【訳】
イランを拠点とするサイバー犯罪者による米国組織へのランサムウェア攻撃の実行
【公開情報】
◆Iran-based Cyber Actors Enabling Ransomware Attacks on US Organizations (CISA, 2024/08/28)
[イランを拠点とするサイバー犯罪者による米国組織へのランサムウェア攻撃の実行]
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-241a
【翻訳】
!----+----!----+----!----+----!----+----!----+----!----+----!----+----!----+----!
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
イランを拠点とするサイバー犯罪者による米国組織へのランサムウェ
ア攻撃を可能にする
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
公開日2024年8月28日
アラートコードAA24-241A
関連トピック:サイバー脅威と勧告、マルウェア、フィッシング、ラ
ンサムウェア、国家によるサイバー攻撃の主体
概要
連邦捜査局(FBI)、サイバーセキュリティ・インフラ保護機関(CISA)、
国防総省サイバー犯罪センター(DC3)は、2024年8月時点で、イランを
拠点とするサイバー犯罪者グループが米国および外国の組織を標的に
攻撃を継続していることをネットワークの防御者に警告するために、
この共同サイバーセキュリティ勧告(CSA)を公表しています。これに
は、米国の複数のセクターにわたる組織(教育、金融、医療、防衛セ
クター、および地方自治体を含む)と、その他の国々(イスラエル、ア
ゼルバイジャン、アラブ首長国連邦を含む)の組織が含まれます。
FBIは、米国の組織に対するこれらの脅威行為者の活動の相当な割合
が、ランサムウェアの関連行為者と協力してランサムウェアを展開す
るために、ネットワークアクセスを取得および開発することを目的と
していると評価しています。FBIはさらに、これらのイランを拠点と
するサイバー行為者がイラン政府(GOI)と関連しており、ランサムウ
ェアの活動とは別に、GOIを支援するコンピュータネットワークの悪
用活動(イスラエルおよびアゼルバイジャンの組織に対する機密技術
データの窃取を可能にする侵入など)を行っていると評価しています。
本CSAでは、脅威アクターの戦術、技術、手順(TTP)と侵害の痕跡(
IOC)を提供するとともに、FBIとCISAが2020年9月15日に発表した前回
の勧告(イランを拠点とする脅威アクターによるVPN脆弱性の悪用)で
取り上げた同様の活動についても言及しています。本勧告の情報およ
び指針は、FBIの捜査活動および、米国の組織に対するこのグループ
の侵入活動と、この悪質な活動の影響を受けた多数の組織との関わり
についての技術的分析から得られたものです。
FBIは、すべての組織が本勧告の「緩和策」セクションに記載された
指針に従い、イランのサイバー犯罪者の活動から防御することを推奨
します。
組織がイランのサイバー攻撃者による標的化または侵害を受けたと考
える場合、FBIおよびCISAは、支援を求めるために最寄りのFBI事務所
に直ちに連絡すること、および/またはCISAのインシデント報告フォ
ーム(詳細および連絡方法については、本勧告の報告セクションを参
照)を通じてインシデントを報告することを推奨しています。
イラン政府による支援を受けた悪意のあるサイバー活動に関する詳細
については、CISAのイランサイバー脅威に関するウェブページをご覧
ください。
このレポートのPDF版をダウンロードする:
AA24-241A イランを拠点とするサイバー犯罪者による米国組織へのランサムウェア攻撃の支援
(PDF、582.01 KB)
IOCのダウンロード可能なコピーについては、以下をご覧ください。
AA24-241A STIX XML
(XML、29.02 KB)
AA24-241A STIX JSON
(JSON、29.19 KB)
脅威の主体の詳細
脅威グループの背景と過去の活動
本アドバイザリでは、2017年以降、最近では2024年8月にも、米国の
組織に対して大量のコンピュータネットワーク侵入を試みてきたイラ
ンの特定のサイバー攻撃グループによる活動を概説します。侵害され
た組織には、米国の学校、地方自治体、金融機関、医療施設が含まれ
ます。このグループは民間部門では、Pioneer Kitten, Fox Kitten, UNC757,
Parisite, RUBIDIUM, and Lemon Sandstorm
などの名称で知られています。[1][2] また、このグループは「
Br0k3r」というコードネームで自らを指しており、2024年現在、
彼らは「xplfinder」というコードネームでチャンネルを運営し
ています。FBIの分析と調査によると、このグループの活動はイラン
政府が支援するサイバー犯罪者によるものと一致しています。
FBIは以前、これらのアクターがサイバー市場で被害者組織へのアク
セスを収益化しようとしているのを確認しています。このグループの
