サイバー攻撃速報:EV証明書を悪用する脅威の手口

サイバー攻撃速報:EV証明書を悪用する脅威の手口

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
  1. cybercriminels
    >
  2. 国家アクター

Salt Typhoon

Salt Typhoonまた、Earth Estries、FamousSparrow、GhostEmperor、UNC2286などの別名でも知られる高度持続的脅威(APT)グループは、サイバースパイ活動を専門としています。

検知 Salt TyphoonTTP
貴社はSalt Typhoonの攻撃に対して安全ですか?
背景と目標
TTP
MITREマッピング
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る
背景
国名
産業
被害者

その起源Salt Typhoon

少なくとも2020年以降、このグループは高度に洗練されたサイバースパイ活動を世界的に展開してきた。マルウェアの高度な武器庫とzero-day の脆弱性の悪用で知られるSalt Typhoon は、2023 年には新たな産業、拡大した地域、より攻撃的な戦術を含むようにその範囲を広げています。このAPTグループの武器庫とオペレーションは、ステルス性、持続性、広範な侵害へのコミットメントを示しています。

対象国Salt Typhoon

2023年以来、Salt Typhoon 、世界中の20以上の組織が影響を受けている。影響を受けた国は以下の通り:

  • アジア太平洋地域:アフガニスタン、インド、インドネシア、マレーシア、パキスタン、フィリピン、台湾、タイ、ベトナム。
  • アフリカエスワティニ、南アフリカ
  • アメリカ大陸ブラジル, 米国.

画像ソース トレンドマイクロ

対象産業Salt Typhoon

Salt Typhoon 現在では、テクノロジーコンサルティング化学運輸政府機関非営利団体など、より幅広い業界を対象としており、非常にオポチュニスティックかつ戦略的なアプローチを反映している。

に狙われた被害者Salt Typhoon

被害者は通常、技術革新、防衛、重要な国家インフラに関わる政府機関やハイテク企業などである。標的とされた組織は、一旦侵害されると、しばしば高度なラテラルムーブ戦術に直面します。

攻撃方法

Salt Typhoon攻撃方法

初期アクセス
特権エスカレーション
防御回避
クレデンシャル・アクセス
ディスカバリー
横の動き
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

SMB や Windows Management Instrumentation (WMI) を悪用し、クレデンシャルの窃取malware 感染によって管理者アカウントを侵害します。

広く使われているシステムの脆弱性を突く:

  • Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Sophos Firewall (CVE-2022-3236)
  • Microsoft Exchange(ProxyLogonの脆弱性:CVE-2021-26855など)
基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

DLLのサイドローディングや レジストリ操作などのツールを展開し、システムレベルのアクセスを獲得する。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

GhostSpiderバックドアや、WMIC.exeやPsExecのようなツールを使用した "living-off-the-land "戦術、PowerShellダウングレード攻撃、検知を回避するためのマスカレード技術などの難読化技術を使用します。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

SnappyBee (Deed RAT)のようなステーラーやTrillClientのようなカスタムステーラーを展開し、認証情報やブラウザデータを採取する。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

被害者の環境をマッピングするために、ドメインの信頼性の発見とネットワークの偵察を行う。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

SMB や WMI コマンドを使用してmalware を伝播し、複数のマシンにバックドアを展開する。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

機密性の高いファイル(PDFなど)に焦点を当て、SnappyBeeのような高度なテクニックを使って認証情報やセッショントークンを盗みます。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

Cobalt Strike 、カスタムバックドア(ZingdoorやGhostSpiderなど)、HemiGateを介して悪意のあるペイロードを展開する。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

収集したデータをAnonFilesFile.io、パブリックリポジトリなどの外部サーバーやサービスに転送します。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

各運用ラウンド後に既存のmalware を清掃することにより、持続性を確保し、感染の証拠を除去する。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

SMB や Windows Management Instrumentation (WMI) を悪用し、クレデンシャルの窃取malware 感染によって管理者アカウントを侵害します。

広く使われているシステムの脆弱性を突く:

  • Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Sophos Firewall (CVE-2022-3236)
  • Microsoft Exchange(ProxyLogonの脆弱性:CVE-2021-26855など)
基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

DLLのサイドローディングや レジストリ操作などのツールを展開し、システムレベルのアクセスを獲得する。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

GhostSpiderバックドアや、WMIC.exeやPsExecのようなツールを使用した "living-off-the-land "戦術、PowerShellダウングレード攻撃、検知を回避するためのマスカレード技術などの難読化技術を使用します。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

SnappyBee (Deed RAT)のようなステーラーやTrillClientのようなカスタムステーラーを展開し、認証情報やブラウザデータを採取する。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

被害者の環境をマッピングするために、ドメインの信頼性の発見とネットワークの偵察を行う。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
横の動き

SMB や WMI コマンドを使用してmalware を伝播し、複数のマシンにバックドアを展開する。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション

機密性の高いファイル(PDFなど)に焦点を当て、SnappyBeeのような高度なテクニックを使って認証情報やセッショントークンを盗みます。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行

Cobalt Strike 、カスタムバックドア(ZingdoorやGhostSpiderなど)、HemiGateを介して悪意のあるペイロードを展開する。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

収集したデータをAnonFilesFile.io、パブリックリポジトリなどの外部サーバーやサービスに転送します。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

各運用ラウンド後に既存のmalware を清掃することにより、持続性を確保し、感染の証拠を除去する。

MITRE ATT&CK マッピング

Salt Typhoonが使用するTTP

TA0001: Initial Access
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1574
Hijack Execution Flow
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1134
Access Token Manipulation
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1574
Hijack Execution Flow
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1134
Access Token Manipulation
T1036
Masquerading
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1574
Hijack Execution Flow
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1056
Input Capture
TA0007: Discovery
T1482
Domain Trust Discovery
T1087
Account Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1113
Screen Capture
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
TA0040: Impact
No items found.
プラットフォーム検出

検知 Salt Typhoon Vectra AIを使う方法

Vectra AIプラットフォームで利用可能な、サイバー攻撃を示す検出のリスト。

Hidden DNS Tunnel

Hidden HTTPS Tunnel

M365 DLL Hijacking Activity

Suspicious LDAP Query

Suspicious Remote Desktop Protocol

Suspicious Remote Execution

もっと見る
攻撃の危険性を評価する

よくあるご質問(FAQ)

Salt Typhoon の影響を最も受けるのはどのような産業だろうか?

Salt Typhoon テクノロジーコンサルティング化学運輸政府非営利団体を対象としている。

Salt Typhoon で使われている最新のツールとは?

GhostSpiderバックドアSnappyBeeステアラーDemodexルートキットなどが新たに加わった。

Salt Typhoon はどのようにしてステルス性を維持しているのか?

彼らはLiving off the land技術や、デモデックスのような高度なルートキットを使用する。

どのような脆弱性を突いてくるのか?

最近の悪用には、Ivanti Connect Secure、Sophos Firewall、Microsoft Exchangeの脆弱性が含まれる。

Salt Typhoon どのようにしてデータを流出させるのか?

盗まれたデータは、AnonFilesや File.ioにアップロードされるか、暗号化された電子メールで送信される。

他のグループとつながっているのか?

FamousSparrowのような中国のAPTやその他の政府関連組織と重複している。

組織はどのように検知 。

通常とは異なるPowerShellコマンドDLLのサイドローディングCobalt Strike ビーコンを監視します。

サプライチェーンに対する脅威とは何か?

Salt Typhoon は、請負業者のマシンを悪用し、信頼できるサプライチェーン関係を通じて複数の組織に侵入する。

攻撃を軽減する対策とは?

エンドポイント検出ツールを導入し、パッチ管理を実施し、既知のC&Cパターンのトラフィックを監視する。

インターナショナルレスポンス とは?

増大する脅威を軽減するためには、共同での情報共有と統一戦略が不可欠である。

貴社はSalt Typhoonの攻撃に対して安全ですか?

攻撃の危険性を評価する