Microsoft が CYBERWARCON 2023 で脅威インテリジェンスを共有

で サイバーウォーコン2023 カンファレンスでは、Microsoft と LinkedIn のアナリストが複数のセッションで、複数の脅威アクターと関連アクティビティの分析を詳しく説明します。 このブログは、これらのプレゼンテーションで取り上げられた調査の内容を要約することを目的としており、脅威アクターを追跡し、顧客を保護し、より広範なセキュリティ コミュニティと情報を共有するための Microsoft Threat Intelligence の継続的な取り組みを紹介します。

反応的かつ日和見主義：イスラエル・ハマス戦争におけるイランの役割

このプレゼンテーションでは、2023 年 10 月 7 日のイスラエル・ハマス戦争開始前後のイラン系グループによる活動を比較対照します。 この報告書は、表向き新たな目的を達成するために、イランの通信事業者が既存のアクセス、インフラストラクチャ、ツールを活用した数多くの事例を浮き彫りにしています。

物理的衝突が発生して約1か月が経過したこの分析は、イラン情報治安省（MOIS）やイスラム革命防衛隊（IRGC）に関連する者など、観察されたイランの関係者に特有の、急速に進化する分野における早期の結論を提供する。 プレゼンテーションでは特定の地域で観察された攻撃手法について詳しく説明していますが、マイクロソフトはこの情報を共有して、被害者を欺くためのソーシャル エンジニアリング手法や脆弱なユーザーの搾取など、イランの通信事業者が使用しているものと同様の攻撃手法に直面している世界中のより広範な組織に情報を提供し、その保護に役立てています。デバイスとサインイン資格情報。

まず、マイクロソフトは、イランのグループ (IRGC と MOIS) がハマスの計画と 10 月 7 日のイスラエル・ハマス戦争開始に合わせて事前に計画されたサイバー攻撃を調整していたことを示唆する証拠を確認していません。 メディアやその他の公的報告は、10月7日のイスラエルへの物理的攻撃の計画にイランが積極的な役割を果たしたと示唆するかもしれないが、マイクロソフトのデータは物語の別の部分を物語っている。

マイクロソフトのテレメトリによる観察によれば、少なくともサイバー領域では、イランの通信事業者は戦争が始まって以来、主に後手に回り、地上で起きている出来事の展開に合わせて機会を利用してそれを利用しようとしていたことが示唆されています。 地上戦の開始からマイクロソフトがイランのサイバー領域での参戦を確認するまでに11日かかった。 2023 年 10 月 18 日、マイクロソフトはイスラエルのインフラストラクチャを標的とした 2 つの別々の破壊的攻撃のうちの最初の攻撃を観測しました。 イランが管理するオンライン上のペルソナはこれらの攻撃による影響を誇張していましたが、データはどちらの攻撃も本質的には日和見的であった可能性が高いことを示唆しています。 具体的には、オペレーターは既存のアクセスを活用するか、最初に利用可能なターゲットへのアクセスを取得しました。 さらに、データは、ランサムウェア攻撃の場合、イラン攻撃者の影響力と正確な標的化の主張がほぼ確実に捏造されたことを示しています。

第二に、マイクロソフトは、イランの通信事業者が実証済みの戦術を採用し続けており、特にコンピューター ネットワーク攻撃の成功を誇張し、情報操作の適切に統合された展開を通じてそれらの主張や活動を拡大していることを観察しています。 これは本質的に、日和見攻撃の悪名と影響を誇張して、その効果を高めることを目的としたオンライン プロパガンダを作成していることになります。 たとえば、マイクロソフトは、イランの攻撃者が接続されたウェブカメラを侵害し、その活動をより戦略的なものとして組み立てていることを観察し、特定のイスラエル軍事施設にあるカメラを標的にして侵害に成功したと主張しました。 実際には、侵害されたカメラは、定義された 1 つの領域の外に散在する場所に設置されていました。 これは、イラン関係者の戦略的主張にもかかわらず、このカメラの例は、結局のところ、敵対者が日和見的に脆弱な接続デバイスを発見して侵害し続け、この日常的な作業を現在の紛争の文脈でより影響力のあるものとして再構築しようとしたケースであることを示唆しています。

第三に、マイクロソフトは、世界中で物理的な紛争が増加し、さまざまなレベルの洗練されたサイバー作戦に拍車をかけているため、この分野は急速に進化しており、潜在的なエスカレーションとより広範な業界、地域、顧客への影響を評価するための綿密な監視が必要であることを認識しています。 Microsoft Threat Intelligence は、現在の戦争が長期化するにつれてイランの通信事業者が事後対応的な姿勢からより積極的な活動に移行し、目的を追求するために戦術を進化させ続けると予想しています。

