有する脅威の理解に基づいている。
The PRC state-sponsored cyber group has previously targeted organizations in various countries, including Australia and the United States, and the techniques highlighted below are regularly used by other PRC state-sponsored actors globally. Therefore, the authoring agencies believe the group, and similar techniques remain a threat to their countries’ networks as well.	PRCの国家に支援されたサイバーグループは、以前オーストラリアや米国を含む様々な国の組織を標的にしており、以下に強調されているテクニックは、他のPRCの国家に支援されたアクターによって世界的に定期的に使用されている。したがって、認可機関は、このグループと類似の技術は、自国のネットワークにとっても脅威であり続けると信じている。
The authoring agencies assess that this group conduct malicious cyber operations for the PRC Ministry of State Security (MSS). The activity and techniques overlap with the groups tracked as Advanced Persistent Threat (APT) 40 (also known as Kryptonite Panda, GINGHAM TYPHOON, Leviathan and Bronze Mohawk in industry reporting). This group has previously been reported as being based in Haikou, Hainan Province, PRC and receiving tasking from the PRC MSS, Hainan State Security Department.[1]	認可機関は、このグループが中国国家安全部（MSS）のために悪意のあるサイバー作戦を行っていると評価している。その活動や手法は、Advanced Persistent Threat (APT) 40（業界の報告では、Kryptonite Panda、GINGHAM TYPHOON、Leviathan、Bronze Mohawkとしても知られている）として追跡されているグループと重複している。このグループは以前、中国海南省海口市を拠点とし、中国海南省国家安全保障局（MSS）から任務を受けていると報告されている[1]。
The following Advisory provides a sample of significant case studies of this adversary’s techniques in action against two victim networks. The case studies are consequential for cybersecurity practitioners to identify, prevent and remediate APT40 intrusions against their own networks. The selected case studies are those where appropriate remediation has been undertaken reducing the risk of re-exploitation by this threat actor, or others. As such, the case studies are naturally older in nature, to ensure organizations were given the necessary time to remediate.	以下の勧告は、2つの被害者ネットワークに対するこの敵対者のテクニックの重要なケーススタディのサンプルを提供する。これらのケーススタディは、サイバーセキュリティの実務者が自社のネットワークに対する APT40 の侵入を識別し、防止し、是正するために必要なものである。選ばれたケーススタディは、この脅威行為者や他の脅威行為者による再侵略のリスクを低減するために、適切な修復が行われたものである。そのため、組織が修復に必要な時間を確保できるよう、ケーススタディは当然ながら古いものとなっている。
To download the PDF version of this report, visit the following link, APT40 Advisory.	本レポートのPDF版をダウンロードするには、以下のリンク「APT40 Advisory」を参照のこと。
Activity Summary	活動の概要
APT40 has repeatedly targeted Australian networks as well as government and private sector networks in the region, and the threat they pose to our networks is ongoing. The tradecraft described in this advisory is regularly observed against Australian networks.	APT40は、オーストラリアのネットワークだけでなく、この地域の政府および民間セクターのネットワークを繰り返し標的にしており、彼らが我々のネットワークに与える脅威は現在も続いている。この勧告に記載されている手口は、オーストラリアのネットワークに対して定期的に観測されている。
Notably, APT40 possesses the capability to rapidly transform and adapt exploit proof-of-concept(s) (POCs) of new vulnerabilities and immediately utilize them against target networks possessing the infrastructure of the associated vulnerability. APT40 regularly conducts reconnaissance against networks of interest, including networks in the authoring agencies’ countries, looking for opportunities to compromise its targets. This regular reconnaissance postures the group to identify vulnerable, end-of-life or no longer maintained devices on networks of interest, and to rapidly deploy exploits. APT40 continues to find success exploiting vulnerabilities from as early as 2017.	特筆すべきは、APT40 が新たな脆弱性の概念実証（POC）を迅速に変換・適応させ、関連する脆弱性のインフラを保有する標的ネットワークに対して即座に利用する能力を有していることである。APT40は、認可機関の国のネットワークを含む関心のあるネットワークに対して定期的に偵察を行い、標的を侵害する機会を狙っている。このような定期的な偵察により、APT40のグループは、対象ネットワーク上の脆弱性、使用済みデバイス、保守が終了したデバイスを特定し、エクスプロイトを迅速に展開できる体制を整えている。APT40は、早ければ2017年から脆弱性を悪用することに成功し続けている。
