RSS CISA サイバーセキュリティ・アドバイザリー ノート

RSS CISA サイバーセキュリティ・アドバイザリー

CISA(サイバーセキュリティーとインフラストラクチャーセキュリティーエージェンシー)は、組織と個人に対し潜在的な脅威と脆弱性について情報を提供するために、定期的にサイバーセキュリティーアドバイザリーを公表しています。これらのアドバイザリーには、特定のサイバーセキュリティー問題、脅威行為者が使用する戦術、技術、プロシージャー、 serta 侵害の兆候と推奨される緩和策が含まれています。CISAはまた、現在のセキュリティー問題、脆弱性、exploitの要約を提供するアラートも提供しています。さらに、CISAは、産業制御システム(ICS)の製品における脆弱性とそれらの緩和策に焦点を当てたICSアドバイザリーも提供しています。

ノートのスレッド

中国関連のサイバー攻撃者は、悪意のある活動を隠蔽するために、侵害されたデバイスの大規模なネットワーク、いわゆる「隠蔽ネットワーク」をますます利用しています。この戦術、技術、手順(TTP)の変化は、個別に調達されたインフラストラクチャからの移行を示しています。これらの隠蔽ネットワークは、主に侵害されたSOHO(Small Office Home Office)ルーター、IoT(Internet of Things)デバイス、スマートデバイスで構成されています。このようなネットワークにより、攻撃者は低コスト、低リスクで、かつ否認可能性をもってサイバー攻撃を実行でき、特定を困難にしています。これらは、偵察からマルウェア配信、データ漏洩まで、サイバーキルチェーンのすべての段階で利用されています。中国の情報セキュリティ企業がこれらの隠蔽ネットワークを作成・維持しているという証拠があります。例えば、20万台以上のデバイスに感染したRaptor Trainネットワークは、Integrity Technology Groupによって管理されていました。Volt Typhoonによって使用されたKV Botnetは、主に脆弱なEOL(End-of-Life)ルーターで構成されていました。静的なIPブロックリストに依存する従来の防御パラダイムは、これらのボットネットの動的かつ分散的な性質により、効果が低下しています。防御側は、ネットワークエッジデバイスのマッピング、通常の接続のベースライン設定、脅威インテリジェンスの活用によって適応する必要があります。多要素認証の実装と、IPアドレスまたは地理的な許可リストの採用は、重要な保護措置です。より大規模またはリスクの高い組織は、ゼロトラストポリシーを導入し、インターネットに公開されているIT資産を削減することで、セキュリティをさらに強化できます。最も標的とされている組織には、これらの隠蔽ネットワークを個別の脅威として積極的に探し出し、追跡することが推奨されます。包括的なサイバーセキュリティのベストプラクティスは、これらの進化する脅威に対する防御の基本であり続けます。
CdXz5zHNQW_ATHApB8wCS.png
この勧告は、イラン関連のサイバー攻撃者が米国の重要インフラを標的にしていることを警告するもので、特にロックウェル・オートメーション/アレン・ブラッドリーのPLCに焦点を当てています。これらの攻撃者は、インターネットに接続されたOTデバイスを悪用し、HMI/SCADAディスプレイ上のプロジェクトファイルやデータを操作することで混乱を引き起こし、運用上および金銭的な損失をもたらします。影響を受けるセクターには、政府、水道、下水、エネルギーセクターが含まれます。組織は、提供されている侵害の兆候(IOC)および戦術、技術、手順(TTP)を確認する必要があります。主な対策としては、PLCをインターネットから隔離すること、不審なトラフィックがないかログを確認すること、関連機関に連絡することが挙げられます。攻撃では、海外に拠点を置くIPアドレスが使用され、OTデバイスで使用される特定のポートが標的となりました。FBIは、これらの攻撃が混乱を引き起こすための継続的なキャンペーンの一部であると評価しています。この勧告には、攻撃者が使用したIPアドレスのリストとMITRE ATT&CKの技術が含まれています。推奨される緩和策は、CISAおよびNISTのクロスセクターサイバーセキュリティパフォーマンス目標2.0に沿ったものです。組織は、ロックウェル・オートメーションのセキュリティガイダンスも参照する必要があります。同様の攻撃は、以前はCyberAv3ngersグループに起因するとされていました。