米国を標的としたサイバー活動の大部分は、将来のランサムウェア攻
撃を可能にするために、被害者ネットワークへの技術的アクセスを取
得し維持することに重点が置かれています。これらのアクターは、世
界中の多数のネットワークに対して、完全なドメイン管理権限とドメ
イン管理者の認証情報を提供しています。さらに最近では、FBIは、
身代金の支払い額の一部と引き換えに暗号化作業を可能にするために、
これらのアクターがランサムウェアの関連組織と直接協力しているこ
とを特定しました。これらのアクターは、NoEscape[3]、
Ransomhouse[4]、ALPHV(別名BlackCat)(#StopRansomware: ALPHV
Blackcat)といったランサムウェアの関連組織と協力しています。イ
ランのサイバー犯罪者によるこれらのランサムウェア攻撃への関与は、
単にアクセスを提供するにとどまりません。彼らはランサムウェアの
関連組織と緊密に連携し、被害者のネットワークをロックし、被害者
から金銭を脅し取るためのアプローチを策定しています。FBIは、こ
れらの犯罪者グループが、イランを拠点とする場所をランサムウェア
の関連組織に開示しておらず、また、国籍や出身地についても意図的
に曖昧にしていると評価しています。
さらに、FBIは、このグループが2020年後半にPay2Keyとして知られる
ようになったハッキングおよびリークキャンペーンを実施しているこ
とを過去に確認しています。[5][6] このグループは、以前にこのグ
ループによって侵害された組織が登録したクラウドインフラストラク
チャ上にホストされた.onionサイト(Torブラウザでアクセス可能)を
運営していました。(攻撃者は、この被害者への以前のアクセスを活
用してサーバーを作成しました。)侵害とそれに続く被害者データの
不正取得の後、攻撃者は(ソーシャルメディアを含め)侵害のニュース
を公表し、被害者およびメディア組織のアカウントにタグ付けし、.
onionサイトで被害者データを流出させました。この手法は従来、被
害者に身代金を支払わせるために用いられてきましたが、FBIは
Pay2Keyの目的は身代金の支払いをさせることではなかったと考えて
います。むしろ、FBIはPay2Keyはイスラエルを拠点とするサイバーイ
ンフラのセキュリティを弱体化させることを目的とした情報操作であ
ったと評価しています。
帰属の詳細
FBIの調査により、イランのサイバー犯罪者集団が悪意のあるサイバ
ー活動を実行していることが判明しました。FBIは、この活動をイス
ラエル政府を支援するものだと評価しています。FBIは、この活動を
以前言及したランサムウェアを可能にする活動とは別物だと判断して
います。このグループは、イランの国益に沿う国や組織を標的にして
おり、通常、このグループのランサムウェア関連の連絡先には関心の
ない国々、例えば米国の防衛部門ネットワークやイスラエル、アゼル
バイジャン、アラブ首長国連邦などが標的となっています。むしろ、
これらのネットワークから機密情報を盗むことを目的としており、こ
のグループがイスラエル政府と何らかの関係を持っていることを示唆
しています。しかし、このグループのランサムウェア活動はイスラエ
ル政府の承認を得ている可能性は低く、その理由は、このグループの
悪意ある活動に関連する暗号通貨の動きを政府が監視していることに
対する懸念が表明されているためです。
このグループは、おそらくグループの悪意あるサイバー活動の隠れみ
のとして、イランの企業名「Danesh Novin Sahand」(識別番号
14007585836)を使用しています。
技術的詳細
注:本勧告では、MITRE ATT&CK® Matrix for Enterprise フレームワ
ークのバージョン 15.1 を使用しています。 MITRE ATT&CK の戦術お
よび技術にマッピングされた脅威アクターの活動の表については、
MITRE ATT&CK の戦術および技術のセクションを参照してください。
悪意のあるサイバー活動を MITRE ATT&CK フレームワークにマッピン
グする際に役立つ情報については、CISA および MITRE ATT&CK の
MITRE ATT&CK マッピングのベストプラクティスと CISA の決定ツー
ルを参照してください。
観測された戦術、技術、手順の概要
イランのサイバー攻撃者の初期侵入は、インターネットに面した資産
上のリモート外部サービスの悪用に依存しており、これにより被害者
のネットワークへの初期アクセスを獲得しています。2024年7月現在、
これらの攻撃者は、CVE-2024-24919に対して脆弱な可能性があるデバ
イスを探索するために、チェック・ポイント・セキュリティ・ゲート
ウェイをホストするIPアドレスをスキャンしていることが確認されて
います。2024年4月現在、これらの攻撃者は、パロアルトネットワー
クスPAN-OSおよびGlobalProtect VPNデバイスをホストするIPアドレ
スに対して大量のスキャンを実施しています。このグループは、おそ
らくCVE-2024-3400の影響を受けるデバイスの偵察と調査を行ってい
たと考えられます。 これまでに、このグループは、Citrix
