脅威グループ「Volt Typhoon」に要注意
2023/6/19 - 読み終える時間: 2 分
Threat group Volt Typhoon warrants attention の翻訳版です。
脅威グループ「Volt Typhoon」に要注意
2023年6月15日
著者: Cyril Englert / Solution Architect
マイクロソフトは最近、同社が "米国内の重要なインフラストラクチャ組織を狙った、クレデンシャルアクセスとネットワークシステムの発見に焦点を当てたステルスかつ標的型の悪意のある活動を発見した "と報告しました。Volt Typhoonは、中華人民共和国を拠点とする国家支援行為者で、"将来の危機の際に米国とアジア地域間の重要な通信インフラを混乱させることができる能力の開発を追求している "という。その結果、FBI、NSA、CISA、およびオーストラリア、ニュージーランド、英国、カナダのサイバーセキュリティ機関は、共同でサイバーセキュリティアドバイザリー(CSA)を発表しました。
複数の情報源によると、最初の攻撃は、未知のゼロデイ脆弱性を悪用して、インターネットに公開されたFortinet FortiGuardデバイスを侵害することだそうです。標的のネットワークに侵入した後、ハッカーは、キーボードの実地操作とPowerShell、Certutil、Netsh、Windows Management Instrumentation Command-line (WMIC)などのバイナリを使って、Microsoftが「リビングオフザランド」攻撃と表現する攻撃を開始します。特権アクセスを活用することで、ハッカーはLocal Security Authority Subsystem Service(LSASS)を通じて認証情報をダンプできます。盗んだ認証情報は、ハッカーがAwenベースのWebシェルを展開し、ハッキングされたシステム上でデータの流出することを可能にします。
Volt Typhoonは今のところ、米軍や政府に関係するデータを保持する組織から情報を盗むことに重点を置いているようです。最近、米海軍のカルロス・デル・トロ長官は、マイクロソフトが水曜日に明らかにした中国政府によるハッキングが海軍に影響を及ぼしていると述べた。デルトロ氏は、米海軍はサイバー攻撃によって「影響を受けている」と述べたが、それ以上の詳細な説明は避けた(2)。
Volt Typhoonは、機密データを流出させ、重要なインフラを破壊する能力があるため、その影響は重大である。組織が攻撃からシステムを保護するための積極的な対策を講じることは極めて重要です。
マイクロソフトは、Volt Typhoonの被害に遭うリスクを低減するために、いくつかの推奨事項を挙げています。
- ハードウェアセキュリティキーの使用、パスワードレスサインイン、パスワードの有効期限ルール、未使用のアカウントの無効化など、多要素認証ポリシーを実施する
- Microsoft Defender for Endpointで、この脅威に関連する活動をブロックまたは監査するために、攻撃対象領域削減ルールを有効にする
- Windows 11デバイスでLSASSのProtective Process Lightを有効化する
- Windows 11のEnterpriseエディションでWindows Defender Credential Guardを有効にする
- Microsoft Defender Antivirusでクラウド配信の保護をオンにする
- エンドポイント検出と応答をブロックモードで実行し、悪意のあるアーティファクトをブロックする
BigFixを使用している組織は、以下の方法で攻撃を継続的に低減する必要があります:
- 発見された脆弱性に対して継続的にパッチを適用し、修復することで、攻撃対象領域を縮小すること
- 自動修復を伴うコンプライアンスチェックを確実に実施する。パスワードの期限切れルールの実施、アンチウイルス(AV)、エンドポイント保護(EPP)、エンドポイント検出および応答(EDR)エージェントの実行を維持する
- CyberFOCUS MITRE APT Simulator を使用して、環境に存在する Advanced Persistent Threat を特定、優先順位付け、緩和する
- ソフトウェアのアップデートを可能な限り迅速に展開する
BigFixの詳細については、www.BigFix.com をご覧ください。HCL にコンタクトを取られる場合はこちらからお願いします。