APT40 rapidly exploits newly public vulnerabilities in widely used software such as Log4J (CVE-2021-44228), Atlassian Confluence (CVE-2021-31207, CVE-2021-26084) and Microsoft Exchange (CVE-2021-31207, CVE-2021-34523, CVE-2021-34473). ASD’s ACSC and the authoring agencies expect the group to continue using POCs for new high-profile vulnerabilities within hours or days of public release.	APT40は、Log4J (CVE-2021-44228)、Atlassian Confluence (CVE-2021-31207、CVE-2021-26084)、Microsoft Exchange (CVE-2021-31207、CVE-2021-34523、CVE-2021-34473)など、広く使用されているソフトウェアの新たに公開された脆弱性を迅速に悪用している。ASDのACSCと認可機関は、公開後数時間から数日以内に、新たな注目度の高い脆弱性のPOCを使用し続けることを期待している。
Figure 1: TTP Flowchart for APT40 activity	図1：APT40活動のTTPフローチャート
This group appears to prefer exploiting vulnerable, public-facing infrastructure over techniques that require user interaction, such as phishing campaigns, and places a high priority on obtaining valid credentials to enable a range of follow-on activities. APT40 regularly uses web shells [T1505.003] for persistence, particularly early in the life cycle of an intrusion. Typically, after successful initial access APT40 focuses on establishing persistence to maintain access on the victim’s environment. However, as persistence occurs early in an intrusion, it is more likely to be observed in all intrusions—regardless of the extent of compromise or further actions taken.	このグループは、フィッシングキャンペーンのようなユーザーとのやり取りを必要とする手法よりも、脆弱性のある一般公開されたインフラを悪用することを好むようで、さまざまな後続の活動を可能にするために有効な認証情報を取得することに高い優先順位を置いている。APT40は、特に侵入のライフサイクルの初期段階において、ウェブシェル[T1505.003]を定期的に使用して持続性を高めている。通常、APT40は初期アクセスに成功した後、被害者の環境へのアクセスを維持するために永続性を確立することに重点を置く。しかし、永続性は侵入の初期に発生するため、侵害の程度やその後の行動に関係なく、すべての侵入で観察される可能性が高い。
Notable Tradecraft	注目すべき手口
Although APT40 has previously used compromised Australian websites as command and control (C2) hosts for its operations, the group have evolved this technique [T1594].	APT40 は以前、侵害されたオーストラリアのウェブサイトをコマンド・アンド・コントロール（C2）ホストとして使用していたが、同グループはこの手法を進化させてきた [T1594]。
APT40 has embraced the global trend of using compromised devices, including small-office/home-office (SOHO) devices, as operational infrastructure and last-hop redirectors [T1584.008] for its operations in Australia. This has enabled the authoring agencies to better characterize and track this group’s movements.	APT40 は、小規模オフィス/ホームオフィス（SOHO）デバイスを含む侵害されたデバイスを、運用インフラおよびラストホップリダイレクト [T1584.008] として使用するという世界的な傾向を、オーストラリアでの活動に取り入れている。これによって認可機関は、このグループの動きをよりよく特徴付け、追跡することができるようになった。
Many of these SOHO devices are end-of-life or unpatched and offer a soft target for N-day exploitation. Once compromised, SOHO devices offer a launching point for attacks that is designed to blend in with legitimate traffic and challenge network defenders [T1001.003].	これらのSOHOデバイスの多くは、使用済みであったり、パッチが適用されていなかったりするため、N-dayの悪用の格好の標的となっている。いったん侵害されると、SOHO デバイスは、正当なトラフィックに紛れ込み、ネットワーク防御者に挑戦するように設計された攻撃の出発点を提供する [T1001.003]。
This technique is also regularly used by other PRC state-sponsored actors worldwide, and the authoring agencies consider this to be a shared threat. For additional information, see joint advisories People’s Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices and PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure.	このテクニックは、世界中の他のPRC国家支援行為者にも定期的に使用されており、認可機関はこれを共有の脅威とみなしている。追加情報については、共同勧告「中華人民共和国国家支援サイバー行為者がネットワーク・プロバイダおよびデバイスを悪用」および「中華人民共和国国家支援行為者が米国の重要インフラを侵害し、持続的なアクセスを維持」を参照のこと。
APT40 does occasionally use procured or leased infrastructure as victim-facing C2 infrastructure in its operations; however, this tradecraft appears to be in relative decline.	APT40は、時折、調達またはリースされたインフラを、被害者向けのC2インフラとして使用することがあるが、この手口は相対的に減少しているようである。

 

● NISC

・2024.07.09 国際アドバイザリー「APT40 Advisory PRC MSS tradecraft in action」に署名しました

・[PDF]

 

● 警察庁

・2024.07.09 豪州主導のAPT40グループに関する国際アドバイザリーへの共同署名について

・[PDF] 報道発表資料

 

 仮訳が追って公表されるようです...