Netscalerに関連するCVE-2019-19781およびCVE-2023-3519、BIG-IP
F5デバイスに関連するCVE-2022-1388を悪用して組織を攻撃してきま
した。
偵察、初期アクセス、持続、および認証情報へのアクセス
攻撃者は、Shodan検索エンジンを使用して、特定のCVEに対して脆弱
なデバイスをホストするIPアドレスを特定し、列挙していることが確
認されています。攻撃者の初期アクセスは、通常、Citrix
Netscaler(CVE-2019-19781およびCVE-2023-3519)、F5 BIG-IP(CVE-
2022 -1388)、Pulse Secure/Ivanti VPNs(CVE-2024-21887)、そして
最近ではPanOSファイアウォール(CVE-2024-3400) [T1596][T1190]な
どがあります。
脆弱なデバイスが攻撃された後、攻撃者は以下のテクニックを使用し
ます。
- 侵害されたNetscalerデバイス上のウェブシェルを使用してログイン
認証情報を取得し、ウェブシェルと同じディレクトリにある
netscaler.1という名前のファイルに追加する[T1505.003][T1056]。
- Citrix Netscaler デバイス上に、ウェブシェルを展開するためのデ
ィレクトリ /var/vpn/themes/imgs/ を作成します。 [T1505.003] こ
のディレクトリに展開された悪意のあるファイルには、以下が含まれ
ます。
netscaler.1
netscaler.php
ctxHeaderLogon.php
- 特にNetscalerに関連するものとして、システム所有者が悪用された
脆弱性を修正した後、直ちに侵害されたデバイスに追加のウェブシェ
ルを配置してください。[T1505.003] 以下のファイルの場所とファイ
ル名がデバイス上で確認されています。
/netscaler/logon/LogonPoint/uiareas/ui_style.php
/netscaler/logon/sanpdebug.php
- 対象のIPアドレス上に/xui/common/images/ディレクトリを作成する[
T1133]。
- 被害者ネットワーク上にアカウントを作成します。確認されたアカウ
ント名には、「sqladmin$」、「adfsservice」、「IIS_Admin」、「
iis-admin」、および「John McCain」などがあります。
- 被害者ネットワークに展開するツールに対して、ゼロトラスト・アプ
リケーションおよびセキュリティポリシーの適用除外を要求する。
- Windows/Spaceport/taskフォルダに悪意のある定期タスク
SpaceAgentTaskMgrSHRを作成する。このタスクは、署名された
Microsoft SysInternalsの実行可能ファイルcontig.exeに対してDLL
サイドローディング技術を使用し、dllhost.extにリネームされてい
る可能性がある。このファイルは、Windowsダウンロードディレクト
リから実行されていることが確認されている[T1053]。
- C:¥Windows¥ADFS¥ ディレクトリに悪意のあるバックドア version.
dll を配置する [T1505.003]。
- スケジュールされたタスクを使用して、インストールされたバックド
ア経由でマルウェアをロードする [T1053]。
- リモートアクセス用に侵害されたサーバーと接続するための
Meshcentralの展開 [T1219]。
- 持続性を確保し、検出や緩和が行われると、攻撃者はランダムな8文
字の文字列でWindowsサービスタスクを毎日作成し、C:¥Windows¥
system32¥drivers¥ディレクトリに含まれる同様の名前のDLLの実行を
試みます。例えば、「test」という名前のサービスが、C:¥WINDOWS¥
system32¥drivers¥test.sysにあるファイルのロードを試みているこ
とが確認されています[T1505]。
実行、特権の昇格、および防御回避
- 侵害された認証情報を、Citrix Netscalerなどのネットワークデバイ
スを悪用して、他のアプリケーション(Citrix XenDesktopなど)にロ
グインするために再利用する。
- ネットワーク管理者の管理者権限を悪用して、被害者ネットワーク上
のドメインコントローラやその他のインフラストラクチャにログイン
する [T1078.002]。
- 管理者権限を使用して、アンチウイルスおよびセキュリティソフトウ
ェアを無効にし、PowerShellポリシーをより安全でないレベルに引き
下げる[T1562.001][T1562.010]。
- セキュリティ免除チケットをネットワークセキュリティデバイスまた
は契約者に送信し、攻撃者のツールを許可リストに登録してもらうこ
とを試みる [T1562.001]。
- 侵害された管理者アカウントを使用して、ネットワーク上の別のサー
バーへのリモートデスクトップセッションを開始する。FBIが確認し
た事例では、このテクニックがMicrosoft Windows PowerShell
Integrated Scripted Environment (ISE) を起動して、files.