CISAは、米国の連邦機関で発生したサイバーインシデントに対応しました。このインシデントは、同機関のエンドポイント検出・応答ツールが不審なアクティビティを検知したことがきっかけでした。この機関は、2つのGeoServerにおけるCVE-2024-36401の悪用によって侵害されました。この脆弱性は、悪用される直前に公開されたもので、攻撃者はリモートコード実行を可能にしました。攻撃者は3週間にわたり検知されずに潜伏し、その間に他のサーバーへ横展開しました。このインシデントから得られた重要な教訓は、重大なセキュリティ上の欠陥を浮き彫りにしています。特に、公開されているシステムにおける脆弱性の迅速な修正が不可欠です。組織は、インシデント対応計画を定期的にテスト・更新し、第三者の支援を円滑に進められるようにする必要があります。エンドポイント検出・応答アラートの継続的なレビューは、タイムリーな脅威検知のために極めて重要です。包括的で一元化されたログの実装も、効果的なインシデント分析に不可欠です。攻撃者は、偵察、リソース開発、および攻撃の様々な段階で、公開されているツールを利用しました。永続化のためにWebシェル、cronジョブ、および有効なアカウントを使用しました。特権昇格の試みは、既知のLinuxエクスプロイトを用いて行われました。防御回避戦術には、間接的なコマンド実行やRingQのようなツールの使用が含まれていました。認証情報へのアクセスは、ブルートフォース攻撃やサービスアカウントの悪用によって達成されました。発見活動には、ネットワークスキャンや脆弱性評価ツールが関与しました。CISAは、同様の攻撃を防ぐために、侵害の兆候(Indicators of Compromise)と技術的な詳細を提供しています。
CdXz5zHNQW_HWczZ8ypOU.jpeg
この勧告は、複数の国際的なサイバーセキュリティ機関によって発行されたもので、グローバルネットワークを標的とした中国政府支援のサイバー攻撃について詳述しています。これらの攻撃は、特定の中国の組織と関連付けられることが多く、通信、政府、インフラストラクチャネットワークに焦点を当てています。攻撃者は、ルーターを含むデバイスを侵害し、初期アクセスを得た後、信頼された接続を使用して他のネットワークに侵入します。既知の脆弱性、特にエッジデバイスの脆弱性を悪用し、新たに発見された脆弱性も積極的に利用しています。技術には、アクセス制御の変更、ポートの開放、トンネルの使用による持続的なアクセス維持などが含まれ、しばしば実際の出所を隠蔽します。目的は、通信や移動の追跡を含むスパイ活動のためのデータの盗難です。この勧告は、戦術、技術、手順(TTP)に関する詳細情報を提供し、ネットワーク防御者に緩和策の実装を奨励しています。いくつかの既知の脅威グループがこの活動と関連していますが、勧告では「APTアクター」という一般的な用語が使用されています。攻撃者は、Cisco、Palo Alto、Ivanti製品を標的とする脆弱性を含む、いくつかのCVEを悪用しています。組織は、集団防御を改善するために、侵害の詳細を報告することが求められています。
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と米国沿岸警備隊(USCG)は、重要インフラ組織においてサイバーセキュリティ・ハンティングを実施しました。この勧告は、他の組織がセキュリティ体制を改善できるよう、その調査結果を共有するものです。悪意のある活動は発見されませんでしたが、いくつかのサイバーセキュリティ上のリスクが特定されました。これには、不十分なログ記録、安全でない方法で保存された認証情報、および共有されたローカル管理者認証情報が含まれていました。また、ローカル管理者アカウントには無制限のリモートアクセスがありました。さらに、IT資産と運用技術(OT)資産間のネットワークセグメンテーションが不十分であり、いくつかのデバイス構成ミスもありました。CISAおよびNISTサイバーセキュリティパフォーマンス目標に沿った緩和策が推奨されています。重要な緩和策には、認証情報の安全な管理、平文での保存の回避、および最小権限の原則の実施が含まれます。組織は、潜在的な侵害を防ぐためにこれらの対策を実施することが強く推奨されます。ユニークな管理者パスワードと、すべての管理者アクセスにおける多要素認証が不可欠です。OTネットワークへのアクセスには厳格なポリシーを適用し、強化されたバステーションホストを使用する必要があります。また、すべてのシステムにわたる包括的で詳細なログ記録も推奨されています。
