CISAが英国国家サイバーセキュリティセンター(NCSC)および国内外の他のパートナーと協力して発表した最新の共同勧告は、ロシア対外情報庁(SVR)のサイバーアクターによる戦術の進化に光を当てています。
APT29、Midnight Blizzard、the Dukes、Cozy Bearなど複数の別名で呼ばれるこのグループは、米国によりサイバー諜報活動を行う主体として特定されており、ロシア情報機関の一部門であるSVRの傘下で活動している可能性が高いとされています。
本日早くに公開されたこの勧告は、組織がクラウドベースのインフラへ移行する動きが強まる中で観測された変化として、同グループがクラウド環境へ侵入するために近年採用している戦略を概説しています。
従来、SVRのアクターはオンプレミスのネットワークにおける脆弱性の悪用に依存していましたが、現在はクラウドサービスを直接標的にするよう適応しています。この変化により、防御側には異なるアプローチが求められます。クラウド環境ではアクセスに成功した認証が必要となるため、脅威アクターにとっては課題となるからです。
SVRのアクターに起因するとされる過去の活動には、SolarWindsのサプライチェーン侵害や、COVID-19ワクチン開発に関与する組織への標的化が含まれます。
類似の攻撃について詳しく読む:北朝鮮のハッカー、サプライチェーン攻撃でトロイの木馬化した3CX DesktopAppを使用
最新のCISA勧告はまた、SVRの戦術が拡大し、航空、教育、法執行機関、政府の財務部門など、より幅広い分野を標的にするようになっていることも強調しています。
最近の観測によれば、SVRのアクターは初期アクセスを得るために、ブルートフォース、パスワードスプレー、休眠アカウントの悪用といった手法を用いています。さらに、クラウドベースのトークン認証やレジデンシャルプロキシを活用して秘匿性の高い作戦を維持し、検知を回避しています。
組織には、多要素認証(MFA)、定期的なパスワードのリセット、最小権限のアクセス方針など、強固なサイバーセキュリティ対策を実装することが求められています。SVRの戦術を検知し緩和するには、さまざまな情報源と侵害指標を組み合わせた包括的なアプローチが必要です。
この勧告はまた、SVRのような高度な脅威に対抗するうえで、堅牢なサイバーセキュリティのベースラインが重要であることも強調しました。
「SVRは、2020年のSolarWindsのような世界規模のサプライチェーン侵害を実行できる高度なアクターです。しかし、この勧告における指針は、サイバーセキュリティの基本を強固なベースラインとして整備することで、そのようなアクターから防御する助けになることを示しています」とCISAは警告しました。
「クラウドインフラへ移行した組織にとって、SVRのようなアクターに対する第一の防衛線は、初期アクセスのためのSVRのTTPに対して防御することです。この勧告に示された緩和策に従うことで、組織はこの脅威に対してより強固な防御態勢を取れるようになります。」
翻訳元: https://www.infosecurity-magazine.com/news/cisa-alert-apt29s-cloud-tactics/
