TokyoBlackHatNews

databreachtoday.com 4分で読了

ロシアのGRU、重要インフラのクラウド侵害に関与

Russia's GRU Tied to Critical Infrastructure Cloud Breaches

ゼロデイは魅力的だが、ルーターやVPNコンセントレーターを“開かれた導管”に変えるのにハッカーが必要とするのは、少しの不注意なシステム管理だけだ――ロシアの国家主体の活動を追跡する脅威インテリジェンスが警告している。

Amazon Web Serviceの脅威インテリジェンス・グループが月曜日に発出したセキュリティ警告によれば、2021年から継続しているキャンペーンでロシアのハッカーは、北米、西欧・東欧、中東の電力会社やエネルギー供給事業者が使用する企業向けルーターやインフラ、VPN、ネットワーク管理アプライアンス、コラボレーション・プラットフォームを探し出して狙ってきたという。と述べている。その他の主要な標的には、通信事業者や、さまざまな種類の重要インフラ提供者が含まれる。

研究者は、これらのサイバー作戦をGRU(ロシア軍の対外情報機関)によるものとみている。この帰属判断は、一般にSandwormとして知られるハッキング・グループに以前から結び付けられてきた攻撃者テレメトリに基づく。同グループはAPT44およびSeashell Blizzardとしても追跡されている。さらに、これらの作戦にはBitdefenderが「Curly COMrades」とコードネームを付けたトレードクラフトの要素も含まれており、複数のGRUチームが共同で活動している可能性がある。

AWSが詳述したキャンペーンでは、ロシアのハッカーは当初、ゼロデイや既知の脆弱性を利用してネットワークに侵入していた。しかし過去5年間で、脆弱性への注力を着実に減らし、機器の設定ミスを狙う比重を高めてきたと、Amazon Integrated SecurityのCISOであり、以前はFBIサイバー部門でコンピュータおよびネットワーク侵入の技術分析を率いていたCJ・モーゼス氏は述べた。

「この戦術的な適応により、攻撃者の露出とリソース消費を抑えつつ、認証情報の収集や被害組織のオンラインサービスおよびインフラへの横展開といった、同じ作戦上の成果を実現できる」と同氏は語った。

Amazonの脅威インテリジェンスは、AWS上でホストされている顧客のネットワーク・エッジ機器が侵害されたことなどを手がかりに、このキャンペーンを特定した。「これはAWSの弱点によるものではない。これらは顧客側で設定ミスのある機器のようだ」とAmazonの報告書は述べている。

攻撃が成功すると、攻撃者はネットワーク・アプライアンス・ソフトウェアを稼働させていた被害者のEC2(Elastic Compute Cloud)インスタンスへの永続的なアクセスを獲得した。Amazonによれば、ハッカーは認証情報などのデータを窃取しており、攻撃者はそれをリプレイ攻撃に使用する。つまり、傍受したデータを別のシステムに投入してアクセスを得る手口だ。

Amazonは、標的となった顧客に通知し、侵害されたEC2インスタンスの復旧を支援したと述べた。またクラウド大手は、攻撃に関連する侵害指標(IOC)に加え、「2026年に向けた即時の優先アクション」の一覧も公開した。

優先事項には、「すべてのネットワーク・エッジ機器を監査し、想定外のパケットキャプチャ・ファイルやユーティリティがないか確認する」ことが含まれる。ユーザーは、多要素認証を有効化し、デフォルト認証情報を無効化することで強固な認証を確保すべきだ。管理インターフェースは分離されたネットワーク・セグメントに置き、認証情報のリプレイ攻撃の兆候を探すこと。ルーターやアプライアンスの管理者ポータルへの不審なアクセスを監視し、公開されたIOCの兆候がないかログを確認するようAWSは述べている(参照: ハッカーの戦術: エッジ機器の悪用、多要素認証の欠如)。

攻撃者は仮想化機能を悪用

Bitdefenderは8月にCurly COMrades脅威アクターを特定した。このコードネームは、攻撃者がCurlyShellまたはCurlCatというコードネームのマルウェアを用いて定期的にデータを持ち出していることに由来する。これはcurl.exe――cURLのWindowsコマンドライン実行ファイルで、開発者やシステム管理者がサーバーとの間でデータを転送するために一般的に使用するツール(多くの場合HTTP経由)――を利用する。

Bitdefenderは11月に詳述し、「侵害されたWindows 10マシン上の仮想化機能(Hyper-V)を悪用して、隠されたリモート運用環境を作成することで、被害ネットワークへの秘匿された長期アクセスを確立した」と述べた。Hyper-VはMicrosoftのネイティブ・ハイパーバイザーで、Windowsが動作するシステム上に仮想マシンを作成するために設計されている。

「VM内にマルウェアとその実行環境を隔離することで、攻撃者は従来のホストベースEDR検知の多くを事実上回避した」とBitdefenderは述べた。この種の活動を阻止するには、「VMから外へ逃げるEC2トラフィックを検知するため、EDRをホストベースのネットワーク検査で補完する必要がある」という。

翻訳元: https://www.databreachtoday.com/russias-gru-tied-to-critical-infrastructure-cloud-breaches-a-30301

ソース: databreachtoday.com
#APT44 #AWS #GRU #Sandworm #Seashell Blizzard #クラウド侵害 #ネットワークエッジデバイス #設定ミス(ミスコンフィグ) #認証情報窃取 #重要インフラ

関連記事

Microsoftがランタイムセキュリティを強化

Google、防衛産業に対する「容赦ない」サイバー攻撃について警告

請求サービス企業が医療検査機関の患者にハッキング被害を通知