ユニット29155攻撃の検出:ロシア関連の軍事情報部がグローバルに重要インフラを標的に
目次:
悪名高いロシア系のハッカーグループは、防衛勢力にとって手強い挑戦を突きつけており、敵対者のTTPを継続的にアップグレードし、検出回避技術を強化しています。ウクライナで全面戦争が勃発した後、 ロシア支援のAPT集団 は、新たな悪意ある手法の実験場として紛争を利用しながら特に活発です。さらに、モスクワ政府の世界的な主要な標的に対して証明された方法が利用されています。例えば、2023年10月には、ロシアのAPT28が フランスの公的および民間セクターをハッキングし、 2022年から2023年にかけてウクライナで使用されたのと同じ脆弱性とTTPを利用しました。
CISA、NSA、FBIによる最新の共同勧告は、ロシア系俳優による脅威の増大についてサイバー防衛者に再度警告しています。特に、ロシアの参謀本部主情報局(GRU)にリンクしている軍事情報部隊であるユニット29155は、米国および世界中の重要なインフラセクターに対する長期的な攻撃作戦の責任を負っています。これらの作戦は、サイバー俳優が破壊的な WhisperGateマルウェアを 2022年1月からウクライナの複数の組織に対して展開した際にさかのぼります。WhisperGateやウクライナを標的とする他のサイバー攻撃に加え、サイバー俳優はヨーロッパおよび北米のNATO諸国、ならびにヨーロッパ、ラテンアメリカ、および中央アジアの様々な国々に対してネットワーク作戦を実行しました。
ユニット29155攻撃の検出
APT集団による脅威の増大は、サイバー防衛者にとって、リアルタイムで攻撃を検出し、潜在的な侵入に対して積極的に対処するための高い反応力を要求しています。ユニット29155(Cadet Blizzard、Ember Bear、UAC-0056とも呼ばれる)が組織する悪意ある作戦に先んじるために、セキュリティ専門家は SOC Primeプラットフォーム を活用して集合的なサイバー防御を行うことができます。プラットフォームは、攻撃者のTTPに対処することを目的とした専用のSigmaルールをカートしており、高度な脅威検出およびハンティングソリューションと組み合わせて脅威調査をスムーズに行います。
下の Explore Detections ボタンを押して、 AA24-249A勧告で説明されているユニット29155のTTPに対応する特注の検出スタックにすぐにドリルダウンしてください。ルールは30以上のSIEM、EDR、およびデータレイクテクノロジーに対応しており、 MITRE ATT&CK®フレームワークにマッピングされています。さらに、脅威情報、攻撃タイムライン、推奨事項を含む詳細なメタデータでルールが強化されています。 脅威インテリジェンス リファレンス、攻撃タイムライン、推奨事項。
ユニット29155にリンクされたTTPに対処するためのさらなるルールを求めるサイバー防衛者は、 Threat Detection Marketplaceで グループ識別子に基づくカスタムタグを使用して検索することができます。 「Cadet Blizzard」、「DEV-0586」、「Ember Bear」、「Frozenvista」、「UNC2589」、「UAC-0056」、「Unit 29155」。
GRUユニット29155が偵察および初期アクセスのために既知の脆弱性セットを悪用する傾向があるため、セキュリティ実務者は以下のリンクを使用してCVEの悪用試行に対処するSigmaルールの専用コレクションにアクセスできます。
CVE-2020-1472の悪用試行を検出するSigmaルール
CVE-2021-26084の悪用試行を検出するSigmaルール
CVE-2021-3156の悪用試行を検出するSigmaルール
CVE-2021-4034の悪用試行を検出するSigmaルール
CVE-2022-26138の悪用試行を検出するSigmaルール
CVE-2022-26134の悪用試行を検出するSigmaルール
さらに、グループは主に標準的なレッドチーミング手法とRaspberry RobinやSaintBotなどの広く利用可能なツールを使用し、しばしば他のサイバー俳優と戦術を共有しています。この重複により、彼らの活動を正確に帰属する努力が複雑になります。注目のツールを含む攻撃を検出するために、サイバー防衛者は以下のルールリストを参照することができます。
SaintBotに関連する悪意のある活動を検出するSigmaルール
Raspberry Robinに関連する悪意のある活動を検出するSigmaルール
脅威調査を合理化するために、セキュリティ専門家は Uncoder AI、検出エンジニアリング用の業界初のAIコパイロットを使用して、関連する勧告で提供される侵害指標を即座にハントすることができます。Uncoder AIはIOCパッケージャーとして機能し、サイバー防衛者がIOCを容易に解釈し、カスタムハンティングクエリを生成できるようにします。これらのクエリは、お気に入りのSIEMまたはEDRシステムにシームレスに統合され、即座に実行できます。
ユニット29155攻撃分析
The AA24-249A勧告 2024年9月5日に米国のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)によって発行され、GRU 161stのスペシャリスト訓練センター(ユニット29155)に関連するロシア系サイバー俳優によって編成される大規模な攻撃作戦を警告しています。
英国のNCSCは、ユニット29155が主に現役のGRU士官から成り立ち、既知のサイバー犯罪者やその運営を支援するために非GRU個人を募集していることを明らかにしました。このグループは、ユニット26165(Fancy Bear)やユニット74455(Sandworm).
