セキュリティ研究者が、運用技術(OT)環境へのアクセスを提供したか、直接攻撃を仕掛けた3つの新しい脅威グループを確認しました。これは火曜日にDragosが発表したレポートによるものです。
Sylvaniteとして追跡されているグループは、Voltziteの初期アクセスを提供します。これはVolt Typhoonとして一般に知られているグループと重複しています。
Volt Typhoonは、米国当局が以前に米国の重要インフラサイトを標的にしていると警告していた国家関連の脅威グループです。アジア太平洋地域での軍事紛争の際に、破壊的な攻撃を意図しています。
Dragos研究者は、Sylvaniteがエッジデバイスを悪用して初期アクセスを提供する別個のグループであると警告しています。
「OTへの長期的なアクセスを獲得しようとしているチームではありません。それはVoltziteです。しかし、Voltziteと共に、またはVoltziteのために機能しており、アクセスを開発するために進み続けているチームです」と、Dragosの共同創設者兼CEOであるRobert Leeは先週のメディアブリーフィング中に述べました。
Sylvaniteは、2025年5月の米国公益企業でのインシデントにリンクされており、そこではIvanti Endpoint Manager Mobileの脆弱性が悪用されました。これにはCVE-2025-4427およびCVE-2025-44428が含まれます。レポートによると。
Flax Typhoonと重複するグループAzuriteは、侵害された小規模オフィス/ホームオフィス環境を使用して、エンジニアリングワークステーションを標的にしています。Dragosによると、このグループはランドオブザランド技術を使用して永続性を維持しています。
Pyroxeneとして追跡されている3番目のグループは、ソーシャルエンジニアリング技術を使用しています。偽のLinkedInプロフィールを含む、採用担当者として偽装しています。このグループは2023年以来、中東からの事業を北米と西ヨーロッパに拡大しており、航空宇宙、防衛、海事、およびその他のセクターを標的にしています。
2025年に、このグループはイスラエルの複数の標的に対してワイパーマルウェアを配備しました。これはイランとの12日間の軍事紛争の時期に相当します。Dragosによると。研究者は、このグループが産業制御システムに影響を与える可能性のある将来の作戦に積極的に配置されていることを警告しています。
これらの新たに確認された脅威グループ以外に、既存グループが事業を拡大していることを研究者が警告しています。
Kamaciteはelectrumのアクセスチームとして機能します。Electrumは2015年のウクライナ電力網攻撃にリンクされた長年の敵です。Kamaciteは2024年から2025年への攻撃の増加にリンクされており、ヨーロッパのICSサプライチェーンを標的にしています。Dragosによると。
「世界には、インフラを破壊するのと同じくらいの経験を持つ他のチームはありません。Electrumです」とLeeはブリーフィング中に述べました。
Leeはまた、ウクライナ戦争のサイバーフェーズが終わりに向かっているため、経験豊富な脅威グループが世界の他の地域、ヨーロッパと米国を含む産業を標的にし始めていると述べました。
脅威の例として、Electrumはポーランドの電力網に対する12月の攻撃にリンクされました。その攻撃は複数の施設を標的にしました。風力発電所や太陽光発電設備を含む。Dragosによると。これはインシデント対応チームの一部でした。
翻訳元: https://www.cybersecuritydive.com/news/new-hacking-groups-access-ot-environments/812323/