Interlockランサムウェアは、2024年9月下旬に初めて確認され、北米とヨーロッパの企業および重要インフラを標的としています。この金銭目的のランサムウェアは、データの窃取後に暗号化を行うダブルエクストーションモデルを使用します。初期アクセスは、侵害されたウェブサイトからのドライブバイダウンロードや、特にClickFixテクニックを用いたソーシャルエンジニアリングなどの珍しい方法で達成されます。感染後、Interlockは偵察、認証情報窃取、ネットワーク内でのラテラルムーブメントのために様々なツールを使用します。ランサムウェアは主に仮想マシンを標的とし、.interlockまたは.1nt3rlock拡張子を持つファイルを暗号化します。身代金要求は当初表示されませんが、被害者からの連絡後にユニークなコードと.onion URLを通じて伝えられます。FBI、CISA、HHS、MS-ISACは、侵害の兆候(IoCs)および戦術、技術、手順(TTPs)を共有し、緩和策を支援するためにこの勧告を発表しています。この勧告では、Interlockに対する保護を強化するために、堅牢なエンドポイント検出・対応(EDR)ツールの導入を強調しています。InterlockとRhysidaランサムウェアの類似性も指摘されています。組織は、リスクを軽減するために提供されている緩和策の推奨事項に従うことが推奨されます。勧告は、攻撃者が使用したツールのリストを含む表で締めくくられています。
サイバーセキュリティーインフラストラクチャーセキュリティー(CISA)は、ランサムウェアーのアクターがSimpleHelpリモートモニタリングおよびマネジメント(RMM)の脆弱性を悪用してユーティリティー請求ソフトウェアーの顧客を攻撃していることに応じてアドバイザリーを公開している。ランサムウェアーのアクターは、2025年1月以来、パッチが適用されていないSimpleHelp RMMのバージョンを標的としている。SimpleHelpのバージョン5.5.7 以前には、パス・トラバーサル・脆弱性であるCVE-2024-57727 を含む複数の脆弱性が含まれている。CISAは、2025年2月13日にCVE-2024-57727を既知の脆弱性カタログ(KEV)に追加した。CISAは、ソフトウェアーベンダー、ダウンストリームの顧客、およびエンドユーザーに対し、確認された侵害や侵害のリスクに基づいて、推奨される緩和策を直ちに実施することを要請している。緩和策には、SimpleHelpサーバーインスタンスをインターネットから分離するか、サーバープロセスを停止する、SimpleHelpの最新バージョンにアップグレードアクションを実施する、および侵害の証拠を探索することなどが含まれる。CISAはまた、リスクを低減するために、ロバストな資産インベントリーの維持、システムの日次バックアップの実施、およびサードパーティーベンダーとのオープンなコミュニケーションチャネルを設立するなどのプロアクティブな緩和策を実施することを推奨している。如果システムがランサムウェアーによって暗号化された場合、CISAは、影響を受けたシステムをインターネットから切断し、オペレーティングシステムを再インストールし、システムを消去し、クリーンなバックアップからデータを復元することを推奨している。
FBIとCISAは、複数の米国クリティカルインフラセクターの個人や組織の機密情報を盗み出すことができるLummaC2マルウェアに関する共同アドバイザリーを発表した。このマルウェアは2025年5月まで観察されており、2023年11月以降の脆弱性がある。このマルウェアは通常、スピアフィッシングハイパーリンクや添付ファイルを通じて展開され、標準的なサイバーセキュリティ対策をバイパスすることができる。感染すると、マルウェアは個人情報、金融資格情報、多要素認証の機密情報を盗み出すことができる。このマルウェアは、コマンド&コントロールサーバーから指令を受け取り、データを盗み出す、スクリーンショットを撮影し、自己消去することができる。このアドバイザリーには脆弱性があるインジケーターが含まれており、組織はこれらのインジケーターを調査し、対策を講じる前に検証することを推奨している。FBIとCISAは、組織がアドバイザリーの緩和策のセクションに記載された推奨事項を実施することで、LummaC2マルウェアの影響を低減することを奨励している。このアドバイザリーは、MITRE ATT&CK Matrix for Enterpriseフレームワークを使用して、脅威行為者の活動を戦術と技術にマッピングしている。LummaC2マルウェアは2022年以降、ロシア語圏のサイバー犯罪者フォーラムで販売されており、21,000人以上の被害者から機密情報を盗み出している。
CdXz5zHNQW_Da7Y5uJ2dv.png
