複数ライセンス割引見積
コンピュータセキュリティ ロシアのシーシェル・ブリザード・ハッカーが重要インフラの標的に侵入、マイクロソフトが警告

ロシアのシーシェル・ブリザード・ハッカーが重要インフラの標的に侵入、マイクロソフトが警告

コンピュータセキュリティMuraまで
翻訳内容:
日本語

ロシアとつながりのある危険なハッカー集団「シーシェル・ブリザード」が、世界中の重要インフラへの攻撃を激化させており、長期的なサイバースパイ活動や破壊活動に対する懸念が高まっている。マイクロソフトの最近の警告によると、この集団は高価値システムに侵入するだけでなく、侵入したネットワークを長期的に制御するために深く潜り込んでいるという。

シーシェル・ブリザードは悪名高いロシアの脅威アクターである

Seashell Blizzard は、APT44、BlackEnergy Lite、Sandworm、Telebots、Voodoo Bear としても追跡されており、少なくとも 2009 年以来、重大なサイバー脅威となっています。このグループは、ロシアの軍事情報機関 GRU (具体的には Unit 74455) の傘下で活動していると広く考えられています。Seashell Blizzard は、2017 年に世界中の企業を麻痺させた悪名高い NotPetya ランサムウェアや、2015 年にウクライナの重要なシステムを標的としたKillDisk マルウェアなど、破壊的な攻撃で悪名高いグループです。

長年にわたり、Seashell Blizzard は次のような重要なインフラ部門を標的にしてきました。

  • エネルギー
  • 給水
  • 政府機関
  • 軍事ネットワーク
  • 通信
  • 交通機関
  • 製造業

これらの攻撃は無作為に行われたものではなく、特にウクライナにおいてロシアの軍事目標と密接に一致しており、ウクライナではサイバー戦争がロシアの広範な紛争戦略の重要な要素となっている。

永続的なアクセスに焦点を当てた新しいサブグループ

Microsoft の最新レポートでは、少なくとも 4 年間、目立たないところで活動してきた Seashell Blizzard 内のサブグループの出現が強調されています。このサブグループは、脆弱なシステムへの初期アクセスを獲得し、長期的な持続性を確立するという 1 つの重要なミッションに専念しています。これにより、ハッカーは侵害されたシステムを数か月、場合によっては数年間制御し、いつでも破壊的な攻撃を仕掛ける準備を整えることができます。

BadPilotキャンペーンと呼ばれるこの取り組みは2021年から続いており、より広範なネットワーク侵害を容易にするために価値の高いターゲットに侵入することに重点を置いています。このサブグループの手法は、広く使用されているソフトウェアとインターネットに接続されたシステムの脆弱性に依存しており、ステルス的で非常に日和見的であると説明されています。

既知の脆弱性の悪用

攻撃者は、次のような一般的なシステムのよく知られたセキュリティ上の欠陥を悪用しています。

  • ConnectWise スクリーンコネクト (CVE-2024-1709)
  • フォーティネット FortiClient EMS (CVE-2023-48788)
  • Microsoft Exchange (CVE-2021-34473)
  • Zimbra コラボレーション スイート (CVE-2022-41352)
  • OpenFire チャット サーバー (CVE-2023-32315)
  • TeamCity ビルド サーバー (CVE-2023-42793)
  • Microsoft Outlook (CVE-2023-23397)
  • JBOSS サーバー (CVE 未指定)

ハッカーたちは、攻撃的な「スプレー&プレイ」アプローチを採用し、インターネットをスキャンして脆弱なシステムを探し、一斉に攻撃します。侵入すると、Web シェルやリモート監視および管理 (RMM) ソフトウェアなどのツールを使用して自分自身を埋め込み、侵害されたシステムを長期的に制御できるようにします。

制御を維持するために使用される警告技術

システムが侵害されると、サブグループは複数の永続化手法を展開します。

  • Web Shell の展開:リモート制御用のバックドア アクセスを提供します。
  • RMM ツール:秘密のアクセスとさらなるマルウェアの展開を可能にします。
  • 資格情報の収集: OWA ログイン ページと DNS 設定を変更して、ユーザーの資格情報を盗みます。
  • JavaScript インジェクション:ログイン ポータルに悪意のあるコードを追加して、ユーザー名とパスワードを収集します。

    • いくつかのケースでは、こうした持続的なアクセスが破壊的な攻撃に先行しており、これはハッカーがロシアの軍事的および地政学的必要性に応じて、スパイ活動と破壊活動という二重の目的を持った能力を維持していることを示唆している。

    グローバル展開:米国と英国が標的に

    シーシェル・ブリザードのサイバー作戦の主な焦点はウクライナだったが、マイクロソフトの報告書によると、このサブグループは2023年にその範囲を拡大し、米国と英国の組織を標的にしていた。この拡大は危険な変化を示しており、ロシアのサイバー戦争戦略が西側諸国を含むように範囲を広げていることを示唆している。

    持続的かつ増大する脅威

    Microsoft は、このサブグループの勢いが衰えることはないと警告しています。実際、このサブグループは進化を続け、世界中のネットワークに侵入するための革新的な手法を展開し続ける可能性があります。ロシアのウクライナ戦争が継続し、地政学的緊張が高まる中、重要なインフラに対するサイバー攻撃は、現実世界で壊滅的な結果をもたらす可能性があります。

    貝殻ブリザードから組織を守る

    重要な分野の組織は、この継続的な脅威から身を守るために、直ちに行動を起こす必要があります。

    • 既知の脆弱性を修正する: ScreenConnect、Fortinet、Exchange、Zimbra、OpenFire、およびその他の対象ソフトウェアを実行しているシステムが完全に更新されていることを確認します。
    • ネットワーク セキュリティの強化:多要素認証 (MFA) を導入し、機密システムへのアクセスを制限し、異常なアクティビティを監視します。
    • 永続性の監視:定期的にセキュリティ監査を実施して、不正な Web シェル、RMM ツール、またはログイン ページや DNS 構成の変更を検出します。
    • インシデント対応の準備:包括的な対応計画を策定し、バックアップが安全で定期的にテストされていることを確認することで、潜在的な破壊的な攻撃に備えます。

    最終警告

    Seashell Blizzard とその初期アクセス サブグループは、世界中の重要なインフラストラクチャに対する明白かつ差し迫った脅威です。彼らの執拗な持続アクセスの追求は、大規模なサイバー妨害の前兆となり、エネルギー グリッド、水道、交通システム、政府業務を混乱させる可能性があります。Microsoft の最新の調査結果は、次の大規模なサイバー攻撃がすでに重要なシステム内に潜んでおり、攻撃の合図を待っている可能性があることを強く警告しています。


    読み込んでいます...