catbox[.]moeを含むURIで「Invoke-WebRequest」コマンドを実行しよ
うとしていた。Catboxは、攻撃者がリポジトリ/ホスティングメカニ
ズムとして使用している無料のオンラインファイルホスティングサイ
トである[T1059.001]。
発見
- 侵害されたサーバー上のシステムレジストリハイブおよびネットワー
クファイアウォールの設定をエクスポートする [T1012]。
- 被害者のドメインコントローラーからアカウントのユーザー名を抜き
出し、設定ファイルやログにアクセスする。おそらく、さらなる悪用
を目的として、ネットワークおよびユーザーアカウント情報を収集す
るためであると思われる。[T1482]
コマンドおよびコントロール
- バックアップアクセス方法として「AnyDesk」リモートアクセスプロ
グラムをインストールする [T1219]。
- Windows PowerShell Web Access を使用できるようにサーバーを有効
化する [T1059.001]。
- オープンソースのトンネリングツールLigolo(ligolo/ligolo-ng)を使
用します。
- NGROK(ngrok[.]io)のデプロイメントを使用して、任意のサブドメイ
ンへのアウトバウンド接続を作成します。[T1572]
情報流出と影響
被害者のネットワークに侵入した後、攻撃者は、身代金の支払い額の
一部と引き換えに、ランサムウェアの関連組織(NoEscape、
Ransomhouse、ALPHV [別名BlackCat]など)と協力し、関連組織に被害
者のネットワークへのアクセスを提供したり、被害者のネットワーク
をロックしたり、被害者から身代金を脅し取るための戦略を練ったり
しています[T1657]。また、攻撃者は、被害者から機密データを盗む
という、GOIを支援する目的で実行されたと見られる別の悪意ある活
動も実施しています。
MITRE ATT&CK 戦術と技術
このアドバイザリで言及されているすべての脅威アクターの戦術およ
び技術については、表1から表9を参照してください。
表1. 偵察
| 技術タイトル | ID | 使用または評価済み使用 |
|---|---|---|
| 検索 公開技術データベース | T1596 | イランのサイバー攻撃者は、 |
Shodan (Shodan[.]io) を使用して、特定の CVE に対して脆弱なイン
ターネットインフラストラクチャホスティングデバイスを特定する。
表2.初期アクセス
| テクニックタイトル | ID | 使用中または使用が確認された |
|---|---|---|
| 公開向けアプリケーションの悪用 | T1190 | イランのサイバー犯罪者は、以下のデバイスおよび関連する CVE を含む、パブリック向けネットワークデバイスをスキャンし、悪用しています。 ■ Citrix Netscaler(CVEs-2019-19781およびCVE-2023-3519) ■ F5 BIG-IP (CVE-2022-1388) ■ Pulse Secure/Ivanti VPNs (CVE-2024-21887) ■ PanOS ファイアウォール (CVE-2024-3400) ■ チェック・ポイント・セキュリティ・ゲートウェイ(CVE-2024-24919) |
| 外部リモートサービス | T1133 | イランのサイバー犯罪者が標的のIPアドレス上に/xui/common/images/ディレクトリを作成する。 |
表3. 持続
技術 タイトル ID 使用または使用の可能性
サーバーソフトウェアコンポーネント:ウェブシェル T1505.003 イラ
ンのサイバー犯罪者は、展開されたウェブシェルを介して、侵害され
たNetscalerデバイス上のログイン認証情報を取得し、ウェブシェル
展開用のディレクトリをNetscalerデバイス上に作成し、2つのディレ
クトリにウェブシェルを展開し(パッチ適用後のシステムを注意深く
監視)、悪意のあるバックドアバージョン.dllを配置する。
アカウントの作成(ローカルアカウント) T1136.001 イランのサイバ
ー犯罪者は、被害者のネットワーク上にローカルアカウントを作成す
る。
アカウント操作 T1098 イランのサイバー犯罪者は、展開を意図する
ツールについて、ゼロトラストアプリケーションの適用除外を要求す
る。
スケジュールされたタスク/ジョブ T1053 イランのサイバー犯罪者は、
DLLサイドローディング技術を使用するスケジュールされたタスクと、
バックドア経由でマルウェアをロードするスケジュールされたタスク
を実行する。
サーバーソフトウェアコンポーネント T1505 イランのサイバー犯罪
者は、検知や緩和が行われると持続性を確保するために、Windowsサ
ービスタスクを日々作成する。
表4 特権昇格
技術 タイトル ID 使用または使用の評価
有効なアカウント:ローカルアカウント T1078.003 イランのサイバー
犯罪者は、侵害した認証情報(Netscaler デバイスなど)を他のアプリ
ケーションへのログイン用に再利用する。
有効なアカウント:ドメインアカウント T1078.002 イランのサイバー
犯罪者は、ネットワーク管理者の管理用認証情報を流用して、ドメイ
ンコントローラやその他のインフラストラクチャにログインする。
表5. 防御回避
テクニック タイトル ID 使用または使用の評価
防御の無効化:ツールの無効化または変更 T1562.001 イランのサイバ
ー犯罪者は、管理者資格情報を使用して、アンチウイルスおよびセキ
ュリティソフトウェアを無効にします。
防御策を無効化または変更するツール T1562.001 イランのサイバー
犯罪者は、ネットワークセキュリティデバイスまたは契約者にセキュ
リティ免除チケットを入力し、自らのツールを許可リストに登録しよ
うとする。
防御の低下:ダウングレード攻撃 T1562.010 イランのサイバー犯罪者
は、PowerShell ポリシーをより安全でないレベルに引き下げます。
表6. 認証情報アクセス
テクニック タイトル ID 使用または評価された使用
入力の取得 T1056 イランのサイバー犯罪者は、配備されたウェブシ
ェルを介して、侵害されたNetscalerデバイス上のログイン認証情報
を取得する。
表 7. 実行
技術 タイトル ID 使用または評価済み使用
コマンドおよびスクリプト T1059.001 イランのサイバー犯罪者は、
管理者アカウントを使用してリモートデスクトップセッションを開始
し、Microsoft Windows PowerShell ISE を起動する。
コマンドおよびスクリプトのインタープリター T1059.001 イランの
サイバー犯罪者は、サーバーがWindows PowerShell Web Accessを使
用できるようにする。
表8. 発見
技術 タイトル ID 使用または評価済み使用
レジストリクエリ T1012 イランのサイバー犯罪者は、レジストリハ
イブとネットワークファイアウォールの構成をエクスポートする。
ドメイン信頼関係の検出 T1482 イランのサイバー攻撃者は、ドメイ
ンコントローラーからアカウントのユーザー名を抜き出し、構成ファ
イルやログにアクセスする。
表9. コマンド&コントロール
技術 タイトル ID 使用または評価済み使用
リモートアクセスソフトウェア T1219
イランのサイバー攻撃者は、「AnyDesk」リモートアクセスプログラ
ムをインストールする。
イランのサイバー犯罪者は、リモートアクセス用に侵害したサーバー
に接続するためにMeshcentralを展開する。
プロトコルトンネリング T1572 イランのサイバー犯罪者は、オープ
ンソースのトンネリング用にligolo/ligolo-ng、NGROK[.]IOを使用し
てランダムなサブドメインへのアウトバウンド接続を作成する。
侵害の兆候
IPアドレスおよびドメイン識別子
免責事項:表10に記載されたIPアドレスおよびドメインは、2024年の
指定された時間枠において、攻撃者によって使用されていることが確
認された。作成機関は、組織に対して、ブロックなどの措置を講じる
前に、これらのIPアドレスを調査または精査することを推奨している。
コメント:FBIおよびCISAは、以下の表に記載されたインフラストラク
チャに加えて、これらの攻撃者は被害組織に関連するクラウドコンピ
ューティングリソースへの侵入を通じて入手した情報を悪用すること
が知られていると警告しています。攻撃者はこのクラウドインフラス
トラクチャを使用して、他の組織を標的としたさらなるサイバー作戦
を実施しています。FBIは、米国の学術および防衛部門に対するこの
手口の使用を観測していますが、理論的にはあらゆる組織に対して使
用される可能性があります。FBIとCISAは、これらの攻撃者が貴組織
を侵害した場合、貴組織のクラウドサービスアカウントを利用して悪
意のあるサイバー活動を展開し、他の被害者を標的にする可能性があ