高速フラックスは、攻撃者がDNSレコードを急速に変更してサーバーの場所を隠し、検出を回避する悪質な手法です。これは、サイバー犯罪者や国家主体が回復力のあるC2インフラストラクチャを維持することを可能にし、国家安全保障に対する重大な脅威をもたらします。複数の機関が共同で発表したこの勧告は、高速フラックスが有効化された悪意のある活動について、組織やサービスプロバイダーに警告しています。特にPDNSプロバイダーに対し、高速フラックスの検出とブロック機能を開発するよう促しています。この文書では、DNS分析、ネットワーク監視、脅威インテリジェンスを用いて高速フラックスを検出し、軽減するためのガイダンスを提供しています。高速フラックスは、シングルフラックスやダブルフラックスなどの手法を利用し、侵害されたホストとボットネットをプロキシとして使用します。これにより、回復力、匿名性、IPブロッキングの効果的な回避が促進され、フィッシングや悪意のあるマーケットプレイスが可能になります。この勧告では、脅威インテリジェンスフィード、異常検出、TTL分析などを含む、多層的な検出アプローチを推奨しています。軽減策としては、悪意のあるドメインとIPのブロック、評判フィルタリング、および強化された監視が含まれます。高速フラックスから防御するためには、協力と情報共有が不可欠です。
FBI、CISA、MS-ISACは、Medusaランサムウェアの戦術、技術、手順(TTPs)および侵害の兆候(IOCs)を周知するために共同アドバイザリを発表しました。Medusaは、2021年6月に初めて確認されたランサムウェア・アズ・ア・サービス(RaaS)の一種であり、2025年2月の時点で、300人以上の被害者が発生し、さまざまな重要インフラストラクチャ部門に影響を及ぼしています。Medusaの攻撃者は、データを暗号化し、身代金が支払われなければ、盗まれたデータを公開すると脅迫する、二重の搾取モデルを使用しています。攻撃者は通常、初期アクセスブローカー(IAB)を雇用して、フィッシングキャンペーンやパッチされていないソフトウェアの脆弱性の悪用を通じて、潜在的な被害者への初期アクセスを取得します。足がかりが確立されると、Medusaの攻撃者は、生存(LOTL)と正当なツールを使用して、初期ユーザー、システム、ネットワークの列挙を行います。PowerShellとWindowsコマンドプロンプトを使用して、ネットワークとファイルシステムの列挙を行い、Ingress Tool Transferの機能を利用します。Medusaの攻撃者は、certutilやPowerShellの検出回避技術などのさまざまな回避技術を使用して検出を避けます。攻撃者は、正当なリモートアクセスソフトウェアを使用して、ネットワーク内を移動し、データの盗難と暗号化のためにファイルを特定することも観察されています。最後に、Medusaの攻撃者は、Rcloneを使用してデータの盗難をC2サーバーに促進し、二重の搾取モデルを使用して被害者から支払いを要求します。
連邦捜査局(FBI)、サイバーセキュリティー・インフラストラクチャー・セキュリティー・エージェンシー(CISA)、およびマルチステート・インフォメーション・シェアリング・アンド・アナリシス・センター(MS-ISAC)は、Ghost(Cring)ランサムウェア・ヴァリアントに関する共同アドバイザリーを発表した。このアドバイザリーでは、中国に拠点を置くGhostアクターが、2021年初頭以来、金融利益を目的として広範囲にわたる攻撃を実施していることを明らかにした。標的となった組織は、70ヶ国以上にわたり、クリティカル・インフラストラクチャー、学校、ヘルスケア、政府ネットワーク、小中規模のビジネスなど多岐にわたる。Ghostアクターは、パブリックリー・アベイラブル・コードを使用して、Common Vulnerabilities and Exposures(CVEs)を悪用し、インターネット・フェイシング・サーバーにアクセスを取得する。彼らは、ランサムウェア・エクゼキュータブル・ペイロードをローテートし、暗号化されたファイルのファイル・エクステンションを切り替え、身代金ノートのテキストを変更し、多くの身代金・メール・アドレスを使用することで、帰属を困難にしている。彼らは、Cobalt Strikeを含む様々なツールを使用して、脆弱性を悪用し、アクセスを取得し、被害者のネットワーク内で横断的に移動する。アドバイザリーでは、Ghostアクターが使用する戦術、技術、手順(TTPs)に関する技術的詳細を提供している。これには、初期アクセス、実行、パーシステンス、特権エスカレーション、資格アクセス、ディフェンス・イヴェイション、ディスカバリー、ラテラル・ムーブメント、エクスフィルトレーション、コマンド・アンド・コントロールが含まれる。彼らは、コバルト・ストライク・ビーコン・マルウェアとコバルト・ストライク・チーム・サーバーを使用して、コマンド・アンド・コントロール・オペレーションを実施している。Ghostランサムウェア・アクティビティーの影響は、被害者ごとに大きく異なるが、通常は、暗号化ソフトウェアの引き換えに、十万から数十万ドル相当の暗号通貨を要求している。アドバイザリーでは、組織に対し、Ghostランサムウェア・インシデントの可能性と影響を低減するための推奨事項を実施することを勧めている。
サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)と連邦捜査局(FBI)は、Ivanti Cloud Service Appliances(CSA)における脆弱性の悪用に関する共同サイバーセキュリティアドバイザリを公開しました。脆弱性には、CVE-2024-8963、CVE-2024-8190、CVE-2024-9379、およびCVE-2024-9380が含まれます。これらの脆弱性は、2024年9月に悪用され、脅威行為者が初期アクセスを取得し、リモートコード実行を実行し、資格情報を取得し、被害者のネットワークにWebシェルをインストールすることができました。脅威行為者は、2つの主なエクスプロイトパスを使用してアクセスを取得しました。1つはCVE-2024-8963とCVE-2024-8190およびCVE-2024-9380を利用し、もう1つはCVE-2024-8963とCVE-2024-9379を利用しました。脆弱性は、Ivanti CSAバージョン4.6xのバージョン519以前、およびCSAバージョン5.0.1以下の2つの脆弱性に影響します。Ivanti CSA 4.6はEnd-of-Lifeであり、パッチやサードパーティライブラリを受け取ることはありません。CISAとFBIは、ネットワーク管理者に最新のサポートバージョンにアップグレードすることを強く推奨しています。ネットワーク防御者は、アドバイザリ内の検出方法とコンプロマイズの兆候(IOCs)を使用して、ネットワーク上の悪意のある活動を探すことを奨励されています。影響を受けるIvantiアプライアンス内に保存されている資格情報と機密データは、コンプロマイズされたものと見なされ、組織はログとアーティファクトを収集して分析し、悪意のある活動を検出する必要があります。アドバイザリには、脆弱性に関する技術的な詳細、脅威行為者が使用したMITRE ATT&CKの戦術とテクニックが記載されています。脅威行為者の活動は、3つの被害者組織によって検出され、被害者組織は、仮想マシンをクリーンでアップグレードされたバージョンに置き換えることでインシデントを修復することができました。
FBI、CISA、NSAは、2020年以降、グローバルなエンティティを標的にするサイバー作戦でロシアのGRUユニット29155が責任があると特定しました。このユニットは、他のGRUサイバーグループとは異なり、2022年1月にウクライナの組織に対し破壊的なWhisperGateマルウェアを展開しました。この脅威に対処するために、組織はシステムの更新、ネットワークのセグメント化、多要素認証の優先化が必要です。このアドバイザリーは、Unit 29155が採用する戦術、技術、プロシージャー(TTPs)を詳細に述べていますが、一般的に利用可能なツールや脆弱性も含まれます。FBIは、Unit 29155のサイバー俳優がGRUの若い士官で、サイバー作戦を通じて経験を積み、非GRUの個人からのサポートに依存していると評価しています。サイバーセキュリティー業界は、このグループをCadet Blizzard、Ember Bear、Frozenvistaなどの名前で追跡しています。ウクライナ以外にも、Unit 29155はNATOメンバー国とヨーロッパ、ラテンアメリカ、中央アジアの他の国々を標的にしました。彼らの活動には、ウェブサイトの改ざん、インフラストラクチャーのスキャニング、データの盗難、公的なデータのリークが含まれます。2022年初頭以降、彼らの焦点はウクライナに対する援助の妨害に向かっています。FBIは、26のNATOメンバー国と数ヶ国のEU諸国で14,000件以上のドメインスキャニングのインスタンスを観察しました。Unit 29155は、政府サービス、金融、輸送、エネルギー、ヘルスケアなどのクリティカルインフラストラクチャーセクターを標的にします。彼らの偵察技術には、CVEのexploitスクリプトを入手し、初期アクセスに使用するなどのツールを使い、暗いウェブフォーラムでマルウェアやローダーを入手します。彼らは、Dahua IPカメラの認証をバイパスし、データを盗むために脆弱性を悪用しました。Unit 29155は、ラテラルムーブメントのためのさまざまな方法を採用し、Shodanを使い、IoTデバイスを特定し、IPカメラの脆弱性を悪用し、設定をダンプします。このアドバイザリーは、Unit 29155に関連する潜在的な脅威の特定と緩和の支援のために、Compromise Indicators(IOCs)のリストを提供します。
サイバー脅威軽減のためのイベントログ記録のベストプラクティスこのガイダンスは、悪意のあるアクターが使用するランドリーブテクニックに対処するために、サイバーセキュリティとネットワークの可視性を向上させるためのイベントログ記録のベストプラクティスを定義します。効果的なログ記録のための4つの鍵となる要素- 企業が承認するイベントログ記録ポリシー:環境全体で一貫したログ記録アプローチを確立します。 - 中央集権的なイベントログアクセスと相関関係:効率的な監視と分析を可能にします。 - 安全なストレージとイベントログの完全性:イベントログの完全性とアクセシビリティを維持します。 - 関係する脅威に対する検出戦略:悪意のある活動と脅威の兆候を特定するためのログ記録に焦点を当てる。イベントログの品質- 高品質のログは、セキュリティイベントに関する詳細な情報を提供し、インシデントの特定と脅威の検出を支援します。 - LOTL検出のための関連する考慮事項には、悪意のあるアクターが使用する特定のコマンドとツールに関するログのキャプチャーが含まれます。キャプチャーされたイベントログの詳細- ログは、ネットワークディフェンダーがインシデントを捜査し、対応するために必要な情報を含むべきです。この情報には、タイムスタンプ、イベントタイプ、システム識別子が含まれます。 - キー-バリューペアを使用したデータフォーマットは、ログ解析を簡単化します。運用技術に関する考慮事項- OTデバイスは、ログ記録能力が限られていることが多く、補助的なソリューションやバンドアウトのログ通信が必要です。一貫性と同期- システム全体で一貫したログフォーマットとタイムスタンプは、ログ検索と相関関係を容易にします。 - 正確なタイムソースは、イベント間の関係を特定するのに役立ちます。追加リソース- ASDの情報セキュリティマニュアル:イベントログの記録に関するガイドラインを提供します。 - CISAのM-21-31ガイダンス:ログ収集の優先順位を定めます。 - NISTのOTセキュリティーガイド:OT固有のイベントログ記録に関する考慮事項をアドレスします。
FBIとそのパートナーは、朝鮮民主主義人民共和国の偵察総局(RGB)の3局、通称Andarielが行っている継続的なサイバー諜報活動に対する警告を組織に発信しています。このグループは、平壌の軍事的・核的なプログラム向けに、防衛、航空宇宙、核、エンジニアリングのエンティティを標的にし、機密的な技術情報を入手します。グループは、フィッシングキャンペーンとソフトウェアの脆弱性(例えばLog4j)の悪用でネットワークに初期アクセスを獲得します。彼らは、カスタム・マルウェア・インプラントとオープンソース・ツールを使用し、水平移動、データの盗み出し、リモート・アクセスを行います。グループは、米国の医療機関に対するランサムウェア攻撃で運営資金を調達します。臨界インフラストラクチャー・オーガニゼーションは、脆弱性を修正し、ウェブ・サーバーをウェブ・シェルから保護し、認証とリモート・アクセス保護を強化することを推奨されます。グループの被害者学は、重戦車、戦闘機、潜水艦、原子力発電所、造船技術を含みます。グループのテクニックは、MITRE ATT&CK フレームワークと一致し、偵察、悪用、実行を含みます。このアドバイザリーを共有することで、著者機関は、Andarielの悪質なサイバー諜報活動に対抗する組織を支援することを目的としています。
CISAは、連邦文官上級職員支部組織に対し、サイレントシールド評価を実施し、国家レベルのサイバー作戦をシミュレーションしました。レッドチームは、パッチが適用されていないWebサーバーの脆弱性を通じて初期アクセスを獲得し、フィッシングを介してWindowsネットワークを侵害しました。チームはドメインを完全に侵害し、外部組織に移動し、深い防御の重要性を強調しました。組織は、悪意のある活動を防ぐと検出するための不十分なコントロールがあり、ログの収集と分析が不効率的で、ネットワークディフェンダーを妨げる官僚的な障壁がありました。チームの発見は、行動ベースの脅威インジケーターの価値、"許可リスト"アプローチ、深い防御の価値を強調しました。CISAはこれらの原則を適用することを推奨し、包括的なネットワークセグメント化、ネットワークトラフィックのベースライン化、行動ベースの検出に焦点を当てることを含みます。ソフトウェア製造者は、ネットワークのセキュリティを向上させるために、デザインの安全性の原則を実施し、デフォルトパスワードを廃止することを奨励します。これらの脆弱性を解決することで、組織はドメインの侵害と悪意のあるサイバー活動のリスクを低減できます。
