スネークマルウェア検出:ロシア関連のTurla APTによるNATO諸国に対する長期間のキャンペーンで利用されたサイバー諜報インプラント

[post-views]
5月 10, 2023 · 6 分で読めます
スネークマルウェア検出:ロシア関連のTurla APTによるNATO諸国に対する長期間のキャンペーンで利用されたサイバー諜報インプラント

2023年5月9日、米国司法省は、北米、ヨーロッパ、アフリカの50以上の国を標的とする蛇サイバー諜報インプラントのインフラストラクチャを混乱させたMEDUSAと呼ばれる合同作戦の詳細を明らかにしました。

2003年に初めて登場したこの悪意のあるツールは、 トゥルラグループ、ロシア連邦保安庁(FSB)にリンクして、NATO加盟国政府を含むさまざまな関心のある標的に対する攻撃を進めました。蛇キャンペーンの混乱に続いて、国家安全保障局(NSA)といくつかのパートナー機関が 促しました組織は蛇にリンクされた悪意のある活動を検出・軽減するための関連アクションを取ることを目的としています。

ロシア関連の脅威アクターが使用する蛇マルウェアを検出する

ロシアFSBが活用し、最新の 共同CSA AA23-129Aでカバーされた悪名高い蛇インプラントは、世界のサイバー防御コミュニティが関連する敵対的活動をタイムリーに識別するために意識を高め、サイバー抵抗力を増強する必要があります。SOCプライムのDetection as Codeプラットフォームは、集団的サイバー防御を推進し、脅威検出マーケットプレイスを新興脅威に対する選抜されたシグマルールで継続的に豊かにすることを通じて、より安全なサイバー未来を保証するよう組織を支援します。ロシアに関連した蛇マルウェアに対抗するため、SOCプライムチームは最近、関連するコンテキストが充実したシグマルールの大規模なコレクションをリリースしました。

この検出スタック内のすべてのシグマルールは、検出アルゴリズムの簡略検索を可能にするため、対応するCSAコードとペイロード名に基づいて「AA23-129A」と「Snake_Malware」のカスタムタグでフィルタリングされています。

下の Explore Detections ボタンをクリックすることで、セキュリティチームは蛇マルウェア検出のためのシグマルール全コレクションに即時アクセスできます。検出アルゴリズムは MITRE ATT&CK v12、複数のログソースをカバーしており、業界最先端のSIEM、EDR、およびXDRソリューションに適用可能です。セキュリティエンジニアは、脅威調査を効率化するためのATT&CKおよびCTIリファレンスを含む関連メタデータにもアクセスできます。

Explore Detections

蛇マルウェア分析

FSBの最も悪名高く長期にわたるサイバー諜報マルウェアサンプルと見なされている蛇は、少なくとも20年間活動しており、ロシア連邦にとって関心のある組織を密かに標的としています。被害者リストには、NATOの公共部門の組織、ジャーナリスト、メディア関係者、教育機関、中小企業が含まれています。重要なインフラ、金融、製造、電気通信セクターも影響を受けました。

セキュリティ研究者によると、蛇マルウェアは2003年から2004年にかけて、Uroburosの名で悪意のある場で初めて現れました。 FSBのセンター16内でのトゥルラハッキングコレクティブ にリンクされており、このインプラントは敵対者によって感度高い情報や文書を盗むため、また隠されたピア・ツー・ピアネットワークを通じて追加の悪意のあるソフトウェアを展開するために継続的に使用されています。通常、それはターゲットネットワーク上のパブリックフェーシングインフラノードの助けを借りて展開されます。さらに、内部ネットワークで他のツールやTTPsを活用し、悪意のある活動を進めます。

METUSA作戦を通じて、FBIは米国内のすべての影響を受けたシステムを混乱させましたが、国外では、地域当局と協力して検出および修復ガイダンスを提供し、蛇インプラントを除去しました。 司法省のメモで 詳述されているように、FBIの専門家は、蛇マルウェアを自己無効化し、ホストコンピューターや関連アプリケーションに害を与えることなく終了させることができる専用ツール、PERSEUSを開発しました。

米国の機関と同盟国は、ロシアの蛇マルウェアインフラストラクチャを把握し、軽減措置を講じるのを支援する 共同勧告 を発表しました。

ロシア関連の攻撃的勢力によって開始されたサイバー攻撃の量が増加する中、サイバー防衛者は、攻撃者の悪意のある活動に対抗するために超応答性が必要です。SOCプライムは、ロシア国家支援のAPTsに対する広範なシグマルールのコレクション、および組織のセキュリティニーズに合わせた50の選抜された検出アルゴリズムを提供します。ウクライナの人々に焦点を当てた支援を提供するための収益の100%と引き換えに Sigma2SaveLivesサブスクリプション を取得し、あなたのサイバーセキュリティ態勢を大幅に強化してください。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

Secret Blizzard攻撃検知:ロシア支援APTがApolloShadowマルウェアでモスクワの外国大使館を標的に 8 分で読めます 最新の脅威 Secret Blizzard攻撃検知:ロシア支援APTがApolloShadowマルウェアでモスクワの外国大使館を標的に by Daryna Olyniychuk Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 9 分で読めます 最新の脅威 Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 by Veronika Telychko AI脅威インテリジェンス 22 分で読めます SIEM & EDR AI脅威インテリジェンス by Veronika Telychko
すべてのニュース