パロアルトは、アジアの重要インフラストラクチャを標的としたボルトタイフーン攻撃を正確に削減する方法を明らかにします

ジャカルタ - 先週、マイクロソフトは、中国が支援する悪意のあるアクターであるVoltンによる重要なインフラストラクチャを標的とした悪意のあるアクティビティの発見を開始しました。

その発明の中で、マイクロソフトは2021年からアクティブなハッカーがリビングオフロンドン(LotL)サイバー攻撃を使用していることを発見しました。この手法には、侵害されたシステム上のデバイスを悪用して攻撃を実行することが含まれます。

これらのデバイスには、PowerShell、WMI、コマンドラインインターフェイス、バッチファイルが含まれます。Voltンは、米国(US)とアジア地域の間の重要な通信インフラストラクチャを混乱させる可能性のある機能の開発をターゲットにしていることが知られています。

通常3つのフェーズからなるLotL攻撃。偵察段階では、攻撃者は、システムアーキテクチャ、ソフトウェアバージョン、ネットワーク構成、ユーザー特権など、侵害されたシステムに関する情報を収集します。

「これは、最も潜在的な取の長所、短所、短所を特定するのに役立ちます」と、Palo Total Networksのアジア太平洋および地域最高セキュリティ責任者(CIO)であるSean Ducaは、5月30日火曜日にVOIが受け取った声明で述べています。

第二に、Ducaは、初期のアクセス段階では、悪意のあるWebサイトへのアクセス、フィッシングメールの開設、感染したUSBの使用など、ネットワークデバイスや安全でないユーザーアクティビティの脆弱性により、違反が発生すると説明しました。これらのアクティビティはすべて、悪意のあるワイヤレススクリプトによって侵害されています。

第三に、悪意のあるアクティビティの実行には、特権の向上、データのエクスフィルトレーション、およびシステム構成の変更が含まれます。このオペレーションは、ハッカーの目標を達成できるように、セキュリティシステムスキャナの「レーダー」を適切に回避する戦術に焦点を当てています。

「企業、政府、コアインフラストラクチャプロバイダーは、ホストベースの防御とネットワークを統合することにより、ますます洗練された脅威に対処するためにサイバーセキュリティ戦略を改訂する必要があります」とDuca氏は述べています。しかしその一方で、ネットワークベースの防御は、予期しないトラフィックや通信パターンを調べることができます。

「したがって、最も効果的な戦略は、エンドポイントベースの防御とネットワークを同時に使用し、あるシステムからの洞察を使用して別のシステムを改善し、組織をより適切に保護するために協力することです」とDuka氏は説明します。

エンドユーザーレベルでは、アプリケーションホワイトリストを実装することで、ユーザーは承認された信頼できるアプリのみがネットワーク内で動作できるようにします。この積極的なアクションにより、プログラムまたは不正なスクリプトの実行が制限され、LOtL攻撃のリスクが軽減されます。

LotL攻撃者は、ソフトウェアの古いバージョンで見つかった脆弱性を利用して、認証されていないアクセスを得ました。

「したがって、ネットワーク全体の自動スキャンとシステムアップデートは、リスクを最小限に抑えるために不可欠です」とDuca氏は述べています。

「さらに、高度なAI対応アクセス管理ソリューションを使用することで、サイバーセキュリティの専門家は、ソリューションが情報やイベントを管理できるようにしながら、インテリジェンスと機密扱いにより集中できるため、非常に高速でほぼリアルタイムの検出と応答時間が可能になります」と彼は付け加えました。