このアドバイザリは、オーストラリアおよび国際的なネットワークを標的とする中国国家支援サイバー攻撃グループ「APT40」の活動と脅威について説明しています。活動の概要:- APT40は、人気のあるソフトウェア(例:Log4J、Atlassian Confluence、Microsoft Exchange)の脆弱性を利用する高度な技術を使用してネットワークに侵入します。 - このグループは、多くの場合、脆弱なパブリックなインフラストラクチャを乗っ取り、乗っ取られたデバイスを運用インフラストラクチャとして使用します。 - APT40は、永続性を確立し、有効な資格情報を取得してアクセスを維持することに重点を置いています。注目すべき戦術:- APT40は、C2インフラストラクチャとして、乗っ取られた小規模オフィス/自宅オフィス(SOHO)デバイスを使用する傾向にあります。 - グループのC2インフラストラクチャとしての購入またはリースされたインフラストラクチャの使用は減少しています。ツール:- ASDのACSCは、分析および検出のために悪性ファイルサンプルを提供しています。事例研究:- 2つの匿名化された調査報告書は、APT40の技術と戦術を強調しています。 - 1つの事例研究では、組織が意図的に標的とされ、機密データが流出されました。 - 調査により、グループがネットワーク内を横方向に移動し、特権のある資格情報を取得する能力が明らかになりました。結論:APT40は、世界中の組織にとって重大な脅威であり続けています。彼らの戦術、技術、手順を理解することは、効果的な緩和措置を実施するために不可欠です。
このサイバーセキュリティ・アドバイザリー(CSA)は、組織が自分たちを保護するのを助けるために、Black Bastaというランサムウェア・アズ・ア・サービスのバリエーションに関する情報を提供することを目的としています。2022年4月に初めて確認されたBlack Bastaは、世界中のクリティカル・インフラストラクチャー・セクターの多くの組織に影響を与えています。Black Bastaのアフィリエイトは、フィッシング・メールやソフトウェアの脆弱性のような一般的な脆弱性を悪用し、被害者のシステムにアクセスします。彼らは、データを暗号化し、将来のレバレッジとしてそれを盗む、二重の強要の戦術を使用します。被害者は、身代金の要求に応えるための一定の時間枠が与えられます。通常、.onion URLを通じて通知されます。身代金の要求に応えないと、データが"Basta News" Torサイトで公開されるリスクがあります。Black Bastaのアクターは、医療機関を標的にします。なぜなら、クリティカルな性質と、機密の個人データにアクセスできる可能性があるためです。組織は、Black Bastaと同様のランサムウェアの脅威に対抗するために、提供された緩和策の推奨事項をレビューし、実施することを強く勧められます。このアドバイザリーは、Black Bastaの戦術とテクニックを、MITRE ATT&CK フレームワークに基づいて包括的な理解のために詳細に説明します。初期アクセス、特権昇格、防御回避、実行、各ステップで使用されるツールに関する彼らの方法をアウトラインします。さらに、CSAは、Black Bastaに関連するファイル・ハッシュを含む、コンプロマイズの兆候(IOCs)のリストを提供します。これにより、組織は、潜在的な感染を検出するのを助けられます。Black Bastaのランサムウェア・アタックの被害者は、FBIまたはCISAに事件を報告し、支援とサポートを受けることを勧められます。
This Cybersecurity Advisoryは、Akiraランサムウェアに関する戦術、技術、プロシージャー、脅威の兆候を詳細に述べ、組織が防御を強化するのを支援します。2023年の登場以来、Akiraは世界的に多くの業界を標的にし、250以上の組織が影響を受け、推定で4,200万ドルの身代金が支払われたと考えられます。ランサムウェアは、VPNサービスの脆弱性、RDP、スピアフィッシング、侵害された資格情報を利用して初期アクセスを獲得します。その後、Akiraのアクターは、侵害されたネットワーク内で永続性を確立し、特権を昇格させ、偵察を実行します。彼らは、セキュリティーソフトウェアを無効化するなどの防御回避技術を使用し、システムを暗号化する前にデータを盗む二重の要求モデルを採用します。 データの盗み出しは、FileZilla、WinRAR、RCloneなどのツールを使用して行われ、AnyDesk、MobaXtermなどのツールを通じてコマンド・アンド・コントロールチャネルが確立されます。暗号化は、ChaCha20とRSAのアルゴリズムを組み合わせた強力なハイブリッドメソッドで実現され、システムの復元を困難にしています。 被害者は、脅威者と連絡するための指示が含まれた身代金メモを受け取り、ビットコインでの支払いが要求されます。このアドバイザリーは、使用されたツール、脅威の兆候、2つの異なるAkiraバリエーションも詳細に述べ、特に新しいAkira_v2の高度な機能と進化を強調しています。