ると警告しています。FBIは、攻撃者が侵害したクラウドサービスア
カウントを使用して、他の侵害された組織から盗んだデータを送信す
る事例を確認しています。
表10. 侵害の兆候 - 最近の
| インジケーター | 最初に確認された日付 | 最近確認された日付 |
|---|---|---|
| 138.68.90[.]19 | 2024年1月 | 2024年8月 |
| 167.99.202[.]130 | 2024年1月 | 2024年8月 |
| 78.141.238[.]182 | 2024年7月 | 2024年8月 |
| 51.16.51[.]81 | 2024年1月 | 2024年8月 |
| 51.20.138[.]134 | 2024年2月 | 2024年8月 |
| 134.209.30[.]220 | 2024年3月 | 2024年8月 |
| 13.53.124[.]246 | 2024年2月 | 2024年8月 |
| api.gupdate[.]net | 2022年9月 | 2024年8月 |
| githubapp[.]net | 2024年2月 | 2024年8月 |
免責事項:表11のインフラストラクチャは、これらのアクターに関連
する過去のIPアドレスとドメインを反映しています。このデータは、
情報提供を目的として提供されており、これらのアクターのより効果
的な追跡と帰属を可能にすることを目的としています。FBIおよび
CISAは、このCSAに記載されているという理由のみで、表11のインジ
ケーターをブロックすることを推奨するものではありません。
表11. 侵害の兆候 - 過去の
| インジケーター | 最初に確認された日付 | 最近確認された日付 |
|---|---|---|
| 18.134.0[.]66 | 2023年9月 | 2023年11月 |
| 193.149.190[.]248 | 2023年9月 | 2024年1月 |
| 45.76.65[.]42 | 2023年9月 | 2023年12月 |
| 206.71.148[.]78 | 2023年10月 | 2024年1月 |
| 193.149.187[.]41 | 2023年10月 | 2023年11月 |
| login.forticloud[.]online | 2023年10月 | 2023年11月 |
| fortigate.forticloud.[]online | 2023年10月 | 2023年11月 |
| cloud.sophos[.]one | 2023年10月 | 2023年11月 |
攻撃者識別子
免責事項:FBIは、イランのサイバーグループおよびそのランサムウェ
ア関連組織に関連する以下の識別子を確認しました。FBIは、脅威行
為者の特定と悪質なサイバー活動の追跡を改善するために、この情報
を提供しています。TOX識別子のリストについては、付録Aを参照して
ください。
FBIは、以下のビットコインアドレスに関連する脅威行為者を観測し
ました。
| bc1q8n7jjgdepuym825zwwftr3qpem3tnjx3m50ku0 |
| bc1qlwd94gf5uhdpu4gynk6znc5j3rwk9s53c0dhjs |
| bc1q2egjjzmchtm3q3h3een37zsvpph86hwgq4xskh |
| bc1qjzw7sh3pd5msgehdaurzv04pm40hm9ajpwjqky |
| bc1qn5tla384qxpl6zt7kd068hvl7y4a6rt684ufqp |
| bc1ql837eewad47zn0uzzjfgqjhsnf2yhkyxvxyjjc |
| bc1qy8pnttrfmyu4l3qcy59gmllzqq66gmr446ppcr |
| bc1q6620fmev7cvkfu82z43vwjtec6mzgcp5hjrdne |
| bc1qr6h2zcxlntpcjystxdf7qy2755p25yrwucm4lq |
| bc1qx9tteqhama2x2w9vwqsyny6hldh8my8udx5jlm |
| bc1qz75atxj4dvgezyuspw8yz9khtkuk5jpdgfauq8 |
| bc1q6w2an66vrje747scecrgzucw9ksha66x9zt980 |
| bc1qsn4l6h3mhyhmr72vw4ajxf2gr74hwpalks2tp9 |
| bc1qtjhvqkun4uxtr4qmq6s3f7j49nr4sp0wywp489 |
