Pawn Storm (APT28 または Forest Blizzard とも呼ばれます) は、戦術、技術、および手順 (TTP) を永続的に繰り返すことを特徴とする APT アクターのグループです。
このグループは、世界中の価値の高いターゲットをターゲットにした 10 年前のフィッシングメールキャンペーンを今でも使用していることで知られています。キャンペーンの方法とインフラストラクチャは時間の経過とともに徐々に変化しますが、より高度なキャンペーンで使用されるものを含む、Pawn Storm のインフラストラクチャに関する貴重な情報が提供されます。
トレンドマイクロは、2022 年 2023 月から 2 年 XNUMX 月までのポーン ストームの活動を追跡しました。この間、ポーン ストームはさまざまな方法を使用して NTLMvXNUMX ハッシュ リレー攻撃を開始しようとしました。悪意のあるスピア フィッシング キャンペーンの受信者には、外交政策、エネルギー、防衛、運輸の各組織が含まれます。このグループはまた、労働、社会福祉、金融、子育てを扱う組織、さらには地方自治体、中央銀行、裁判所、国の軍支部の消防署も標的にしました。
高度な攻撃
明らかに洗練されていないからといって、必ずしも加害者が成功していないことや、キャンペーンが洗練されていないことを意味するわけではありません。それどころか、Pawn Storm が時間の経過とともに何千もの電子メール アカウントを侵害したという明らかな証拠があり、これらの一見反復的な攻撃の一部は巧妙に設計され、偽装されています。高度な TTP を使用するものもあります。反復的で、多くの場合高圧的で攻撃的なキャンペーンの「騒音」は、最初の侵入の沈黙、繊細さ、複雑さだけでなく、侵入者が被害者の組織に足がかりを築いた後に起こる可能性のあるエクスプロイト後の行動をかき消します。
トレンドマイクロの上級脅威研究員であるフェイケ・ハックボード氏は、このグループの活動を次のように分類しています: Pawn Storm は、29 年 11 月 2023 日から 2 月 2 日まで、ヨーロッパのさまざまな政府に対してフィッシング キャンペーンを開始しました。テクニカル指標を使用して、このキャンペーンを Net-NTLMvXNUMX ハッシュ リレー キャンペーンの一部と関連付けることができます。たとえば、両方のキャンペーンで同じコンピュータ名が使用されました。また、スピア フィッシング電子メールの送信や、一部の Net-NTLMvXNUMX ハッシュ リレー キャンペーンで使用される LNK ファイルの作成にも使用されました。
詳しくは TrendMicro.com をご覧ください
トレンドマイクロについて トレンド マイクロは、IT セキュリティの世界有数のプロバイダーとして、デジタル データ交換のための安全な世界の構築を支援しています。 30 年以上にわたるセキュリティの専門知識、グローバルな脅威研究、および絶え間ない革新により、トレンドマイクロは企業、政府機関、および消費者に保護を提供します。 当社の XGen™ セキュリティ戦略のおかげで、当社のソリューションは、最先端の環境向けに最適化された防御技術の世代を超えた組み合わせの恩恵を受けています。 ネットワーク化された脅威情報により、より優れた迅速な保護が可能になります。 クラウド ワークロード、エンドポイント、電子メール、IIoT、およびネットワーク向けに最適化された当社のコネクテッド ソリューションは、企業全体にわたって一元化された可視性を提供し、より迅速な脅威の検出と対応を実現します。
トピックに関連する記事