ThreatLabzは、ここ数か月、ウクライナに対する標的型攻撃の再活発化を確認しています。我々は、この1月と2月の間に、おそらくGamaredon APT攻撃アクターから報酬を受けている 2つの標的型攻撃のチェーンを特定し、今後数日から数週間の内に同様の攻撃があるものと予想しています。

2022年2月16日、CISAは、FBIとNSAとともに、共同の サイバーセキュリティアドバイザリを公表し、ロシアの攻撃アクターが政府と防衛関連企業を、機密情報の窃取を目的として標的とする際に主要するツールと戦術を概説しました。このアドバイザリでは、スピアフィッシング電子メール、クレデンシャルスタッフィング、総当たり攻撃、特権エスカレーションや持続といった戦略の使用が概説されています。 

ロシアとウクライナの間の紛争が戦争にエスカレートしたことにより、米国と欧州の組織を標的するサイバーセキュリティ攻撃のリスクも大幅に増加しています。以下の業界は特にリスクが高いものと強調されています—しかし、すべての世界的な組織にとってそのような攻撃に対して防御と対応を準備することが重要です。

 

図1：標的とされる業界 (出典： CISA)
 

Zscalerはこれらの攻撃からどのように組織を保護するか？

Zscaler Zero Trust Exchangeは、ゼロトラストの原則を使用して、組織をサイバーリスクから保護します。当社の保護は、NISUやMTTREなどの組織の信頼済みのフレームワークに密に結びついており、1日、2000億件のトランザクションを処理する世界最大のセキュリティクラウドからの現在のデータを活用するThreatLabzの専門家とAI/MLモデルにより継続的に更新されています。

Zscalaerは、以下を行うことでこれらの攻撃に対し独自の防御策を講じています：

• 攻撃対象を最小化し、アプリを非公開にする： Zscaler Private Access (ZPA) は、お使いの内部アプリを当社のクラウドプロキシベースのゼロトラストプラットフォームの背後に隠し、インターネット上で見えないようにします。攻撃者は見えないアプリケーションを攻撃できません。
   
• 悪意のある活動を検知してブロックすることで感染を防止： Zscaler Internet Access（ZIA）は、—暗号されているか非暗号化かを問わず—感染の予兆を監視するためすべてのインターネットトラフィックを検査します。未知のファイルは、Zscalerが、自社のインラインサンドボックス内で隔離、破壊し、ファイルは当社が解析し、安全とみなされた場合にのみ処理されます。
   
• 横方向の移動を防止：ZPAは、ネットワークへのアクセス権を付与せずに、最小限の権限でのみユーザーをリソースに接続します–Zscaler Workload Segmentation（ZWS）は、アプリケーションに対しても同じことを行います。Zscaler Deceptionは、洗練された攻撃アクターをおびき寄せ、検知し、封じ込めることができるデコイをお使いの環境に投入します。これらの機能を組み合わせることによって、感染の横方向の拡散を多重で防御し、攻撃者が引き起こし得るダメ―ジを食い止めます。
   
• データ損失の阻止： ZIAは、ここでも暗号化されているか非暗号かを問わず、すべての送信トラフィックをインスペクションし、コマンド＆コントロール・サーバーとの通信やデータの流出といった感染後の悪意のある活動を防止します。また、Zscalerは、データ損失につながる可能性の構成ミスや他の脆弱性を識別することで、パブリッククラウドやSaaSアプリの貴重な資産も保護します。

 

セキュリティ上の推奨事項

Zscalerは、上に概説した原則に基づく強固なゼロトラスト戦略を推奨しています。さらに、セキュリティチームは、起こり得るインシデントに備えて、以下のような他のセキュリティ衛生を強化する必要があります。

• パッチング 脆弱性を最小にするために細心のセキュリティアップデートを企業アプリケーションに適用する。
• バックアップと復旧 お使いにシステムが定期的にバックアップされ、最新であること、およびバックアップが、本番環境のサーバーを感染させる恐れのある攻撃者から保護させていることを確実にする。
• SOC対応プレイブックとIR計 セキュリティ運用チームが対応計画を策定し、DDoS、総当たり攻撃、ランサムウェアといった、最も起こり得る攻撃の種類を優先順位付けしていることを確認する。
• モニタリング紛争地域に公開される資産の監視を強化する。
• セキュリティ意識向上トレーニング 多くの攻撃がなされる中で、最近発見されたHermetic wiper攻撃は、初期の感染にスピアフィッシングを利用しています。エンドユーザーには、フィッシング詐欺に注意し、良好なパスワード衛生を使用し、企業資産の物理的なセキュリティに気を配るよう教育し、注意を喚起してください。

Zscaler ThreatLabzは、どのようにお客様を助けているか？

ThreatLabz チームは、いくつかの野放しな脅威アクターグループと関連するキャンペーンを積極的に追跡しています。Zscaler Cloudのテレメトリは、チームのために新しい脅威アクティビティへの洞察を入手し、Zscalerセキュリティプラットフォーム全体にわったって迅速な検出範囲を確保するために、独自の可視性（2000億件以上のトランザクションを安全に保ち、1億5千万件以上の脅威をブロックし、毎日4億件以上の新規のユニークなファイルを破壊）を実現します。

最近の攻撃に関するすべての既知の指標について、以下の適用範囲を追加しました。今後も詳細が明らかになり次第、更新していきます。

 

高度な脅威保護

Win32.Trojan.KillDisk

Win32.Trojan.HermeticWiper

VBA.Downloader.Gamaredon

VBS.Downloader.Gamaredon

DOC.Downloader.Gamaredon

 

高度なクラウドサンドボックス

Win32.Trojan.HermeticWiper

高度なクラウドサンドボックスレポート

以下の図2は、Wiperマルウェアのサンドボックス検出レポートを示しています。

図2：Zscalerクラウドサンドボックスレポート - Hermetic Wiper 

以下の図3は、Zscalerのサンドボックスで検出されたドキュメントテンプレート（攻撃チェーン#1によるもの）を示しています。

図3：Zscalerクラウドサンドボックスレポート - 標的型攻撃ドキュメントテンプレート

 

詳細情報

IOCの詳細などの最新情報は、当社 テクニカル分析ブログ をご覧ください。

Zscalerのお客様で、今回の紛争に関連する攻撃の計画や修正について追加のサポートが必要な場合は、サポートセキュリティチャンネルを通じてThreatLabzチームにご連絡ください。お客様の信頼できるセキュリティパートナーとして、当社がお手伝いします。