緩和策
FBIおよびCISAは、イランのサイバーグループの活動に基づいて、サ
イバーセキュリティ対策を強化するために、すべての組織が以下に列
挙する緩和策を実施することを推奨しています。FBIは、このグルー
プの標的は主に、この通知で言及されているCVE(共通脆弱性識別子)
に脆弱なデバイスの識別に基づいていると判断しています(CVEの一覧
については、「技術的詳細」のセクションを参照してください)。そ
のため、これらの脆弱性を持つソフトウェアを導入している米国の組
織は、さらなる悪用を目的とした標的となる可能性があり、このグル
ープによる悪用を防ぐために、このガイダンスに従う必要があります。
これらの緩和策は、CISAと米国国立標準技術研究所(NIST)が策定した
「Cross-Sector Cybersecurity Performance Goals(CPGs)」に沿った
ものです。CPGsは、CISAとNISTがすべての組織に導入を推奨する最低
限の対策と保護のセットを提供しています。CISAとNISTは、最も一般
的で影響の大きい脅威、戦術、技術、手順から保護するために、既存
のサイバーセキュリティの枠組みと指針に基づいてCPGsを作成しまし
た。追加の推奨される基本的な保護策を含むCPGsの詳細については、
CISAの「Cross-Sector Cybersecurity Performance Goals」をご覧く
ださい。
FBIとCISAは、すべての組織が以下の緩和策を実施することを推奨し
ています。
表10に記載されているIPアドレスについて、指定された時間枠内で、
組織のネットワークとのトラフィックの兆候を示すログがないか確認
する[CPG 3.A]。表11に記載されている指標も確認し、過去に組織が
特定した可能性のある過去の活動やインシデントを特定する。
CVE-2024-3400、CVE-2022-1388、CVE-2019-19781、およびCVE-2023-
3519に対するパッチおよび/または緩和策を適用する[CPG 1.E]。
ご注意ください。ネットワークデバイスが脆弱であった間に、これら
の攻撃者によってネットワークがすでに侵害されていた場合、上記の
CVEsに対するパッチ適用だけでは悪意のある活動を緩和するには不十
分である可能性があります。盗まれた認証情報の使用(Netscalerデバ
イスのウェブシェル経由など)についてさらに調査し、ネットワーク
の他の部分に足がかりを確立しようとする脅威行為者の試みを特定す
ることを強くお勧めします。
攻撃者が侵害したネットワーク上で活動する際に使用する固有の識別
子やTTPsについて、システムをチェックする。これには、特定のユー
ザ名の作成、NGROKやLigoloの使用、特定のディレクトリへのウェブ
シェルの展開などが含まれる[CPG 3.A]。
files.catbox[.]moeおよび***.ngrok[.]ioへのアウトバウンドのウェ
ブリクエストがないか、システムをチェックしてください。[CPG 3.
A]
セキュリティ対策の検証
緩和策の適用に加えて、FBIおよびCISAは、本勧告書でMITRE ATT&CK
for Enterpriseフレームワークにマッピングされた脅威の行動に対し
て、組織のセキュリティプログラムの演習、テスト、および検証を行
うことを推奨しています。作成機関は、本勧告書で説明されている
ATT&CKテクニックに対するパフォーマンスを評価するために、既存の
セキュリティ管理インベントリのテストを行うことを推奨しています。
開始するには:
本勧告で説明されている ATT&CK のテクニックを選択します(表 2 か
ら表 10 を参照)。
そのテクニックに対してセキュリティ技術を調整する。
その技術に対して、使用しているテクノロジーをテストします。
検出および防止テクノロジーのパフォーマンスを分析します。
すべてのセキュリティ技術についてこのプロセスを繰り返し、包括的
なパフォーマンスデータのセットを取得します。
このプロセスで生成されたデータに基づいて、人員、プロセス、テク
ノロジーを含むセキュリティプログラムを調整する。
参考文献
Fox Kitten、UNC757、Parisite、Pioneer Kitten、RUBIDIUM、Lemon
Sandstorm、Group G0117|MITRE ATT&CK®
PIONEER KITTEN: 標的と手法 [敵対者プロファイル] (crowdstrike.
