「ゴールデンチケット」産業スパイ、高度なAPTがITインフラストラクチャをターゲットに

ジャカルタ - カスペルスキーICS CERTは、東欧諸国とアフガニスタンで軍産複合体企業や公共機関に対する標的型攻撃の波を検出しました。サイバー犯罪者は、産業スパイ目的で被害者のITインフラストラクチャ全体を制御できます。

カスペルスキー産業制御システムサイバー緊急対応チーム(Kaspersky ICS CERT)は、カスペルスキーが2016年に立ち上げたグローバルプロジェクトで、オートメーションシステムベンダー、産業施設の所有者と運営者、ITセキュリティ研究者の取り組みを調整し、産業企業をサイバー攻撃から保護します。

2022年1月、カスペルスキーの研究者は、軍事企業や公的機関に対するいくつかのフォローアップ攻撃を目撃しました。このような攻撃の主な目的は、会社の個人情報にアクセスし、ITシステムを制御することです。攻撃者が使用するマルウェアは、中国語のAPTグループであるTA428 APTによって拡散されたマルウェアに似ています。

攻撃者は、慎重に細工されたフィッシングメールを送信して企業ネットワークに侵入し、その中には、メールの送信時に公開されていなかった組織固有の情報が含まれているものもあります。これは、攻撃者が意図的に攻撃の準備をし、事前にターゲットを選択していることを示しています。

フィッシングメールには、攻撃者が追加のアクティビティなしで任意のコードを実行できる脆弱性を悪用する悪意のあるコードを含むMicrosoft Word文書が含まれています。この脆弱性は、Microsoft Office のコンポーネントである古いバージョンの Microsoft Equation Editor に存在します。

さらに、攻撃者は 6 つの異なるバックドアを同時に使用して、悪意のあるプログラムのいずれかがセキュリティ ソリューションによって検出および削除された場合、感染したシステムとの追加通信チャネルを設定します。このバックドアは、感染したシステムを制御し、機密データを収集するための広範な機能を提供します。

攻撃の最終段階では、ドメインコントローラをハイジャックし、組織のすべてのワークステーションとサーバーを完全に制御し、そのうちの1つのケースでは、サイバーセキュリティソリューションのコントロールセンターを乗っ取ったことさえありました。

ドメイン管理者権限と Active Directory へのアクセスを取得した後、攻撃者は "ゴールデン チケット" 攻撃を実行します。組織のユーザー アカウントを任意に偽装し、攻撃対象の組織の機密データを含むドキュメントやその他のファイルを検索すること。その後、データはさまざまな国でホストされている攻撃者のサーバーに侵入されます。

ICS CERT Kasperskyのセキュリティ専門家であるVyacheslav Kopeytsev氏は、ゴールデンチケット攻撃はWindows 2000の可用性以来使用されていたデフォルトの認証プロトコルを利用していると述べた。企業ネットワーク内で Kerberos チケット認可チケットを偽造することにより、攻撃者は任意のサービスに独立してアクセスできます。ネットワークが無期限に持っていること。

「その結果、単にパスワードを変更したり、侵害されたアカウントをブロックしたりするだけでは不十分です。私たちのアドバイスは、ICS CERT Kasperskyのセキュリティ専門家であるVyacheslav Kopeytsev全員を慎重に精査し、疑わしいアクティビティがないか確認し、信頼できるセキュリティソリューションに頼ることです。