悪名高いロシア国家支援の脅威グループSandwormは、ヨーロッパと米国全域の重要インフラに対する破壊的なキャンペーンを急速に拡大させています。
APT44としても追跡されているこの軍事情報部門は、標準的なIT諜報から積極的にOperational Technology (OT)および産業用制御システム(ICS)の破壊へとシフトしています。
発見時に逃げることが多い金銭目的のランサムウェアギャングとは異なり、Sandwormは意図的に強化して最大限の物理的被害を与えます。
2025年7月から2026年1月の間の産業環境に関する最近の深い分析は、身も凍るような運用パターンを明らかにしています。
7か国の10社の産業顧客から匿名化されたテレメトリを追跡し、研究者は29件のSandwormイベントを特定しました。
高度で斬新なゼロデイエクスプロイトに依存するのではなく、Sandwormは組織的な怠慢を利用して栄えています。
脅威グループは、古い、よく知られた脆弱性によってすでに深刻に侵害されている環境に一貫して潜入します。
アナリストは、対象となるシステムがEternalBlue、DoublePulsar、Log4Shellのようなアクティブなエクスプロイトチェーンをしばしば保有していることを発見しました。
多くのシステムは既にCobalt Strikeのようなコマンド・アンド・コントロール(C2)フレームワークと大量に通信していました。
新しい道を切り開く代わりに、 Sandwormは通り抜けます一般的なマルウェアが既に開いているデジタルドアを。
注目すべきことに、分析されたデータセット内のすべての感染システムは、Sandwormが破壊活動を開始する前に重大な警告を生成していました。
平均して、被害者はこれらの初期の一般的な感染に関連した43日間の重大なセキュリティアラートを受け取りました。
これら一見日常的またはノイズの多いアラートを無視することで、Sandwormは足がかりを確立し、壊滅的な内部拡張のために静かに準備することができました。
一度内部に入ると、急速な横方向への移動が主要な運用目標になります。少数の感染したマシンがネットワークをスキャンしてプローブしたため、すぐに数千の内部アラートが生成されました。
極端な場合、1台の侵害されたマシンが405個の一意の内部ターゲットに接続しようとしました。
グループはネットワークアーキテクチャを急速にマップし、 企業IT環境 から厳重に保護されたOTレイヤーへのパスウェイを探しています。
防御者が一流の軍事サイバー破壊部隊に直面していることに気づく頃には、攻撃者は既に産業インフラの深くに自分たちを織り込んでいます。
標準的なインシデント対応プロトコルは、脅威アクターを検出することで彼らを退却、再編成、または再装備させることを前提としていることがよくあります。
しかし、Sandwormは検出を攻撃を加速する決定的な信号として扱っています。
発見されると、グループはアラートボリュームを大幅に増加させ、新しいマルウェアバリアントを展開し、ターゲットリストを大幅に拡張してLevel 1および2 Purdueモデルアセットを包含します。
翻訳元: https://cyberpress.org/sandworm-targets-ot-networks/
