イランのハッカーに関連するブルートフォースと資格情報アクセス活動の検出：FBI、CISA、およびパートナーが重要インフラ組織に対する攻撃の増加を防御者に警告

2024年夏の終わりに、FBI、国防総省、及びCISAは、イラン系の敵対者として知られる勢力による活動の増加についてサイバーセキュリティの専門家に警告する合同勧告を発行しました。 パイオニア・キトゥン。 米国のサイバーセキュリティ著作機関は国際的なパートナーと協力して、 勧告AA24-290A を最近発表し、イランの脅威アクターがブルートフォース攻撃と認証情報アクセスを利用して、様々な重要インフラセクターの組織を侵害する攻撃活動の増加について解説しています。イランに関連する敵対者は、さらなるアクセスを促進するためにサイバー犯罪者に販売可能な認証情報とネットワーク情報を盗むことを目的としています。

AA24-290A CISA勧告で述べられているイランのハッカーによるサイバー攻撃の検出

2024年には、イラン、中国、北朝鮮、ロシアを含む様々な地域のAPTグループが動的かつ革新的な攻撃能力の著しい増加を示しました。イラン支援のハッカーは、最も手強いAPT脅威の一つとして認識されており、持続的な攻撃戦略を通じてグローバルなサイバーセキュリティ環境に重要な課題をもたらしています。米国国家機関と国際パートナーによる最新のAA24-290A勧告は、イラン国家支援の敵対者による認証情報アクセスとブルートフォース攻撃の増加を警告し、政府、ヘルスケア、エネルギーを含む世界的な重要インフラセクターが直面するリスクの高まりを強調しています。

攻撃の雪崩を抑えるためには、セキュリティ専門家は SOCプライムプラットフォーム を利用して、先進の脅威検知、AIによる検知エンジニアリング、自動化された脅威ハンティングのための完全な製品スイートで集合的なサイバー防御に貢献できます。プラットフォームユーザーは、24時間SLAでリリースされる最新の脅威情報とキュレーションされた検出ルールにアクセスすることができます。

「 検出を探索 」ボタンを押下して、AA24-290A勧告で述べられたTTPsに対処する専用のSigmaルールスタックを即座に展開します。すべてのSigmaルールは、 MITRE ATT&CK®フレームワークにマッピングされ、カスタマイズされたインテリジェンスで強化され、30以上のSIEM、EDR、およびデータレイク言語フォーマットに変換可能です。代わりに、サイバー防御者は「AA24-290A」タグを使用して、脅威検出マーケットプレイスでカスタマイズされた検索を行うことができます。

検出を探索

セキュリティエンジニアは、また、 Uncoder AI を利用して、対応する勧告からのIOCを特定のSIEM、EDR、およびデータレイク言語と一致するカスタムクエリに瞬時に変換することにより、IOCパッケージングと逆探索を加速できます。

AA24-290Aアラートでカバーされるイラン関連活動分析

最新の セキュリティ勧告AA24-290A は、FBI、CISA、NSAを含む米国の主導的執筆組織及び国際パートナーから発行され、イランのハッキンググループによる大規模な攻撃的作戦からの増大するリスクについて防御者に通知します。敵は複数のブルートフォース攻撃技術と認証情報アクセス活動を適用して、ヘルスケア、政府、IT、エンジニアリング、エネルギーを含む重要インフラ組織をターゲットにしています。

2024年秋の中頃から、イランのハッカーは、パスワードスプレーやMFA「プッシュ爆撃」といったブルートフォース技術を用いて、ユーザーアカウントを侵害し、組織にアクセスしています。彼らはネットワーク偵察を行い、さらなるアクセスポイントを提供できるより多くの認証情報と情報を収集しました。機関は、イランのアクターがこの情報をサイバー犯罪者フォーラムで販売し、他者が更なる悪意のある活動に使用するかもしれないと信じています。

ターゲットネットワークにアクセスを得た後、イラン関連の敵対者は、追加の認証情報を収集し、権限を昇格し、組織のシステムとネットワークについて情報を収集するための様々な方法を採用しました。また、ネットワーク内を横移動し、他のハッカーがさらなるアクセスや搾取に役立つデータをダウンロードしました。

敵は、しばしばパスワードスプレーのようなブルートフォース手法で取得した正規のユーザー、グループのメールアカウントを使用して、初期のアクセスをMicrosoft 365、Azure、Citrixシステムに対して得ました。彼らは、ユーザーが承認するまでプッシュ通知を繰り返すことで「MFA疲労」を利用しました。一度内部に入ると、彼らは自身のデバイスをMFAで登録し、アクセスを確保しました。いくつかのケースでは、彼らはオープンなMFA登録を利用したり、自身でのパスワードリセットツールを使用して、期限切れのアカウントをリセットし、MFAを有効にしました。彼らの活動には多くのIPアドレスがプライベートインターネットアクセスVPNサービスにリンクされているVPNも含んでいました。

イランのハッカーは、横移動にRDPを利用し、Kerberos SPN列挙やActive Directory Microsoft Graph APIを介したディレクトリダンプといったオープンソースツールやメソッドを使用して認証情報を収集しました。また、パスワードスプレー用のDomainPasswordSpray.ps1やCmdkeyを使用して、ユーザー名と認証情報を表示しました。権限昇格のために、敵はネファリウスなZerologon脆弱性として追跡される CVE-2020-1472.

を利用してドメインコントローラーの偽装を試みました。また、攻撃者はWindowsのコマンドラインツールを利用して、ドメインコントローラー、信頼されたドメイン、ドメイン管理者、企業管理者に関する情報を収集しました。彼らはPowerShellでLDAPクエリを実行して、コンピュータ名やOSといったActive Directoryについての詳細を収集しました。いくつかのケースでは、msedge.exeを使用してCobalt Strike Beacon C2インフラに接続した可能性があります。さらに、リモートアクセスや組織のインベントリに関連するファイルをダウンロードし、持続性を維持するため、またはオンラインでデータを販売するためにそれらを流出させたかもしれません。

イラン支援の敵対行動に関係するブルートフォース攻撃と認証情報アクセス操作のリスクを軽減するために、サイバーディフェンダーは、ITヘルプデスクのパスワード管理がユーザー認証とパスワードの強度に関する会社方針に従っていることを確認する、退職スタッフのアカウントを無効にしてシステムの露出を最小化する、フィッシングに耐性があるMFAを実装する、すべての公共プロトコルの設定を定期的に見直す、最新の NISTガイドラインに一致するパスワードポリシーを確認する、Kerberos認証においてRC4を無効にすることを推奨しています。

異なる産業全体での世界的な重要インフラへの増大するリスクを考慮に入れると、イランのハッカーに対抗するための積極的なサイバー防御策を強化することが重要です。 SOCプライムプラットフォーム 集合的なサイバー防御は、先進的な組織にとって、国家支援のAPTグループやランサムウェア関連団体、および最も業務を脅かす攻撃から全面的なセキュリティ保護を確保し、大規模な防御を強化するために、新興及び既存の脅威を積極的に阻止する実用的なソリューションを提供します。