東ヨーロッパの産業部門の企業が、高度なインプラントと新種のマルウェアを使用する攻撃者によって攻撃されました。 クラウドベースのデータ ストレージ サービスは、データを窃取し、マルウェアを増殖させるために使用されてきました。
カスペルスキーは、データ窃取のための永続的なチャネルの確立を目的とした、東ヨーロッパの産業企業に対する一連の標的型攻撃を発見しました。 これらの攻撃は、ExCone や DexCone など、以前に調査された攻撃と大きな類似点を共有していました。 これは、ジャッジメントパンダおよびジルコニウムとしても知られるAPT31の関与を示唆しています。
この攻撃では、リモート アクセスを可能にするように設計された高度なインプラントが使用されており、セキュリティ対策を回避する際の脅威アクターの広範な知識と経験が実証されました。 これらは、非常に安全なシステムからであっても、データ漏洩のための永続的なチャネルをセットアップするのに役立ちました。
クラウド ストレージ サービスを介したデータの引き出し
さらに、DLL ハイジャック技術が広範囲に使用され、悪意のある動的にリンクされたライブラリをメモリにロードする脆弱な正規のサードパーティの実行可能ファイルの悪用が可能になりました。 これにより、XNUMX つの攻撃フェーズでの複数のインプラントの実行中の検出が防止されます。
Dropbox や Yandex Disk などのクラウド ストレージ サービスや一時的なファイル共有プラットフォームは、データの抽出とマルウェアの配布に使用されました。 さらに、攻撃者は、侵害されたネットワークの制御を維持するために、Yandex Cloud および通常の仮想プライベート サーバー (VPS) にコマンド アンド コントロール (C2) インフラストラクチャを展開しました。
FourteenHi マルウェアの新しい亜種は産業企業を標的にします
この攻撃では、2021 年に政府機関をターゲットとした ExCone キャンペーン中に発見された FourteenHi マルウェアの新しい亜種も導入されました。 それ以来、これは進化してきました。 過去 XNUMX 年間で、特に産業企業のインフラストラクチャを狙った新しい亜種が登場しました。 カスペルスキーの専門家は、新種のマルウェア インプラント「MeatBall」も発見しました。 これは、広範なリモート アクセス機能を備えたバックドア インプラントです。
「標的型攻撃が業界にもたらすリスクを過小評価してはなりません」とカスペルスキー ICS CERT の上級セキュリティ研究員キリル クルグロフ氏は述べています。 「企業はプロセスのデジタル化を続けており、ネットワーク化されたシステムに依存しています。 重要なインフラストラクチャに対する攻撃が成功した場合、潜在的な影響は重大です。 私たちが調査したこの APT キャンペーンは、現在および将来の脅威から産業インフラを保護するための包括的なサイバーセキュリティ対策の極めて重要性を強調しています。」
運用テクノロジーを保護するためのカスペルスキーの推奨事項
- OT システムの定期的なセキュリティ評価を実施して、潜在的なサイバー セキュリティ問題を特定して排除します。
- 効果的な脆弱性管理プロセスの基礎として、継続的な脆弱性評価とトリアージを確立します。 Kaspersky Industrial CyberSecurity などの専用ソリューションは、完全には公開されていない独自の実用的なインテリジェンスを提供し、システムの保護に役立ちます。
- OT ネットワークの主要コンポーネントをタイムリーに更新します。 重大なインシデントを防ぐには、技術的に可能な限り早くセキュリティ修正とパッチを適用し、対策を実施することが重要です。
- Kaspersky Endpoint Detection and Response などの EDR ソリューションを使用して、インシデントをタイムリーに検出、調査、修復します。
- IT セキュリティ チームと OT 担当者向けに専用の OT セキュリティ トレーニングを実施し、チームがインシデントを防止、検出、対応できるようにします。
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。