ロシア国家支援の脅威アクターが米国政府の契約業者を標的に:CISAの警告
目次:
2022年2月16日、サイバーセキュリティ&インフラストラクチャ・セキュリティ庁(CISA)は 最新のインテリジェンス情報を開示しました アメリカのクリアード防衛請負業者(CDC)に対する少なくとも2年間にわたるロシア関連のサイバー攻撃についての情報です。標的とされたCDCは、武器開発、監視データ、通信回線、ソフトウェア仕様を含むさまざまな機密データソースにアクセスできました。既知の被害者には、米陸軍、米空軍、米海軍、米宇宙軍、国防総省および情報プログラムが含まれています。
FBI、CISA、およびNSAは、クリアード防衛請負業者ネットワークを潜在的なロシアのサイバー攻撃から保護することの重要性を強調しています。これらの攻撃に対する適時の軽減策を組織で確保できるようにするため、SOC Primeのプラットフォームで利用可能な最新の検出コンテンツを集めました。
ロシア関連サイバースパイ活動:洞察とリスク
CISAによれば、ロシア国家が支援する悪意のあるサイバー活動の主な目標は、米国政府の軍事計画と優先事項へのアクセスを得ることです。その結果、自国の技術開発努力を向上させたり、標的とした被害者を採用しようとしたりする可能性があります。
CDCネットワークへの疑われる持続的アクセスは、少なくとも2020年1月から維持されており、定期的に文書や電子メールから機密データが流出しています。一般的に使用されているMicrosoft 365サービススイートが最も頻繁に標的にされてきました。攻撃者は主に既知の脆弱性を利用して、認証情報収集、ブルートフォース攻撃、およびスピアフィッシングを実行しています。適用された攻撃者のTTPは珍しいものではありませんが、懸念すべき事実は、ハッカーがさまざまなマルウェアの種類を使用しており、常に最新の検出ルールを展開することでのみ特定できることです。
米国政府機関は、ロシアからの国家支援の脅威行為者が近い将来も防衛請負業者ネットワークを標的に侵入を試み続けると考えています。したがって、CDCは継続中および今後の攻撃に備えて、最先端のサイバー防御策を講じることが推奨されています。
潜在的なロシアのサイバー攻撃を検出および軽減する
ロシア国家が支援する行為者に関連する悪意のある活動を検出し、潜在的な脅威の認識を高めるために、SOC Primeのプラットフォームで既に利用可能なキュレーションされた検出コンテンツを活用できます。以下の表(CISA提供)は、米国の請負業者に対する攻撃の過程でロシア国家支援行為者が使用する一般的な戦術、技術、および手順(TTP)を一覧化しており、敵のTTPに対応するシグマルールのバッチを提供しています。
Tactic | Technique | Procedure | Detection Content from SOC Prime’s Platform |
Reconnaissance (TA0043) Credential Access (TA0006) | Gather Victim Identity Information: Credentials (T1589.001) Brute Force (T1110) | Adversaries have applied brute force to identify legitimate account credentials for domain and Microsoft 365 accounts. Compromised credentials have enabled threat actors to get initial access to target networks. | |
Initial Access (TA0001) | External Remote Services (T1133) | Multiple nation-state APT groups have scanned for vulnerabilities in Fortinet’s Fortigate® VPN devices, conducting brute force attacks and weaponizing CVE-2018-13379 to receive credentials and gain access to compromised networks. | |
Initial Access (TA0001) Privilege Escalation (TA0004) | Valid Accounts (T1078) Exploit Public-Facing Application (T1190) | Attackers have taken advantage of identified account credentials and exploited vulnerabilities (CVE-2020-0688 and CVE-2020-17144) on VPNs and Microsoft Exchange servers to gain remote code execution and acquire further network access. | |
Initial Access (TA0001)
| Phishing: Spearphishing Link (T1566.002) Obfuscated Files or Information (T1027) | Cybercriminals have conducted targeted spear-phishing email campaigns through publicly accessible URL shortening tools. Leveraging this common obfuscation technique enabled threat actors to bypass malware and spam scanning tools while encouraging users to click the shortened link. | |
Initial Access (TA0001)
| OS Credential Dumping: NTDS (T1003.003) Valid Accounts: Domain Accounts (T1078.002) | Nation-state cybercriminals have obtained or abused credentials to access the targeted VPN server and obtain privileged access to the domain controller. Once compromised, threat actors may attempt to dump credentials from the targeted domain controller and make a copy of the Active Directory domain database leveraging the NTDS file (NTDS.dit). | |
Initial Access (TA0001) Privilege Escalation (TA0004) Collection (TA0009) | Valid Accounts: Cloud Accounts (T1078.004) Data from Information Repositories: SharePoint (T1213.002) | Adversaries have leveraged legitimate credentials of a global Microsoft 365 admin account to access the administrative portal and update permissions providing read access to all SharePoint pages within the tenant, as well as tenant user profiles and email inboxes. | |
Initial Access (TA0001) Collection (TA0009) | Valid Accounts: Domain Accounts (T1078.002) Email Collection (T1114) | For instance, in one of the cases, cybercriminals have applied valid credentials to exfiltrate mailboxes from the victims’ accounts. In another case, attackers have gained access to email credentials in order to collect sensitive data. | |
Persistence (TA0003) Lateral Movement (TA0008) | Valid Accounts (T1078) | Attackers have abused legitimate credentials to maintain persistent access to compromised accounts. Once some account passwords have been changed by the users, adversaries have pivoted across other accounts in the system to compromise them. | |
Discovery (TA0007) | File and Network Discovery (T1083) | Threat actors have accessed the targeted network and leveraged the BloodHound tool to map out relationships to the Active Directory domain. | |
Command and Control (TA0011) | Proxy: Multi-hop Proxy (T1090.003) | Attackers have applied multiple nodes to route traffic to the target. |
今すぐSOC PrimeのDetection as Codeプラットフォームに参加し、サイバーセキュリティ専門家の世界的なコラボレーションから恩恵を受け、絶え間なく出現する脅威に先んじましょう。コンテンツ開発者の方は、SOC Prime Threat Bounty Programに応募し、オリジナルのSigmaおよびYaraルールを提出し、品質チェックを通過してSOC Primeのプラットフォームを通じてコンテンツを公開し、繰り返し支払いを受け取ることができます。
