世界的サイバー戦争の最前線:ウクライナを標的にする主要なロシア支援のAPTグループの概要とそのTTPに対抗するためのSigmaルール
目次:
ウクライナの特殊通信情報保護庁 (SSSCIP) は最近、 分析レポート を発表し、2022年のウクライナに対するロシアのサイバー攻撃について詳述しています。このレポートは、ウクライナでの全面戦争勃発以来注目されている主要なハッカー集団についての洞察を提供し、侵入を実行するための敵対者のTTPを分析し、悪意ある活動を示す主要なトレンドと攻撃ベクトルをカバーしています。その目的は、ウクライナおよび世界の組織がいかなる規模のロシアのサイバー攻撃に対しても先手を取って防御できるようにすることです。
2022年2月24日、約1年前にロシア連邦はウクライナに対する陸、空、海からの攻撃侵略を開始しました。この戦争はサイバースペースにおいても悪化しました。その結果、私たちは現在、人類史上初の本格的なサイバー戦争を目撃しており、ロシアが攻撃の一翼を担い、ウクライナがサイバー戦線で自国とその同盟国を守っています。このような攻撃をサイバー戦争と呼ぶことはもはや比喩に過ぎないようです。
しかし、地上でのロシア軍の攻撃は予想外だった一方で、 ウクライナに対するサイバー戦争はほぼ10年間続いています、ロシアに関連する サンドワームAPT グループが悪名高い BlackEnergyマルウェア を2015年から2016年にかけて、著名な NotPetyaマルウェア を2017年にウクライナの金融セクターをターゲットに使用した破壊的な攻撃から始まっています。今日見られるロシアのサイバー戦線での活動は、彼らの30年にわたる戦略の結果です。 SSSCIPの報告によれば、モスクワ政府は訓練された攻撃的なエージェントの広範なネットワークを育成し、低コストで独立したキャンペーンを開始するのに十分な経験を持つゼロデイが装備された幹部を備えていますが、サイバー防御作戦は依然としてかなりのコストがかかっています。. SSSCIP reports that the Moscow government has grown a broad network of trained offensive affiliates who can perform military commands, are equipped with zero-days and have extensive experience in launching autonomous campaigns at low cost, while cyber defense operations still remain rather costly.
SSSCIPレポートと CERT-UAでの調査されたインシデントの推定値によれば、ロシア関連の脅威アクターはウクライナに対する2,194の破壊的なサイバー攻撃を展開し、そのうち52%(1,148件)が最も重要で高レベルとされ、CERT-UAとそのパートナーの共同努力により成功裏に調査および緩和されました。セキュリティ専門家の GoogleのThreat Research Groupは2022年のウクライナ資産に対する攻撃の250%の急増を観察しています (2021年と比べて)。この攻撃は、2022年2月のウクライナへの軍事侵攻と同時に焦点を合わせ、それ以降もウクライナ政府および軍事部門をはじめ、重要なインフラ、公共サービス、メディアセクターを重視し続けました。 Mandiantは、 述べました 「2022年の最初の4か月間には、過去8年間よりもウクライナでより多くの破壊的サイバー攻撃が観察され、侵攻開始時に攻撃が急増した」と。ロシアのサイバー攻撃作戦の激化に伴い、サイバー防御者たちは、ロシアがバックアップする破壊的攻撃の雪崩的な脅威に対抗するためには、個々の組織では対応しきれないことを認識し、全世界でのサイバーセキュリティの協力が必要であることを強調しています。
SOC Prime は、世界的なサイバー戦争の最前線に立ち、ウクライナとその同盟国がロシアの侵略から自らを守るのを支援しています。CERT-UAおよびSSSCIPと協力し、リアル戦場でシグマルールを研究、開発、テストし、毎月400以上の新しい検出コンテンツを提供することで破壊的なロシアの攻撃を阻止しています。
SOC Primeの集合的なサイバー防御プラットフォーム は、MITRE ATT&CKフレームワークv12に準拠した10,000以上の行動ベースのシグマルールをキュレーションし、27以上のSIEM、EDR、XDRソリューション間で簡単に共有できます。SOC Primeは、情報共有が誰でもシグマルールから利益を得て貢献できるように、26万以上の検出アルゴリズムに関連するすべてのメタデータを公開しています。タイムリーな情報交換は、TTPsや敵対行動パターンの共有を含み、サイバー防御者が進行中のサイバー戦争で戦略的優位を得ることを可能にします。
ここでは、ロシア国家がバックアップするAPTグループの悪質な活動に対抗するために積極的に防御するためのキュレートされた検出アルゴリズムのリストを見つけることができます。これらは、 SSSCIP調査 中で言及された、2022年を通じてウクライナの複数の産業セクターに破壊的サイバー攻撃を積極的に展開している脅威アクターです。
