Andariel攻撃検知: FBA、CISA、およびパートナー、北朝鮮国営支援グループに関連する世界的なサイバースパイ活動の増加を警告

FBI、CISA、および主要なサイバーセキュリティ当局は、国家支援のハッキンググループとして追跡されている北朝鮮のサイバー諜報活動の増加について警告を発しました。 アンダリエルです。このグループのサイバー諜報活動は、重要なデータや知的財産の収集に関与しており、体制の軍事および核の目標と願望を推進しています。

CISA AA24-207Aアドバイザリに記載されたアンダリエル攻撃の検出

地政学的緊張が世界的に激化する中、近年、国家支援のハッキング集団が増加しています。この傾向は、攻撃者のツールキットの範囲と高度化が進む中、サイバー防御者にとってますます大きな脅威をもたらしています。北朝鮮のAPTグループは、2024年第1四半期において、中国、イラン、ロシアのアクターと並んで最も活動的な集団の一つであり続けています。

AA24-207A CISAアドバイザリで取り上げられた最新のサイバー諜報活動 は、世界中の防衛、核、エンジニアリング資産に関連する機密情報をターゲットにしているアンダリエル（別名オニックススリート）に対する防御の強化をサイバーセキュリティ実務者に促しています。 urges cybersecurity practitioners to enhance their defense against Andariel (aka Onyx Sleet) currently going after sensitive information related to defense, nuclear, and engineering assets worldwide. SOC Primeプラットフォーム には、脅威調査をスムーズにするための高度な脅威検出およびハンティングソリューションと組み合わせた関連する悪意のある活動を特定するための専用シグマルールのコレクションが含まれています。

下の 検出を探る ボタンをクリックするだけで、アンダリエルAPTによる最新のサイバー諜報キャンペーンを見つけるためのカスタマイズされた検出スタックにすぐにアクセスできます。すべてのルールは、30以上のSIEM、EDR、およびデータレイクソリューションと互換性があり、 MITRE ATT＆CK®フレームワークにマップされています。さらに、ルールは、 脅威インテリジェンス の参照、攻撃タイムライン、および推奨事項を含む広範なメタデータで強化されています。

検出を探る

アンダリエルのTTPに対応するルールをさらに探求したいサイバー防御者は、カスタムの「アンダリエル」タグを使って Threat Detection Marketplace を検索するか、 このリンク をフォローして、グループの悪意のある活動に関連するルールのより広範なコレクションにアクセスできます。

AA24-207Aアラートで取り上げられた北朝鮮のグローバルサイバー諜報攻撃分析

2024年7月25日、FBI、CISA、およびパートナーが、新しい共同サイバーセキュリティアドバイザリ AA24-207A を発行し、悪評高い北朝鮮の国家支援グループによる増加するサイバー諜報活動に関連するリスクについて防御者に通知しました。 アンダリエル 別名オニックススリート（PLUTONIUM、DarkSeoul、Stonefly/Clasiopa）は、主に防衛、航空宇宙、核、エンジニアリング機関を標的にして、機密で技術的な情報を収集し、体制の軍事および核プログラムと目標を推進しています。このグループは少なくとも2009年からサイバー脅威界において活動しているとされ、米国および韓国の組織に破壊的な攻撃を行うことから、標的を絞ったサイバー諜報活動およびランサムウェア操作に進化したと考えられます。防御者はこのグループの継続的なサイバー諜報活動を多様なグローバルな産業セクターへの持続的な脅威とみなしています。さらに、北朝鮮の民主主義人民共和国（DPRK）のRGB第3局に関連する攻撃者は、米国の医療機関に対するランサムウェア攻撃を通じて攻撃作戦を資金提供しています。

アンダリエルのアクターは、既知の脆弱性、特に Log4Shellの脆弱性を利用して初期アクセスを取得し、Webシェルを展開して機密情報やアプリケーションにアクセスします。彼らは標準的なシステム検出および列挙テクニックを使用し、スケジュールされたタスクを通じて永続性を確立し、 Mimikatzのようなツールを用いて権限を昇格させます。敵対者は実行、横方向の移動、データ流出のためにカスタムのマルウェアインプラント、RAT、およびオープンソースツールを展開します。アンダリエルが使用するカスタムツールとマルウェアは、任意のコマンドの実行、キーロギング、スクリーンショット作成、ファイルおよびディレクトリの一覧表示、ブラウザ履歴の盗難、C2ノードへのコンテンツアップロードなどの高度な機能を持ち、敵対者が侵害システムへのアクセスを維持することを可能にします。各インプラントには特定のC2ノードが割り当てられています。

敵対者は、システム上でネイティブツールとプロセスを使用することにも長けており、これはLOTLという戦術として知られています。彼らはシステム、ネットワーク、アカウントの列挙のためにWindowsコマンドライン、PowerShell、WMIC、およびLinux bashを利用します。さらに、アンダリエルは、LNKファイルやHTAスクリプトファイルのような悪意のある添付ファイルを使用したフィッシングキャンペーンを実施し、これらはしばしばzipアーカイブに含まれます。

彼らはまた、3Proxy、PLINK、Stunnel、およびカスタムプロキシトンネリングユーティリティのようなトンネリングツールに依存し、ネットワーク内からC2サーバーに様々なプロトコルでトラフィックをルーティングします。このトンネリングは、通常は制限的なネットワーク設定であってもハッカーがC2操作を実行できるようにします。

データ流出については、アンダリエルは主にクラウドストレージや、彼らの主要なC2とは別のサーバーに依存しています。彼らは被害者ネットワークから直接クラウドストレージアカウントにログインし、PuTTYやWinSCPのようなツールを使って、FTPや他のプロトコルを通じて北朝鮮が管理するサーバーにデータを転送することが観察されています。また、侵害されたマシン上で流出用のファイルを中継します。

重要インフラ組織は、北朝鮮国家支援のサイバー諜報攻撃に対して警戒を怠らないことが強く推奨されます。アンダリエルの増加する悪意のある活動のリスクを軽減するために、世界中の組織は、既知の脆弱性に対するパッチを迅速に適用し、Webシェルに対してWebサーバーを保護し、エンドポイントの悪意のある活動を監視し、認証およびリモートアクセス保護を強化するよう促されます。

悪名高い北朝鮮国家支援グループであるアンダリエルに起因する持続的なサイバー諜報攻撃は、世界的に重要インフラ組織をますます危険にさらしています。セキュリティチームが潜在的な侵害をタイムリーに特定し、データ漏洩のリスクを最小限に抑えるために SOC Primeの完全な製品スイート は、AIを活用した検出エンジニアリング、自動脅威ハンティング、検出スタック検証を提供し、組織に集団サイバー防御のためのオールインワンソリューションを装備します。