Cadet Blizzardの活動検出：新しいロシア関連の国家支援の脅威アクターDEV-0586の登場

ロシアによるウクライナへの本格的な侵略が始まって以来、攻撃者はウクライナとその同盟国に対する複数のサイバー攻撃を仕掛け、国家が支援するハッキング集団がサイバー脅威の場で増加し再登場しています。紛争中、ロシアの攻撃部隊は2100以上の攻撃をさまざまなレベルの洗練度と影響力で開始し、敵対者の多様なツールとTTPを試しサイバー防御者に超応答性を求めています。サイバーセキュリティの研究者は、最近、Cadet Blizzardと呼ばれる新たなロシア国家支援のハッキンググループの悪意のある活動を明らかにし、DEV-0586と追跡されています。このグループは、破壊的な攻撃に利用することで有名な WhisperGate マルウェア.

Cadet Blizzard こと DEV-0586 の悪意ある活動を検出する 

ウクライナは、ロシアの国家支援者が使用する新しいTTPのテストフィールドとしてますます利用されており、世界的に攻撃を拡大しようとする悪意ある相手にとってのサイバー前線を担っています。CERT-UAおよびSSSCIPと直接協力することで、SOC Primeチームは、リアルな戦場でSigmaルールの研究、開発、テストを行い、関連する検出アルゴリズムを集約し、SOC Primeのプラットフォームを通じて世界的な協力を促進しています。

新たなCadet Blizzard APTは世界中のセキュリティ研究者の注目を集めていますが、このグループはCERT-UAがUAC-0056として追跡した悪意のあるアクターと多くの共通点があります。このハッキング集団は 2022-2023年を通じてウクライナのインフラを継続的に攻撃しています. 

Cadet BlizzardのTTPに対応するキュレーションされた検出コンテンツをサイバーセキュリティの専門家に提供するために、SOC Primeプラットフォームでは、可能な侵入に対する積極的なサイバー防御を可能にする専用のSigmaルールと高度なツールのセットを提供します。すべてのルールは25以上のSIEM、EDR、およびXDRソリューションと互換性があり、 MITRE ATT&CK® フレームワーク v12にマッピングされており、セキュリティの専門家が調査や脅威ハンティング操作を効率化できるようにします。

下の 検出を探索する ボタンを押して、Cadet Blizzard攻撃の検出を目的としたSigmaルールのバンドルにすぐに掘り下げることができます。すべてのルールには、ATT&CKやCTIの参照を含む広範なメタデータが付属しています。コンテンツ検索を簡素化するために、SOC Primeはグループ識別子に基づいて「Cadet Blizzard」と「DEV’0586」というタグでフィルタリングをサポートしています。

検出を探索する

Cadet Blizzardとは誰か？

2023年6月14日、 Microsoft Threat Intelligent Teamは、 Cadet BlizzardまたはDEV-0586として識別された新しいロシア国家支援のハッキング集団の活動をカバーするレポートを発表しました。研究者たちは、過去1年間にわたるグループの悪意ある活動を分析し、その攻撃能力とTTPについての洞察を深めました。Cadet Blizzardは、GRU（ロシア軍情報総局）にスポンサーされています。この集団は、Forest Blizzard（STRONTIUM）やSeashell Blizzard（IRIDIUM）など、GRUに関連する似たようなハッキング集団と共通点がありますが、それらと類似しているにもかかわらず、Cadet Blizzardは独自のGRU接続のハッキンググループと見なされ、ウクライナに対する破壊的なサイバー攻撃の背後にいる可能性が高いです。Cadet Blizzardの脅威役者は、 WhisperGate破壊型データワイピングマルウェア の展開に関連していると考えられ、ロシアの全面的な侵略のわずか1ヶ月前にウクライナの国家機関のITインフラに影響を及ぼしました。 

2023年2月末、CERT-UAの研究者は、 DEV-0586脅威アクター、またUAC-0056として追跡もされている悪意のある活動についてサイバー防御者に通知する警告を発行しました。そこで敵は、政府のウェブサイトの安定性を妨害しようとする複数のバックドアを適用しました。対応するCERT-UAの通知に続き、 CISAがアラートを発行 し、侵略者の進行中のサイバー攻撃に関連する脅威に対応して、サイバーセキュリティ意識を高め、サイバービジランスを強化することを目指しました。 

Microsoftの研究によれば、Cadet Blizzardの破壊的な活動は2020年までさかのぼり、主にGRUが主導するサイバースパイ活動と情報収集に焦点を当ててきました。ウクライナのITプロバイダーと国家機関が主なターゲットですが、EU、中央アジア、ラテンアメリカの組織も狙っています。Cadet Blizzardは、影響を受けたネットワークに足場を築き、アクティブな攻撃段階の前に侵害されたユーザーからデータを抽出することが知られています。たとえば、2023年2月に政府のウェブサイトを麻痺させることを目的とした攻撃では、脅威役者は数ヶ月前に仕掛けられたバックドアを利用しました。GRUとの確立されたリンクに追加して、Microsoftの研究者は、少なくとも1つのロシアの民間部門の組織が、Cadet Blizzardの悪意のある活動、WhisperGateキャンペーンを含む、に財政的支援をしていると考えています。

ロシアがウクライナに全面的に侵攻する前に、DEV-0586の脅威役者は2021年春半ばに東欧の政府機関や技術組織を標的にしていることが観察され、攻撃の範囲を段階的に拡大しています。

Cadet Blizzardの悪意のあるツールセットは非常に幅広く、ライビングオフランド技術、ConfluenceとExchangeサーバーの脆弱性に対するエクスプロイト、ProxyShellエクスプロイト、ウェブシェルなどのさまざまな永続化メカニズム、エクスプロイトキット、カスタムマルウェア、一般的なマルウェアサンプルを組み合わせています。通常、サイバースパイ活動を行うためにレーダーの下を潜り抜けることを好むロシアの国家支援者の大部分とは異なり、Cadet Blizzardは、関心のある対象に対して公の反響を引き起こし、シグナルとして作用することを意図した純粋に破壊的な作戦を開始しました。敵は、たとえばMicrosoft Defender Antivirusを無効化する能力を持つ悪意のあるサンプルを適用することにより、反フォレンジック技術を活用します。これによりグループの活動を検出するのが困難になる可能性があります。

Cadet Blizzardの悪意のある活動に関連する脅威を軽減するために、サイバー防御者はMFAとクラウドデリバードプロテクションを有効にし、潜在的なシステム侵害を防ぐためにリモートアクセスインフラのすべての認証アクティビティをチェックし、サイバーハイジーンを改善するための業界ベストプラクティスに従うことを推奨しています。

すべての可能な脆弱性情報（CVE）や進行中のサイバー攻撃で使用されるいかなるTTPに対しても、検出コンテンツが完全に備わっていることを保証するために、SOC Primeに依存してください。世界で最速のセキュリティニュース配信、各種脅威インテリジェンス、および継続的に新しい検出アイデアで強化される10,000を超えるSigmaルールの最大のキュレーションリポジトリにアクセスしてください。強化されたインテリジェンスと集団的な業界専門知識の力を利用して、どんなセキュリティチームメンバーにも高度な検出エンジニアリングのための究極のツールを装備させ、盲点を特定し、それにタイムリーに対処して、組織固有のログに基づいて脅威のフル可視性を確保してください。登録する SOC Prime プラットフォーム 今すぐ登録し、明日の安全を確保するために最適なツールを使ってセキュリティチームを強化してください。