)のようなより目立ったGRU関連のサイバーユニットとは異なる方法で活動しています。2022年1月にさかのぼると、GRUサイバー俳優はウクライナに対する攻撃にWhisperGate破壊的ワイパーを展開し、国の政府のオンライン資産を停止させました。2022年1月17日現在、内閣、7つの省庁、財務省、国の緊急サービス、国家サービスを含む最大70のウェブサイトが侵入により一時的なパフォーマンス低下を経験しました。さらに、複数の非営利団体や主要なウクライナのIT企業が攻撃の犠牲になりました。
さらに、勧告はユニット29155が悪意のある作戦を欧州諸国、ラテンアメリカ、および中央アジアに拡大し、頻繁にNATO加盟国を標的にしていることを示しています。かれらのサイバースパイ活動、破壊工事、および偽情報キャンペーンは、モスクワにとって戦略的利益のある地域の政府、金融、運輸、エネルギー、および医療セクターを主に標的にしています。ユニット29155の活動には、Webサイトの偽装、インフラストラクチャのスキャン、データの流出、情報の漏洩が含まれ、重要なシステムや評価を損なうことを目的としていました。FBIによれば、少なくとも26のNATO加盟国および追加のEU諸国で14,000以上のドメインスキャン事例が検出されています。
ユニット29155のサイバー俳優は、さまざまな政府および重要なインフラストラクチャ組織に関連するIP範囲を標的にすることが確認されています。かれらは、Acunetix、Nmap、VirusTotal、Shodan、DroopeScan、JoomScanなどの公に入手可能なツールを利用し、標的ネットワークでオープンポート、サービス、および脆弱性を特定し、攻撃のためにサブドメインを取得し、関心のあるマシンを発見するなどしています。
ユニット29155のサイバー俳優は犠牲者ネットワークで偵察を行い、Webサーバーやマシンの脆弱性を特定します。かれらはGitHubからCVEエクスプロイトスクリプトを取得しますが、観察された限りでは主に偵察目的で使用されています。かれらが取得した注目すべきCVEには、 CVE-2020-1472、 CVE-2021-3156、, CVE-2022-26134、など多数があります。
さらに、グループは一般的なレッドチーミング手法とRaspberry RobinやSaintBotのような広くアクセス可能なツールを用いて悪意のある作戦を進めています。かれらのこれらの手法の使用は他のサイバー俳優のそれと重なることが多く、活動を正確に帰属することが困難になります。
ユニット29155の攻撃のリスクを最小限に抑えるには、グループが武器化したCVEのパッチを適用し、悪意のある活動の拡散を防ぐためにネットワークを分割し、すべてのウェブに面している資産でMFA認証を有効にすることが推奨されています。 SOC PrimeのAttack Detective は、総合的な脅威の可視性を得て検出範囲を改善することにより、アラート用の低ノイズかつ高品質のルールにアクセスし、自動化された脅威狩りを可能にすることで、組織がサイバーセキュリティ態勢をリスク最適化するのに役立ちます。
