米国連邦捜査局(FBI)の最重要指名手配犯リストには、世界中のハッカー犯や国家規模の脅威アクターが多数含まれるようになりました。「Cyber’s Most Wanted(サイバー犯罪最重要指名手配犯)」のページに掲載されている最新の攻撃者には、イラン人の Mansour Ahmadi、Ahmad Khatibi Aghda、Amir Hossein Nickaein Ravari の名があります。米国連邦大陪審は 2022 年 8 月にこの 3 人を起訴しましたが、彼らは依然として捕まっていません。
ランサムウェアによる連続犯罪
米国司法省(DOJ)によると、これらのサイバーアクターは米国、英国、イスラエル、さらにはイラン国内でさえも、さまざまな組織を標的としてきました。
彼らは中小企業、政府機関、非営利組織、教育機関、宗教団体に対しランサムウェア攻撃を行ったとされています。被害者には、医療センター、輸送サービス、公益事業者など、複数の重要なインフラ部門も含まれます。
法廷文書によると、3 人は同胞達とともに不正にネットワークにアクセスし、データを引き出し暗号化した上で、以下を含む何百もの被害者を脅迫しました。
- イリノイ州、ニュージャージー州の会計事務所
- ニュージャージー州の郡区
- ワシントン州の公営住宅公団
- ペンシルバニア州の家庭内暴力の被害者のためのシェルター
- ミシシッピ州、インディアナ州の地域電力会社
- ワイオミング州の郡政府
- 重要なインフラプロジェクトに取り組むワシントン州の建設会社
- 州弁護士会
国家主導の APT グループとのつながり
米国財務省外国資産管理局(OFAC)はこの 3 人がイランのイスラム革命防衛隊(IRGC)と関連があるとしています。この IRGC の傘下のグループは、金銭的利益やインテリジェンスの収集を目的としたマルウェアによる攻撃に関わっているとされています。
脅威アクターの目的
FBI、サイバーセキュリティ・社会基盤安全保障庁(CISA)、オーストラリアサイバーセキュリティセンター(ACSC)、 国家サイバーセキュリティセンター(NCSC)は、アクターは特定の分野を標的とするのではなく既知の脆弱性を悪用することに重点を置いていると判断しています。国家が関連しているアクターは、スパイ活動、混乱、金銭的利益などを目的としたデータの引き出しや暗号化、ランサムウェア、脅迫といった追加のオペレーションにこのアクセスを利用できます。
注目すべきツール
- BitLocker:暗号化のため
- PowerShell のカスタムスクリプト
- 初期アクセスの取得に使用される Fast Reverse Proxy(FRP)クライアント亜種の TunnelFish マルウェア
- DiskCryptor:暗号化のため
- Mimikatz:認証情報の搾取のため
- WinPEAS:権限昇格のため
- SharpWMI(Windows 管理インストルメンテーション)
- WinRAR:収集したデータのアーカイブのため
- FileZilla:ファイル転送のため
脅威アクターの活動
FBI と CISA は次のような活動を確認しています。
- 2021 年 3 月:同グループは、Fortinet FortiOS の脆弱性 CVE-2018-13379、CVE-2020-12812、CVE-2019-5591 に対し脆弱なデバイスを求め、ポート 4443、8443、10443 をスキャン。
- 2021 年 5 月:同グループは Fortigate アプライアンスを悪用し、米国の地方自治体のドメインをホストする Web サーバーにアクセス。
- 2021 年 6 月:同グループは Fortigate アプライアンスを悪用し、米国を拠点とする子どもの医療に特化した病院に関連する環境制御ネットワークにアクセス。FBI と CISA の評価によると、APT アクターは、病院のネットワークに対しさらなる悪意のある活動を可能にするために、イラン政府のサイバー活動と関係のある IP アドレスに割り当てられたコマンドアンドコントロール(C2)サーバーを利用した可能性が高いと考えられる。
- 2021 年 9 月、10 月:アクターは Microsoft Exchange ProxyShell の脆弱性 CVE-2021-34473 と Log4j の脆弱性を利用してTunnelFish を展開することで、続くオペレーションに先立ってシステムへの初期アクセスを取得。
国家規模のサイバー攻撃に関する BlackBerry の専門知識
BlackBerry のインシデント対応(IR)チームは、APT インシデント対応における 13 の「大罪」という 3 部構成の特別レポートを最近完成しました。 レポートは IR の 100 年以上の経験を結集したものです。このブログシリーズに含まれるヒントの多くは、組織が上記のような攻撃の被害に遭うのを防ぐのに役立つような対策に関するものです。また、BlackBerry はあらゆる規模や垂直産業の組織を対象にセキュリティとレジリエンスの評価と強化を行っています。現在、攻撃の標的となっていると思われ、緊急のサポートが必要な場合は、電子メールでご連絡いただくか(DLIR@blackberry.com)、または当社の 問い合わせフォームをご利用ください。