Kaspersky は、XNUMX 月初旬に東ヨーロッパとアフガニスタンの軍事産業組織と公的機関への攻撃をすでに特定していました。 使用されたマルウェアは、中国語を話す APT グループのものと似ています。
Kaspersky ICS CERT は、ロシア、ウクライナ、ベラルーシなどの東ヨーロッパ諸国とアフガニスタンの工場、研究機関、政府機関、省庁、オフィスに対する一連の標的型攻撃を特定しました。 APT アクターは、被害者の IT インフラストラクチャ全体を制御し、産業スパイ活動に関与することができました。
軍事会社や組織への攻撃
2022 年 428 月、Kaspersky の専門家は、機密情報を盗み、IT システムを制御することを目的とした、工業プラント、設計事務所、研究機関、政府機関、省庁などの軍事企業や公的機関に対するいくつかの高度な攻撃を発見しました。 攻撃者が使用するマルウェアは、中国語を話す APT グループである TAXNUMX APT のものと似ています。
標的を絞った攻撃者は、慎重に作成されたスピア フィッシング メールを介して企業ネットワークに侵入します。その中には、メールの送信時には公開されていなかった標的組織に固有の情報が含まれているものもあります。 フィッシング メールには、追加のアクティビティなしで任意のコードを実行できる脆弱性を悪用するための悪意のあるコードを含む Microsoft Word 文書が含まれていました。 この脆弱性は、Microsoft Office のコンポーネントである Microsoft 数式エディターの古いバージョンに存在します。
XNUMX つの異なるバックドアの使用
攻撃者は、悪意のあるプログラムの XNUMX つがセキュリティ ソリューションによって検出および削除された場合に備えて、XNUMX つの異なるバックドアを同時に使用して、感染したシステムとの追加の通信チャネルをセットアップしました。 これらのバックドアは、感染したシステムを制御し、機密データを収集するための広範な機能を提供します。 攻撃の最終段階は、ドメイン コントローラーを乗っ取り、会社のすべてのワークステーションとサーバーを完全に制御することでした。 あるケースでは、攻撃者はサイバーセキュリティ ソリューションのコントロール センターを乗っ取ることさえできました。 ドメイン管理者権限と Active Directory へのアクセス権を取得した後、攻撃者は、いわゆる「ゴールデン チケット」攻撃を実行して、任意の組織のユーザー アカウントになりすまし、攻撃対象の組織の機密データを含むドキュメントやその他のファイルを検索しました。 攻撃者は、抽出したデータをさまざまな国のサーバーでホストしていました。
ゴールデンチケットアタック
「ゴールデン チケット攻撃は、Windows 2000 の登場以来使用されているデフォルト認証プロトコルを使用します」と、ICS CERT Kaspersky のセキュリティ専門家である Vyacheslav Kopeytsev は説明します。 「攻撃者は、企業ネットワーク内で Kerberos Ticket Granting Ticket (TGT) を偽造することで、ネットワークに属する任意のサービスに無期限にアクセスできます。 そのため、単にパスワードを変更したり、侵害されたアカウントをロックしたりするだけでは十分ではありません。 私たちの推奨事項: すべての疑わしいアクティビティを注意深く確認し、信頼できるセキュリティ ソリューションを使用してください。」
詳細は Kaspersky.com をご覧ください
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。