過去10年間で、サンドウルムとして知られるクレムリンの最も攻撃的なサイバー戦争部隊は、ロシア大統領ウラジミール・プーチン大統領のロシアの隣人への本格的な侵略以来、さらにハッキングキャンペーンをウクライナの苦しみに集中してきました。現在、マイクロソフトは、その悪名高いハッキンググループ内のチームがターゲットをシフトし、無差別に世界中のネットワークに違反していることを警告しており、昨年、英語を話す西洋諸国のネットワークに特別な関心を示しているようです。
水曜日に、MicrosoftのThreat Intelligenceチームは、同社のアナリストがBadpilotを呼んでいるというSandworm内のグループの新しい研究を発表しました。マイクロソフトは、チームを、サンドウルムの大規模な組織内の他のハッカーへのアクセスを引き渡す前に、被害者ネットワークの侵害と足場の獲得に焦点を当てた「初期アクセス操作」と説明しています。 。 Badpilotの最初の違反の後、他のサンドワームハッカーは侵入を使用して被害者ネットワーク内を移動し、情報を盗んだり、サイバー攻撃を開始したりするなどの効果を実行しました、とMicrosoftは言います。
Microsoftは、BadPilotが大量の侵入の試みを開始し、幅広いネットをキャストし、結果を整理して特定の犠牲者に焦点を当てると説明しています。同社は、過去3年間にわたって、グループのターゲットの地理が進化したと言います。2022年には、ほぼ完全にウクライナに照準を合わせ、2023年にハッキングを世界中のネットワークに拡大し、2024年に再び移動しました。米国、英国、カナダ、オーストラリアの犠牲者について。
「彼らは最初のアクセスの試みを吹き飛ばし、何が戻ってくるかを見て、そして彼らが好きなターゲットに焦点を合わせているのを見ています」と、MicrosoftのThreat Intelligence戦略ディレクターのSherrod Degrippoは言います。 「彼らは焦点を合わせるのが理にかなっているものを選んで選んでいます。そして、彼らはそれらの西側諸国に焦点を合わせています。」
マイクロソフトは、バッドパイロットの侵入の特定の犠牲者に名前を付けませんでしたが、ハッカーグループのターゲットには「エネルギー、石油、ガス、通信、出荷、武器製造」、「国際政府」が含まれていると広く述べています。 Microsoft氏によると、少なくとも3回は、その運用により、サンドワームがウクライナのターゲットに対して実行するデータを破壊するサイバー攻撃につながったと述べています。
マイクロソフトがバッドパイロットを追跡した3年以上にわたって、グループは、インターネット向けソフトウェアの既知の脆弱性を使用して被害者ネットワークへのアクセスを獲得しようとしました。 、およびZimbra。特に昨年の西部ネットワークのターゲティングにおいて、Microsoftは、BadPilotがPCS上でFortinetのセキュリティソフトウェアを中央に管理するもう1つのアプリケーションであるリモートアクセスツールConnectWise ScreenConnectおよびFortinet Forticlient EMSの脆弱性を具体的に活用していると警告しています。
これらの脆弱性を活用した後、Microsoftは、BadPilotが通常、AteraエージェントやSplashtopリモートサービスなどの正当なリモートアクセスツールを使用して、被害者マシンへの永続的なアクセスを提供するソフトウェアをインストールすることを発見しました。場合によっては、よりユニークなひねりを加えて、被害者のコンピューターをセットアップして、Tor Anonymityネットワークでいわゆるタマネギサービスとして実行され、本質的にTorのプロキシマシンのコレクションを介して通信して通信を介して通信するサーバーに変えます。
#ロシアの悪名高いサンドワームユニット内のハッカーグループは西部ネットワークに違反しています