エナジェティックベア サイバー攻撃検知

[post-views]
10月 26, 2020 · 5 分で読めます
エナジェティックベア サイバー攻撃検知

先週、連邦捜査局 (FBI) とサイバーセキュリティインフラストラクチャセキュリティ庁 (CISA) は共同で セキュリティ勧告を発表しました 新たに発見されたロシア国家支援のサイバー諜報部隊によるサイバー攻撃に関連するものです。Energetic Bear(別名 Dragonfly、Crouching Yeti、TEMP.Isotope、TeamSpy、Berserk Bear、Havex、Koala)は、今回の米国選挙に特に関心を持っています。この9か月間にわたり、このグループは州、地方、領土、部族の政府ネットワークや選挙情報を抱える航空ネットワークに攻撃を加えてきた、と文書に記されています。少なくとも2件のケースでは、彼らの攻撃は成功しています。一部の攻撃は 長い間知られていましたが、ほとんどはセキュリティ研究者の目を逃れていました。 for a long time, but most have passed under the radars of security researchers.

Energetic Bear によって悪用された脆弱性

攻撃中、Energetic Bear は、利用可能なパッチがある比較的新しい脆弱性を悪用し、ネットワーク機器を侵害し、内部ネットワークに侵入し、機密データを発見し流出させました。文書には Citrix ディレクトリトラバーサルバグ (CVE-2019-19781)、Microsoft Exchange リモートコード実行の欠陥 (CVE-2020-0688)、 Fortinet VPN の脆弱性 (CVE-2018-13379)、そして Exim SMTP の脆弱性 (CVE 2019-10149)が挙げられています。攻撃者はまた、 Zerologon 脆弱性を Windows サーバー (CVE-2020-1472) で悪用し、Windows アクティブディレクトリの資格情報を収集し、横移動に使用します。

攻撃を明らかにするための検出コンテンツ

AA20-296A アラートで報告された Energetic Bear 攻撃に対抗するために、ツール、技術、悪用された脆弱性をカバーする最も関連性の高い検出コンテンツの完全なリストを用意しました。すべてのコンテンツは MITRE ATT&CK® フレームワークに直接マッピングされ、関連する参照や説明が含まれています:

報告されたロシア国家支援グループの活動をカバーする SOC コンテンツを表示するには、リンクをフォローしてください:

ご覧のとおり、重大な脆弱性とそれに対する利用可能なエクスプロイトは、先進的な脅威アクターにとって特に興味深いものとなっています。この文書で言及された5つの脆弱性のうち3つは、中国国家支援のアクターによっても積極的に悪用されていると、別の サイバーセキュリティアドバイザリー によれば、NSAが報告しています。AA20-296A アラートで言及されている脆弱性に対応する検出コンテンツの完全なリストを取得してください:

すべての関連する技術、脅威アクター、および脆弱性を単一の検索結果として表示するには、このリンクをチェックしてください:

関連するTTPのより高度な分析については、 MITRE ATT&CK ページ に訪れるか、または MITRE ATT&CK マップ をウェブサイトで確認してください。 

継続的セキュリティインテリジェンスを活用して、日々のSOC業務を合理化し、脅威の検出および対応速度を向上させましょう。 継続的コンテンツ管理.

SOC Prime Threat Detection Marketplace を試してみる準備はできましたか? 無料で登録する。または Threat Bounty Program に参加する ことで、自分自身のコンテンツを作成し、Threat Detection Marketplace コミュニティと共有しましょう。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事