高度なサイバー諜報グループであるSVRは、クラウドインフラストラクチャーを標的にする戦術を変更し、ブルートフォース、パスワードスプレー、システムと休眠アカウントの悪用を行っています。彼らはまた、パスワードと多要素認証をバイパスするために盗まれたアクセストークンを使用し、「MFA爆撃」を行っています。このような活動に対抗するため、組織は多要素認証を実施し、非アクティブなアカウントを無効化し、システムとサービスアカウントに対する最小特権アクセスを適用する必要があります。デバイス登録ポリシーの設定、ホストベースのログの監視、可能な限りゼロタッチ登録の実施も推奨されます。NCSCと国際的なパートナーは、過去12ヶ月間にこれらの戦術を観察し、このアドバイザリーのガイダンスは、ネットワークディフェンダーがSVRの初期アクセスベクトルに対抗するのを助けることを目的としています。
cisa.gov
SVR Cyber Actors Adapt Tactics for Initial Cloud Access
RSS Hunter
2024-02-23