TokyoBlackHatNews

gbhackers.com 4分で読了

イランのハンダラが、イスラエルおよび西洋目標への破壊型マルウェア攻撃を強化

イラン紛争に関連した破壊型マルウェア攻撃のリスク増加を追跡中であり、イスラエルおよび米国の複数の組織に影響を与える関連事象が含まれています。サイバー攻撃に関する最新の情報をお知らせします。

このキャンペーンでは、システムを消去し、ビジネス運営を恒久的に混乱させるための破壊的な「ワイパー」マルウェアを使用しています。セキュリティの専門家は、これらの活動は進行中の地域紛争に関連した広範なサイバー戦略の一部であると考えています。

ハンダラ・ハック グループは、ボイド・マンティコア、COBALT MYSTIQUE、Storm‑1084、Storm‑0842を含む複数の別名で追跡されており、2023年後半に最初に現れました。

当初、ハクティビスト集団として自らを提示していたこのグループは、現在ではイラン情報・保安機関(MOIS)に関連するイラン国家指令型フロントであると、脅威インテリジェンスコミュニティによって広く評価されています。

パロアルトネットワークスのUnit 42による脅威インテリジェンスによれば、ハンダラ・ハックとして知られるイラン関連の脅威グループは、イスラエルおよび米国を含む西洋諸国の組織を狙った作戦を激化させています。

研究者は、このグループがイスラエルまたは西洋の利益と一致していると見なされる組織を狙った破壊的なサイバー操作と宣伝メッセージングを組み合わせることが多いと指摘しています。

最近の情報では、ハンダラ・ハックは、伝統的な脆弱性悪用ではなく、アイデンティティベースの攻撃に大きく依存していることが示されています。

攻撃者は、正当な企業ユーザーの認証情報を盗むためのフィッシング キャンペーンを使用し、その後、Microsoft Intune アップデートなどの管理ツールを活用して破壊的な行為を実行していると報じられています。

イスラエル当局が破壊型マルウェア攻撃を警告

3月6日、イスラエルのサイバー国家局は、イラン関連の攻撃者が複数の企業ネットワークに侵入し、破壊的な攻撃を開始したと警告する公式の警報を発行しました。

同機関によれば、攻撃者は正当なユーザー認証情報を使用してアクセスを獲得し、その後、ターゲット組織内のサーバーとワークステーションを削除しました。これらの操作は、サービスを混乱させ、組織インフラストラクチャに損害を与えることを目的としていました。

破壊型マルウェア攻撃はランサムウェア キャンペーンとは異なります。主な目的は経済的利益ではなく、破壊です。データを身代金のために暗号化する代わりに、マルウェアはファイル、オペレーティング システム、またはデバイス構成を恒久的に削除し、復旧を極めて困難にします。

セキュリティアナリストは、地政学的な緊張が続く中、イスラエル外の組織もターゲットになる可能性があると警告しています。

Unit 42の研究者は、アイデンティティの侵害がこれらの攻撃の中心的な役割を果たしていることを強調しています。攻撃者が有効な認証情報を取得したら、権限をエスカレートし、Microsoft Entra IDなどのエンタープライズ管理プラットフォームやIntune を悪用する可能性があります。

これらの管理ツールを使用して、攻撃者は組織全体のネットワークのデバイスをリモートでワイプ、システムを削除、または破壊的な構成をデプロイできます。

この技法により、攻撃者は正当な管理機能を使用して操作できるため、従来のセキュリティ ツールの検出がより困難になる可能性があります。

軽減策

セキュリティの専門家は、破壊的な攻撃のリスクを低減するための複数の防御対策を推奨しています。

  • 恒久的な管理者権限を排除し、機密ロールに対するジャストインタイム(JIT)アクセスモデルを採用します。
  • Microsoft Entra Privileged Identity Management(PIM)を使用して、権限のあるアカウントを有効化する前に多要素認証と承認を要求します。
  • グローバル管理者および Intune 管理者アカウントの数を必要最小限に減らします。
  • 管理タスクに専用の特権アクセス ワークステーションを使用して、認証情報の盗難を防止します。
  • 幅広い管理者権限ではなく、ロールベースのアクセス制御を実装します。
  • FIDO2 セキュリティ キーなどのハードウェアベースの認証を要求する条件付きアクセス ポリシーを有効にします。
  • デバイス管理プラットフォーム内の RemoteWipe および FactoryReset などの管理アクションを監視します。
  • 大量のデバイス ワイプ試行などの異常な事象に対する自動化されたアラートを構成します。
  • 破壊的なインシデント後の回復を保証するために、重要なシステムの不変でオフラインのバックアップを維持します。

脅威インテリジェンス アナリストは、破壊的なサイバー操作は地政学的な紛争時に増加することが多いと警告しています。 ワイパー マルウェア キャンペーンは、歴史的には政府機関、重要インフラストラクチャ、および民間組織を混乱させるために国家行為者によって使用されています。

Unit 42は、組織にアイデンティティ セキュリティを強化し、管理アクティビティを厳密に監視し、破壊的な攻撃に対するインシデント対応計画を準備するよう助言しています。

緊張が引き続き進化するにつれ、セキュリティ チームは、イスラエル、米国、および同盟地域全体の組織を狙ったイラン関連のサイバー操作に関する更新された脅威インテリジェンスについて、警戒を続け、見直すことが奨励されています。

翻訳元: https://gbhackers.com/iran-linked-handala/

ソース: gbhackers.com
#Microsoft Intune #アイデンティティ攻撃 #イスラエル #イラン関連脅威 #ハンダラ・ハック #フィッシングキャンペーン #ワイパーマルウェア #地政学的脅威 #権限昇格 #破壊型マルウェア

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