イランと関連のある脅威グループHandalaによって駆動される、破壊的なワイパー攻撃の波が米国とイスラエル全体の組織を脅かしています。
このグループは2023年後半に現れた際には独立したハクティビスト集団を装っていましたが、セキュリティアナリストは現在、Void Manticore、COBALT MYSTIQUE、Storm-1084としても追跡されるHandalaがイランの情報セキュリティ省(MOIS)の国家主導の前線組織であると評価しています。
3月6日、イスラエルの国家サイバー局はこれらの戦術に関する厳しい警告を発し、攻撃者が企業ネットワークへのアクセスに成功し、ビジネス運営を停止させるために重要なサーバーとワークステーションを削除していることを確認しました。
Palo Alto Networks Unit 42からの 最新の脅威インテリジェンスによると、Handalaは純粋に運用の中断を目的とした積極的なデータワイピングキャンペーンに焦点を移しています。
高度に洗練されたソフトウェアの脆弱性に依存するのではなく、Handalaの主要な攻撃ベクトルは人間のエラーと管理上の見落としを標的にしています。
このグループは、正当な企業ユーザーのログイン認証情報を盗むためにフィッシングキャンペーンを大いに活用し、初期の足がかりを獲得しています。
アクセスが確保されたら、攻撃者は管理者IDの侵害に焦点を当てます。特にMicrosoftを対象としたIntune環境です。
高度な管理アカウントを乗っ取ることで、Handalaは正当なネットワーク管理ツールを武器化し、組織のインフラストラクチャー全体に大量ワイプコマンドを発行します。
脅威アクターは有効な企業IDを使用するため、彼らの破壊的な活動は、手遅れになるまで通常の管理トラフィックに溶け込むことがしばしばあります。
国家が後援するワイパー攻撃から身を守るには、ID管理に対する ゼロトラストアプローチと管理特権に対する厳格な管理が必要です。組織はネットワークを保護するために以下の対象を絞った軽減策を実装する必要があります:
地政学的緊張がサイバー脅威環境に影響を与え続ける中で、Palo Alto Networks組織はクラウドとIDインフラストラクチャーの強化を優先する必要があります。
攻撃者からワイパーマルウェアをデプロイするために必要な管理アクセスを奪うことは、Handala脅威を中立化するための最も効果的な方法です。
翻訳元: https://cyberpress.org/handala-expands-wiper-attacks/