Trident Ursa または APT Gamaredon によるロシアのサイバー戦争作戦は、ウクライナ侵攻以来活発に行われています。 さらに、NATO 加盟国の主要な製油所への攻撃の試みがありました。
ウクライナは、42 月初旬に Palo Alto Networks の Unit 0010 が APT グループ Trident Ursa (別名 Gamaredon、UAC-XNUMX、Primitive Bear、Shuckworm) について広範囲に報告して以来、ロシアからのサイバー脅威の増大に直面しています。 Trident Ursa は、ロシア国内の諜報機関 FSB に所属するグループです。 地上とサイバースペースで紛争が続く中、Trident Ursa は依然として、ウクライナを標的とする最も広範で継続的に活動し、標的を絞った APT の XNUMX つです。
攻撃プラットフォームとしての 500 の新しいドメイン
現在の地政学的状況と、この APT グループの特定のターゲット フォーカスを考慮して、Unit 42 の研究者は活動の指標を積極的に探し続けています。 そうすることで、彼らは過去 500 か月にわたって、Trident Ursa のさまざまなフィッシングおよびマルウェアのターゲットをサポートする 200 を超える新しいドメイン、XNUMX のサンプル、およびその他の IoC (侵害の痕跡) を特定しました。 これらのドメインとオープン ソース情報を監視しているときに、研究者はいくつかの注目すべき活動に気付きました。
- 30 年 2022 月 XNUMX 日の、NATO 加盟国の主要な精製業者を侵害する試みが失敗しました。
- トライデント・ウルサと関係があると思われる人物が、最初の侵入直後にウクライナのサイバーセキュリティ研究者を脅迫しました。
- いくつかの戦術、技術、手順 (TTP) が変更されました。
調査結果
Trident Ursa は依然として機敏で適応性の高い APT であり、その運用において過度に洗練された、または複雑な技術を採用していません。 ほとんどの場合、このグループは、公開されているツールとスクリプトに依存しており、かなりの難読化も行っています。
これらは、研究者や政府機関によって定期的に発見されていますが、グループは動揺していないようです。 難読化、新しいドメイン、新しい手法を追加して再試行するだけで、以前のパターンを再利用することさえあります。 Trident Ursa は、少なくとも 2014 年からこの方法で活動しており、この紛争の時期に減速する兆候は見られませんでした。 これらすべての理由から、ウクライナとその同盟国に対する重大な脅威であり続けています。
保護と是正措置
Trident Ursa に対する最善の防御策は、予防を優先するセキュリティ スタンスです。 Unit 42は、企業が次の行動を取ることを推奨しています。
- ネットワークとエンドポイントのログを検索して、この脅威グループに関連する侵害の痕跡の痕跡を探しています。
- サイバーセキュリティ ソリューションがアクティブなインフラストラクチャ IOC を効果的にブロックするようにします。
- 既知の C2 インフラストラクチャに対する DNS 要求を検出して軽減する DNS セキュリティ ソリューションの実装。 ビジネス環境で Telegram メッセージングやドメイン ルックアップ ツールなどのサービスの特定のユース ケースを企業が持っていない限り、これらのドメインはブロック リストに追加する必要があります。 ゼロ トラスト ネットワークの場合、許可されたドメインのリストにドメインを含めないでください。
- AS 197695(Reg[.]ru) と通信するすべてのネットワーク トラフィックに追加のチェックを適用します。
パロアルトネットワークスについて サイバーセキュリティ ソリューションのグローバル リーダーである Palo Alto Networks は、人々や企業の働き方を変革するテクノロジーによって、クラウドベースの未来を形作っています。 私たちの使命は、優先されるサイバーセキュリティ パートナーとなり、私たちのデジタル ライフを保護することです。 人工知能、分析、自動化、およびオーケストレーションにおける最新のブレークスルーを活用した継続的なイノベーションにより、世界最大のセキュリティの課題に対処するお手伝いをします。 統合プラットフォームを提供し、拡大するパートナーのエコシステムを強化することで、クラウド、ネットワーク、モバイル デバイス全体で何万もの企業を保護するリーダーとなっています。 私たちのビジョンは、毎日が以前よりも安全な世界です。