UNC3944として知られる金銭目的のサイバー犯罪グループが、米国の主要企業に対するランサムウェア攻撃を含む、組織的かつ高度に標的を絞ったハッキングキャンペーンを開始した。. 産業, Googleの脅威インテリジェンスグループの共同レポートによると (GTIG) サイバーセキュリティ企業マンディアント.
グループ, これは次のような別名と重複します “0クタプス” と “散らばった蜘蛛,” 小売業に目を向けている, 航空会社, 従来のセキュリティツールを回避し、人為的ミスを悪用する攻撃の波に保険業界が巻き込まれている.
これらの攻撃では, UNC3944は兵器化されている ソーシャルエンジニアリング, なりすまし, 企業ネットワークに侵入するための内部者のような偵察, VMwareの仮想化プラットフォームを使用している企業に特に焦点を当てています, vSphere.
UNC3944ランサムウェア攻撃は人間中心の戦略に依存している
グループの戦略の中心にあるのは、シンプルだが強力な戦術である: 電話. 捜査官によると、UNC3944の工作員はITヘルプデスクに電話をかけているという。, 過去のデータ侵害から得た身元をつなぎ合わせて従業員になりすます. 説得力のある詳細を武器に, サポートスタッフにログイン資格情報をリセットするよう説得する, 企業システムへの初期アクセス権を与える.
そこから, 攻撃者はランダムに動くわけではない. 彼らは慎重な内部監視を行っている, 内部文書を精査する, SharePoint ファイル, 管理者アカウントと特権アクセスグループを識別するための企業Wiki, 特にVMware管理に関連するもの. 2回目の通話で, 彼らはこれらの高価値ユーザーになりすまして管理権限を獲得する.
このプロセスは多くの技術的防御を効果的に回避する, コードを破るのではなく、人間の行動と弱い認証プロトコルを活用する.
ヘルプデスクからハイパーバイザーへ
中に入ると, グループは王冠の宝石へと向かう: the VMwareインフラストラクチャ 企業の仮想サーバー環境の多くを支える.
盗まれた資格情報の使用, Active Directoryへのアクセスが可能になる, vSphereに横方向に移動する, 仮想マシン群全体を管理する VMware の仮想化プラットフォーム (VM). オペレーティングシステムにランサムウェアを仕掛けているわけではない; 代わりは, VMwareハイパーバイザー層自体を標的にしている, 最小限の検出で環境全体をシャットダウンまたは暗号化できる.
彼らの手法は、管理者自身が使用するツールやプロセスを悪用するため、特に危険です。セキュリティ専門家はこれを「 “自給自足生活” アプローチ. 通常の管理業務を模倣することで, 攻撃者は、ウイルス対策やエンドポイント検出ソフトウェアなどの多くの従来のセキュリティシステムを回避します。, VMwareのバックエンドシステムへの可視性が欠如していることが多い.
UNC3944ランサムウェア攻撃がなぜ検知しにくいのか
これらの侵入を検知するのが難しい理由の一つは、VMwareがアクティビティを記録する方法である。. システムは、管理アクションを追跡する集中化されたvCenterログから、複数のレイヤーのログに依存しています。, 下位レベルのESXiホストログと監査ファイル.
マンディアントのレポートではこれを詳しく説明している:
- vCenter ログ 構造化されたイベントを提供する, ログインやVMのシャットダウンなど. これらはSIEMのような集中システムに転送されれば、アラートやフォレンジック分析に最適です。 (セキュリティ情報およびイベント管理) プラットホーム.
- ESXi ログ, ローカルに保存, ホスト自体の動作(パフォーマンスの問題など)に関する詳細な情報を提供します, ハードウェア障害, または奉仕活動.
- ESXi 監査ログ, デフォルトでは有効になっていません, 潜在的な侵害の最も正確な見解を提供する: ログインしたユーザーをログ記録, 彼らがしたこと, そしてコマンド (マルウェアを起動するなど) 成功または失敗.
Mandiantは、組織が仮想環境全体で何が起こっているかを完全に把握するために、3種類のログをすべて収集することを推奨しています。.
UNC3944ランサムウェア攻撃の解析
によると レポート, UNC3944の攻撃は、通常5つのステップから成るプレイブックに従っている。:
- 最初の妥協 – ヘルプデスクのなりすましによるアクセス.
- 内部偵察 – 会社のリソースをスキャンして管理者アカウントとアクセス資格情報を検索する.
- 特権の昇格 – 特権ユーザーをターゲットにしてなりすます, 高いレベルのアクセス権を取得する.
- VMwareの買収 – Active Directory アクセスを使用して vSphere 環境にアクセスし、仮想サーバーを制御または無効化します。.
- 恐喝または身代金 – 金銭的利益を得るためにシステムを暗号化したり機密データを盗んだりする.
これらは強盗ではない. それぞれの動きは意図的である, 数日または数週間にわたって行われることが多い, 組織のITインフラストラクチャを完全に制御することを目標とする.
何が危機に瀕しているのか
UNC3944の手法により、すでにいくつかの企業が仮想運用を停止せざるを得なくなっている。, 小売取引全体に混乱を引き起こす, 航空会社のスケジュール, 保険処理.
vSphereをランサムウェアの配信システムとして使用することは特に懸念される。, マンディアントのシニアアナリストはこう説明した。. 多くの企業は、仮想化レイヤーが盲点であることにまだ気づいていない。. 適切なログ記録と可視性がなければ, 攻撃者は手遅れになるまで気づかれずに活動できる.
緩和策
セキュリティ専門家は、組織にいくつかの緊急措置を講じるよう勧告している。:
- 管理者アカウントの電話によるパスワードリセットを禁止する. 高い権限のリセット要求には、対面または多要素認証を要求する.
- VMware 監査ログを有効にして監視する. これらは、脅威アクターが侵入後に何をしたかに関する重要な洞察を提供します。.
- ドキュメントとパスワードマネージャーへのアクセスをロックダウンする. 脅威アクターは、運用計画や管理者の秘密を探るために内部ファイルを検索するケースが増えている。.
- 機密グループの変更を監視する. 管理者グループへの更新 “vSphere 管理者” または「ドメイン管理者」はアラートをトリガーし、直ちに調査する必要があります。.
最終的な考え
ソーシャルエンジニアリング, 企業のITインフラストラクチャに関する深い知識と組み合わせる, UNC3944のようなグループに前例のないアクセスと制御を与えている. マンディアントは、仮想インフラに大きく依存する業界では同様のキャンペーンが今後も続く可能性があると警告している。, ヘルプデスクはセキュリティチェーンの弱いリンクのままである.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: