NOBELIUM APTがグローバルITサプライチェーンを攻撃し、下流の顧客をスパイ

悪名高いNobelium APTグループが再び攻撃を開始しました！今回はロシアが支援する覆面の脅威アクターが、世界規模でテクノロジーサービスプロバイダーを狙い、下流の顧客をスパイしています。ハッカーは2021年5月以降、少なくとも140のITサービス組織を標的とし、うち14が成功裏に侵入されました。

NOBELIUM APTグループ

NOBELIUM APTグループ（APT29、CozyBear、The Dukes）は、ロシアの外国情報局（SVR）の秘密のハッキング部門と考えられています。このグループはサイバー脅威業界では比較的新しいプレイヤーで、APT活動の最初の赤信号が2019年末に遡ります。それ以来、NOBELIUMは非常に高度なハッキング集団としての評判を得ており、画期的な侵入を遂行するためにカスタムマルウェアのサンプルを効果的に活用しています。

当初、NOBELIUMは米国政府がこのグループが背後にいると非難した後、注目を集めました。 SolarWindsサプライチェーン攻撃 は、複数の米国政府機関の侵害につながりました。NOBLEIUMは、国土安全保障省（DHS）、サイバーセキュリティ＆インフラ庁（CISA）、米国財務省などのシステムに悪質な系統を植え付け、監視データを収集し、インフラに持続的なバックドアアクセスを得ました。

Microsoftのセキュリティアナリストは、NOBELIUMがAPTの悪意ある行動の範囲と洗練さにおいて常に基準を引き上げていると推測しています。2021年初めから、脅威アクターはツールキットにいくつかの新しい悪意のあるサンプルを追加し、Sunburst、Sunspot、Teardrop、 Goldmax、Sibot、GoldFinderを含めました。2021年5月、グループは大規模な スピアフィッシングキャンペーン を開始し、USAIDを装って24か国の政府資産を標的にしました。そして今年の7月1日から10月19日までの間に、Microsoftは 推定 609のベンダーに対して22,868を超えるハッキング試行を報告しています。

NOBELIUMが世界のITサプライチェーンを攻撃

2021年10月にMicrosoftによって発見された新しいキャンペーンは、NOBLEIUMの戦術の典型的な特徴をすべて共有しています。注目すべき高プロファイルの標的に到達し、関心のあるシステムへのアクセスを維持するために、国家が支援するアクターは技術サービスプロバイダーに努力を集中させました。

NOBELIUMは、SolarWinds事件のような侵入を遂行し、技術サービスプロバイダーの特権アカウントに侵入してクラウド環境を横断し、下流の顧客をスパイしました。大部分の侵入は、特定のセキュリティ欠陥に依存せず、むしろ洗練されたツールと技術、例えばパスワードスプレー、トークン盗難、サプライチェーン攻撃、APIの乱用、スピアフィッシングを利用しました。

このキャンペーンは、NOBELIUMがロシア政府に利益をもたらす対象をスパイすることを可能にする持続的な監視チャネルを確立しようとしていることを示しました。幸いにも、キャンペーンはその初期段階で発見され、ITサービスプロバイダーはNOBELIUMの悪意ある攻撃に対するシステムのセキュリティを強化することができます。

Microsoftはすべての影響を受けた組織に通知し、 技術的勧告 を発行してNOBELIUMの戦術と技術を概説しました。

NOBELIUM APT攻撃の検出

あなたの会社のインフラをNOBELIUMの攻撃から守るために、SOC Primeチームによって開発されたSigmaルールのセットをダウンロードできます。

Azure VMでのコマンド実行（via azureactivity）

この検出は、以下のSIEMセキュリティ分析プラットフォーム向けに翻訳されています：Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys。

ルールは、実行、ディフェンスエバージョン、持続性、特権エスカレーション、初期アクセスの戦術に対応するMITRE ATT&CKメソッド論にマッピングされています。特に、この検出は、コマンドとスクリプトインタープリター（t1059）および有効なアカウント（t1078）技術に対応しています。

サービスプリンシパルアカウント資格情報の更新（via azuread）

この検出は、以下のSIEMセキュリティ分析プラットフォーム向けに翻訳されています：Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys。

このルールは、持続性の戦術に対応するMITRE ATT&CKメソッド論にマッピングされています。特に、この検出はアカウント操作（t1098）技術の追加クラウド資格情報サブ技術（t1098.001）に対応しています。

ノンインタラクティブユーザーサインイン（via azuread）

この検出は、以下のSIEMセキュリティ分析プラットフォーム向けに翻訳されています：Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys。

このルールは、持続性の戦術とアカウント操作（t1098）技術に対応するMITRE ATT&CKメソッド論にマッピングされています。

詳細をご覧になるには このリンク をクリックして、Nobelium APTの悪意ある活動をカバーするその他の検出ルールを見つけてください。

SOC PrimeのDetection as Codeプラットフォームを探索し、これまでになく迅速かつ効率的に攻撃を守ります。20以上のサポートされたSIEM XDR技術を使用して最新の脅威を瞬時に検索し、搾取された脆弱性およびMITRE ATT&CKマトリックスの文脈で最新の攻撃に対する認識を高め、世界規模のサイバーセキュリティコミュニティからの匿名のフィードバックを受け取りながら、セキュリティオペレーションを効率化します。それに加えて、自分の検出コンテンツを作成し、貢献に対して報酬を得たいと思っていませんか？私たちの脅威報奨プログラムに参加してください！

プラットフォームに移動 脅威報奨に参加