要点
パスワードスプレーキャンペーンは、イランがサイバー空間で報復していることの最新の証拠です。
イラン政府に関連したハッカーは、Microsoft 365プラットフォームを破壊することで、イスラエルおよび湾岸州の都市がイランのミサイル攻撃に対応することを困難にしようとしていると、新しいレポートによると述べられています。
3月に3つの別々の機会に行われた攻撃は、主にイスラエル(300以上の目標)およびアラブ首長国連邦(約25の目標)の組織を標的にしました。イスラエルのサイバーセキュリティ企業Check Point Software Technologiesの研究者は水曜日に述べた。
市町村政府は最も一般的な標的でしたが、これはイランのミサイル攻撃の余波に対応するための彼らの役割が原因である可能性があるとCheck Pointは述べています。イランは2月28日に米国およびイスラエルとの戦争が始まって以来、イスラエルおよび中東の他の米国同盟国に対して数千のミサイルとドローンを発射しました。
「このキャンペーンの標的が3月にイランのミサイル攻撃の対象となった都市と一部相関していることが観察されます。これはキャンペーンが運動作戦と爆撃損傷評価(BDA)の取り組みを支持することを意図していたことを示唆しています」とCheck Pointの研究者は述べました。
ハッカーはまた、エネルギー、輸送、およびテクノロジー部門の組織も標的にしており、その標的の一部は米国、英国、ヨーロッパ、およびサウジアラビアにあったとレポートによると述べています。
Check Pointは、標的の性質に基づいて、またM365ログデータがイランに関連したグループGray Sandstormに類似していることに基づいて、キャンペーンがイランに関連した運営者の仕業であることについて適度な信頼度を有していると述べました。
パスワードスプレー攻撃は、戦争が始まって以来イランに起因する研究者の最新の悪質なサイバー活動であり、医療機器ベンダーStrykerへの攻撃、名前のない米国ヘルスケアプロバイダーおよび防衛契約業者Lockheed Martinへの攻撃に続く最新のものです。
イランの特徴的な戦術
キャンペーンは、弱い共通パスワードを使用してシステムにアクセスするための繰り返された試みで、組織のログインポータルに対してブルートフォース攻撃を使用しました。このようなパスワードスプレー技術はイランに関連した脅威アクターの好まれた初期アクセス方法です。Check Pointは過去に少なくとも2つのグループがそれを使用しているのを見たと述べました。
ハッカーは初回ログイン試行中にTorを使用し、ログインに成功した後の完全な侵入プロセス中に他のVPNを使用し、静的検出方法を使用した侵入をブロックすることをより困難にしました。
防御者へのアドバイス
パスワードスプレー攻撃をブロックするために、Check Pointは組織に対してサインインログを確認し、多要素認証を実施し、強力なパスワードを要求し、監査ログを有効にし、ジオフェンシングおよびTor IPアドレスバンを含む場所からユーザーがログインできる場所を制限するよう促しました。
サインインログを監視することにより、組織は「パスワードスプレー動作パターンを特定」できるとCheck Pointは述べており、「特に同じ送信元IPから発信される多くの異なるユーザーアカウント全体での複数の認証失敗」は特にそうです。
Microsoftのウェブサイトもアドバイスを提供しています。可能性のあるパスワードスプレー攻撃を調査している組織向けです。
翻訳元: https://www.cybersecuritydive.com/news/iran-cyberattack-missile-strikes-password-spraying/816333/