すべてのシグマルールはMITRE ATT&Kフレームワークv12に準拠しており、業界をリードするSIEM、EDR、XDR技術と互換性があります。サイバー防御者は、関連するATT&KおよびCTIのリンク、緩和策、運用メタデータに関連したサイバー脅威コンテキストに瞬時にアクセスし、脅威調査を加速できます。
Gamaredon APT(UAC-0010)の敵対活動を検出
SSSCIPレポートによると、2022年を通じた国家支援のハッカー集団の活動を分析した結果、Gamaredon APTは、2022年の第2四半期に登録されたインシデントを基に、最も活動的で持続的なグループと見なせます。この期間中、脅威アクターは主にウクライナ軍事、安全および防衛セクター、ならびに政府機関を攻撃対象としました。
この国家支援ロシア関連グループは、 Armageddon APT、別名UAC-0010, Trident Ursa、 Shuckworm、およびPrimitive Bearとして追跡されています。 ウクライナの保安庁によれば、このグループの活動はロシア連邦保安庁に帰属し、ウクライナおよびNATO同盟国に対する情報収集および破壊工作のサイバー戦線での活動を標的としています。以下のリンクをクリックすると、関連する悪意ある活動を検出するための全シグマルールを確認できます:
UAC-0010に関連するサイバー攻撃で使用されるTTPsを検出するシグマルール
サンドワームAPT(UAC-0082)の悪質キャンペーンを検出
2022年を通して注目を集めたもう一つのハッカー集団は、悪名高いGRU関連のUnit 74455で、これはCERT-UAによってUAC-0082としても追跡されています。観察された期間中、このグループは主にウクライナの物流、運輸、メディア、エネルギー部門を狙いました。 サンドワームAPT。
2022年4月中旬、CERT-UAはMicrosoftとESETと共同で、 人類史上2回目の停電攻撃をカバーする警告を発表しました がUAC-0082に帰属しています。この攻撃では、ロシアのハッカーは悪名高いIndustroyerマルウェアファミリーの新バージョンであるIndustroyer2をデータワイピングマルウェアと称される CaddyWiperと組み合わせて活用しました。後者は HermeticWiper and と と
UAC-0082グループの敵対活動を検出するためのシグマルール
UAC-0056グループの悪意ある活動を検出 UAC-0056 として識別された脅威アクターは、ロシアのウクライナへの全面侵攻以来ウクライナの組織を活発に標的にしており、主に政府と銀行部門に悪質なキャンペーンを集中させています。このハッカー集団は2022年春の大規模なフィッシング攻撃の背後にあり、 Cobalt Strike Beacon、GrimPlant、GraphSteelマルウェアを活用しました。あなたの組織のインフラをUAC-0056グループにリンクする侵入から積極的に防御するために、SOC PrimeのDetection as Codeプラットフォームは以下のリンクを通じて利用可能な専用のシグマルールセットを提供しています:
UAC-0056ハッカーの悪意ある活動に関連するTTPを検出するシグマルール
UAC-0020グループに帰属する敵対活動を検出
Vermin、UAC-0020としても追跡されるもう一つのハッカー集団は、2022年以来ロシア支援の攻撃的作戦に関連したウクライナのサイバー脅威の場で注目を集めています。サンドワームAPTグループと同様に、Verminの悪意あるアクターは2022年に軍事、安全および防衛セクターを標的にしました。
サイバーセキュリティ研究者は、このグループをドンバス地域における承認されていない自称国家であるルハンスク人民共和国(LPR)に帰属させています。調査によれば、Verminはロシアのサイバー戦争の前線で活動する国家支援グループとして運営されているとされています。サイバー防御者は、UAC-0020に関連するロシアリンクのサイバー犯罪者による現在および新興の脅威を迅速に検出するためのシグマルールの全コレクションに直ちにアクセスすることができます。以下のリンクをクリックしてください:
UAC-0020アクターに関連する悪意ある操作を検出するシグマルール
UAC-0142アクターに関連するウクライナに対するサイバー攻撃を検出
軍事、安全、そして防衛セクターを標的にしているもう一つのハッカーグループが UAC-0142として追跡されており、2022年のサイバー攻撃では主にフィッシング攻撃ベクトルを利用しています。2022年の終わりに、悪意あるアクターは戦場での軍隊の調整を促進するための状況認識システムとして知られる国家ベースのシステムである DELTAをハックすることを目指しました。UAC-0142脅威アクターにリンクされた悪意ある侵入を迅速に特定するために、SOC Primeプラットフォームは以下のリンクを通じて利用可能な関連するシグマルールのフルコレクションを提供しています:
UAC-0142グループによるサイバー攻撃を積極的に防御するためのシグマルール
セキュリティ専門家は、ロシア国家がバックアップするAPTに対抗するための包括的なシグマルールコレクションとともに、選択可能な50のユニークな検出アルゴリズムを活用できます。 Sigma2SaveLivesチャリティーサブスクリプション からの収益の100%がウクライナ人への集中的支援に寄付され、常にロシア関連の脅威アクターよりも一歩先行しています。