com)
NoEscape - SentinelOne
RansomHouse - SentinelOne
Pay2Key、ソフトウェア S0556|MITRE ATT&CK®
Pay2Keyランサムウェア警告 - チェック・ポイント・リサーチ
報告
この共同勧告に対して、貴組織はFBIに回答したり情報を提供する義
務はありません。提供された情報を確認した上で、FBIに情報を提供
することを決定した場合、報告は該当する州および連邦法に準拠して
行われる必要があります。
ランサムウェアのインシデント
FBIおよびCISAは、ランサムウェアのインシデントが発生した場合に
共有可能なあらゆる情報に関心を持っています。これには、外国の
IPアドレスとの通信を示す境界ログ、身代金要求のサンプル、脅威の
主体との通信、ビットコインのウォレット情報、復号化ツール、およ
び/または暗号化されたファイルの良性サンプルが含まれます。
その他の参考情報としては、標的となった企業の連絡先、感染の状況
と範囲、推定損失額、業務への影響、トランザクションID、感染日、
検知日、最初の攻撃ベクトル、ホストおよびネットワークベースの指
標などがあります。
FBIとCISAは身代金を支払うことを推奨していません。支払っても被
害に遭ったファイルが復元される保証はないからです。さらに、支払
いは、敵対者をさらに大胆にし、他の組織を標的にさせたり、他の犯
罪者にランサムウェアの配布を奨励させたり、あるいは違法な活動に
資金を提供させたりする可能性もあります。 あなたまたはあなたの
組織が身代金を支払うことを決めたかどうかに関わらず、FBIおよび
CISAは、FBIのインターネット犯罪苦情センター(IC3)、最寄りのFBI
事務所、またはCISAに、ランサムウェアのインシデントを速やかに報
告するよう強く求めています。報告は、 のインシデント報告フォー
ム、または24時間365日対応のオペレーションセンター(report@cisa.
gov)までご連絡いただくか、1-844-Say-CISA(1-844-729-2472)までお
電話ください。
その他のインシデント
米国の組織は、本勧告の情報に関連する疑わしい行為や犯罪行為を、
FBIのインターネットIC3または最寄りのFBI事務所に報告することが
推奨されます。疑わしい行為や悪意のあるサイバー活動を報告する際
は、CISAのインシデント報告フォーム、または24時間365日対応のオ
ペレーションセンター(report@cisa.gov)までご連絡いただくか、1-
844-Say-CISA(1-844-729-2472)までお電話ください。可能であれば、
インシデントに関する以下の情報をご提供ください:インシデントの
日時、場所、活動の種類、影響を受けた人数、活動に使用された機器
の種類、提出元の企業または組織の名称、指定の連絡先。
免責事項
本報告書に記載されている情報は、情報提供のみを目的として「現状
のまま」提供されています。FBIおよびCISAは、本書内で言及されて
いるいかなる事業体、製品、企業、サービス(本書内で言及されてい
る事業体、製品、サービスを含む)を推奨するものではありません。
サービスマーク、商標、メーカーなどによる特定の事業体、製品、プ
ロセス、サービスへの言及は、FBIおよびCISAによる推奨、推奨、ま
たは支持を意味するものではなく、また、それを暗示するものでもあ
りません。
バージョン履歴
2024年8月20日:初版。
付録 A: TOX 識別子
| TOX識別子 |
TOX公開鍵 |
コメント |
|---|---|---|
| xplfinder | ea2ec0c3859d8d8c36d95a298beef6d7add17856655bfbea2554b8714f7c7c69 | イランのサイバーグループ |
| Br0k3r | B761680E23F2EBB5F6887D315EBD05B2D7C365731E093B49ADB059C3DCCAA30C | イランのサイバーグループ |
| アクセス | 185ADA4556737A4F26AE16F1A99CA82AB5684C32719EE426C420C0BC14384A0A | ランサムウェア関連 |
| 管理者 ALPHV(別名BlackCat) | 3488458145EB62D7D3947E3811234F4663D9B5AEEF6584AB08A2099A7F946664 | ランサムウェア関連 |
| Admin_NoEscape | 0A6F992E1372DB4F245595424A7436EBB610775D6ADDC4D568ACC2AF5D315221 | ランサムウェア関連 |
| Americano_Sneeckers | 14F8AD7D1553D1A47CF4C9E7BEDABCC5B759C86E54C636175A472C11D7DEC70F | ランサムウェア関連 |
| Bettersock | 2C76104C9AAAF32453A814C227E7D9D755451B551A3FD30D2EA332DF396B3A31 | ランサムウェア関連会社 |
本製品は、本通知およびプライバシーポリシーおよび利用規約に従っ
て提供されます。
!----+----!----+----!----+----!----+----!----+----!----+----!----+----!----+----!
