カスペルスキー脅威インテリジェンスの最新の調査結果によると、脅威アクターAPT31(別名Judgment PandaおよびZirconium)が、東欧における最近の産業攻撃に関連付けられました。
同社は本日早く、調査の第3弾を公開しました。これまでの調査結果を踏まえ、カスペルスキーの最新研究は、APT31の戦略に関するこれまで未発見だった側面に焦点を当てています。
報告書は、特に標的ネットワークおよびエアギャップ環境からのデータ収集と持ち出しのために特化して設計された専用インプラントを作り込む、脅威アクターの綿密なアプローチを強調しています。
注目すべき点として、脅威アクターはDropboxやYandex Diskといった一般的なクラウドベースのサービスを悪用し、盗み取ったデータを持ち出していました。これらのプラットフォームは、検知を回避し、データ侵害の影響を増幅させるための計算された戦略の一環として活用されました。
APT31の活動を際立たせているもう一つの点は、暗号化されたペイロード、メモリインジェクション、DLLハイジャッキングを計画的に用いて行動を隠蔽していることです。
カスペルスキーの調査では、機能に基づいて3つの明確なカテゴリに分類される、15種類を超える固有のインプラント亜種が明らかになりました。
これらのカテゴリについて詳しく読む:APT31のインプラントが産業組織を標的に
これらのカテゴリ自体は新しいものではありませんが、カスペルスキーの研究は、APT31の手法におけるより深いレベルの精緻さを明らかにしました。例えば、ローカルファイル収集用の専用インプラントは、正規プロセスにペイロードを注入することで永続性を維持するため、DLLハイジャッキングを巧妙に利用していました。
「当社の包括的な分析は、機密データを追求する脅威アクターの適応力を浮き彫りにしています」と、Kaspersky ICS CERTのシニアセキュリティリサーチャーであるKirill Kruglov氏はコメントしました。
「これらの高度なインプラントの仕組みを解明することで、ますます高度化する攻撃に対する防御を強化するための重要な知見をサイバーセキュリティコミュニティに提供します。」
これらの脅威に対抗するため、カスペルスキーはOTシステムに対する定期的なセキュリティ評価、継続的な脆弱性評価の確立、ならびにOTネットワークコンポーネントの迅速な更新を推奨しています。
同社はまた、統合型の攻撃検知ソリューションの利用と、ITセキュリティチームおよびOT担当者向けの専用トレーニングを通じたインシデント対応スキルの強化も推奨しました。
翻訳元: https://www.infosecurity-magazine.com/news/apt31-linked-attacks-eastern-europe/