サイバー犯罪者がIvanti Connect SecureとPolicy Secureゲートウェイの脆弱性を積極的に悪用し、特権が高められた状態で任意のコマンドを実行することができます。これらの脆弱性は、サポートされているすべてのバージョンに影響し、認証をバイパスし、悪意のあるリクエストを構築するための連鎖的な攻撃の鎖に使用されています。IvantiのIntegrity Checker Tool (ICT)が不足しているため、CISAはこれが損害を検出するには不十分であると判断しました。サイバー犯罪者はこれを欺くことができ、ファクトリー・リセット後もルート・レベルでの永続性を維持することができます。ネットワーク・ディフェンダーは、ユーザーとサービス・アカウントの資格情報が損害を受けたと仮定し、悪意のある活動を捜し、最新のICTを実行し、パッチが利用可能になると適用する必要があります。損害が確認された場合、組織は影響を受けたホストを隔離し、再イメージ化し、資格情報をリセットし、悪意のある管理者アカウントを特定し削除し、証拠を収集し分析する必要があります。CISAは、Ivantiゲートウェイでの敵対者的アクセスと永続性の顕著なリスクを組織が評価し、運営を継続するかどうかを検討することを推奨します。連邦市民執行部門(FCEB)の機関に対し、影響を受けた製品に関する特定の措置を実施するように要求する連邦緊急指令(ED)24-01が発令されています。カナダサイバーセキュリティーセンターは、影響を受けたITプロフェッショナル向けのアラートを発令し、定期的に更新しています。悪意のあるサイバー活動を検出するために、損害の兆候(IOCs)とYARAルールが提供されています。ネットワーク・ディフェンダーは、MITRE ATT&CKフレームワークに悪意のあるサイバー活動をマップし、検出と対応を改善する必要があります。
未特定の脅威行為者が、元従業員のネットワーク管理者資格情報を侵害し、州政府機関のオンプレミス環境に仮想プライベートネットワーク(VPN)を介してアクセスしました。この行為者は、侵害されたアカウントとLDAPクエリーを実行し、ユーザーとホストの情報を収集し、後にダークウェブのブローカレッジサイトに投稿しました。キー・ポイント: - 脅威行為者は、元従業員のアカウントを悪用して組織にアクセスすることが一般的です。 - 侵害されたグローバル・ドメイン・アドミニストレーターアカウントは、オンプレミスとAzureの両環境で管理者特権を付与しました。 - 行為者は、LDAPクエリーを実行し、ユーザー、ホスト、信頼関係に関する詳細な情報を収集しました。 - 行為者は、ネットワークの発見とファイルの探検のためにCIFSを含む複数のサービスに認証しました。 - 被害者組織は、元従業員のアカウントを退職直後に無効化しなかった。 - 被害者組織は、ダークウェブ上での投稿を発見後、侵害されたアカウントを無効化し、管理者特権を削除する速やかな行動をとりました。緩和策:- 元従業員のアカウントを退職直後に無効化する。 - すべての管理者アカウントに対し、多要素認証(MFA)を実施する。 - アクティブ・ディレクトリー・アカウントの不正な活動を監視し、定期的に監査する。 - ネットワーク監視と検出ツールを実施し、不正アクセスを検出する。 - 定期的なセキュリティ・アセスメントを実施し、脆弱性を特定し、対処する。
米国の機関、CISA、NSA、FBIを含む、が中国の国家が後ろ盾とするサイバー攻撃者グループ「Volt Typhoon」が米国の基幹インフラストラクチャー組織を標的にしていると特定しました。Volt Typhoonは、通信、エネルギー、輸送、水道システムなどの分野のITネットワークを、既知の脆弱性やゼロデイ・エクスプロイトを通じて侵害しています。このグループの行動は、地政学的な緊張や軍事的な衝突が生じる際にOT資産に対する破壊的な攻撃を遂行する準備を整えていることを示唆しています。Volt Typhoonは、標的環境に合わせて戦術をカスタマイズし、LOTL技術と堅牢な運営的なセキュリティを維持するために、徹底的な予備調査を行います。彼らは、管理者資格情報を取得するために特権を上昇させ、ドメイン・コントローラーや他のデバイス、OTシステムを含むラテラル・ムーブメントを遂行します。Volt Typhoonは、イベント・ログとNTDS.ditファイルから機密情報を抽出するために、LOTLバイナリーとPowerShellを使用し、ファイル・ロッキング・メカニズムを回避します。彼らは、さらなる浸透と発見のために、オフライン・パスワード・クラッキングを使用して平文パスワードと上昇されたアクセスを取得します。Volt Typhoonは、HVACシステムやエネルギー・コントロールなどのOT資産にアクセスし、操作する能力を示し、米国の基幹インフラストラクチャーに対する潜在的な脅威を呈しています。国際的なパートナーは、米国の基幹インフラストラクチャーが影響を受けることで、自国の基幹インフラストラクチャーが影響を受ける可能性が低いが、米国の基幹インフラストラクチャーが影響を受けることで影響を受ける可能性があると評価しています。基幹インフラストラクチャー組織は、事件を防ぐか対応するために、緩和策を実施し、悪意のある活動を捜査することを強く勧められています。