デジタル現実: 重要なインフラストラクチャーの急増

このプレゼンテーションでは、Microsoft 脅威インテリジェンスの専門家が、中国に関連する脅威アクターである Volt タイフーンを Microsoft が発見した経緯と、米国とその領土 (グアムなど) の重要インフラおよび主要リソースに対して観察された敵対者グループの活動のタイムラインを聴衆に説明します。 。 このプレゼンテーションでは、ボルト タイフーンが作戦を実行するために使用する特定の技術、戦術、および手順 (TTP) のいくつかに焦点を当てています。 この講演では、マイクロソフトがどのように脅威アクターを追跡し、ボルト タイフーンの活動が将来の潜在的な紛争状況で使用されるための基礎を築くことと一致していると評価したかについての洞察が取り上げられます。 これらの洞察は、Microsoft の脅威インテリジェンスの収集と分析につながるバックストーリーを示しています。 ボルト タイフーンに関する 2023 年 5 月のブログ、俳優の範囲と能力をコミュニティと共有します。

CYBERWARCON では、Microsoft は Volt タイフーンのアクティビティに関する最新情報を提供し、Microsoft が 5 月にブログ投稿をリリースして以来の TTP とターゲティングの変化を強調しています。 具体的には、Microsoft は、Volt タイフーンが運用上のセキュリティを向上させ、以前に侵害された被害者に密かに戻ろうとしていると見ています。 この攻撃者は、これまで標的にされていた業界に加えて、たとえば大学環境も標的にしています。 このプレゼンテーションでは、マイクロソフトの専門家がボルト タイフーンの分析を、中国の軍事ドクトリンと現在の地政学的情勢に関するサードパーティの調査および研究と比較しています。 これにより、脅威アクターの現在および将来の活動の背後にある考えられる動機についてセキュリティ コミュニティに追加のコンテキストが追加されます。

Microsoft はまた、Volt タイフーンの活動を追跡する際のギャップと限界、およびセキュリティ コミュニティが協力してこの脅威アクターによる将来の脅威を軽減する戦略を開発する方法についても説明しています。

「あなたは私を編集します。 あなたは私をロムコムに連れて行ってくれました。」 – サイバー犯罪とスパイ行為が遭遇したとき

長年にわたり、セキュリティ コミュニティは、ロシアの国家と連携したさまざまな主体がさまざまな程度およびさまざまな目的でサイバー犯罪エコシステムに関与しているのを観察してきました。 CYBERWARCON 2022 で Microsoft は、Prestige として知られるこれまでに見たことのない「ランサムウェア」株の開発について議論しました。 貝殻ブリザード(イリジウム)、このグループはロシアの軍事情報将校で構成されていると報告されている。 新しい「ランサムウェア」株を装ったこのサイバー攻撃は、スポンサー組織にもっともらしい否認のうわべを提供しながら、混乱を引き起こすことを目的としていました。

今年のCYBERWARCONでは、Microsoftの専門家が別の脅威アクターであるStorm-0978についてプロファイルしている。Storm-0978は2022年初頭に出現し、サイバー犯罪活動と、ロシア軍やその他の地政学的利益に利益をもたらすスパイ活動/有効化活動の両方を確実に実行しており、ロシアとの関係がある可能性がある。セキュリティサービス。 この Storm-0978 の敵対者の活動には、犯罪とスパイ活動の両方が交差する二重性があるため、Microsoft がカンファレンス参加者に調査を呼びかけている疑問が生じます。 Storm-0978 はスパイ活動を行っているサイバー犯罪グループですか、それともサイバー犯罪を行っている政府支援のスパイグループですか? 歴史的には別々の犯罪であったものが、地政学的な目的と結びついているのはなぜでしょうか? この二重性は、戦時中のサイバー作戦を拡大するロシアの能力が制限されつつあることを何らかの形で反映しているのだろうか？ ロシアは、将来の破壊的攻撃をある程度の妥当性をもって否定できるようにするために、サイバー犯罪分子を作戦に投入しているのでしょうか? ウクライナ戦争は、ロシアが周辺地域で他の能力を発動する必要があった可能性が高いことを示した。 Storm-0978は、戦時環境と戦略的景観の両方の目的を達成するために、効果主導型の作戦や事前配置を達成するために他の要素が利用されたことが明らかな、ありそうな一例である。

ランサムウェア経済やその他のサイバー犯罪傾向に関する Microsoft の広範な洞察と、ロシア国家の敵対者を追跡した経験により、CYBERWARCON で Storm-0978 攻撃者のプロフィールを提示することが可能になります。Microsoft は、このプロファイルがより広範なセキュリティ コミュニティによってさらに充実し、分析されることを期待しています。経験、データセット、結論。

偽アカウントとの戦いに関する LinkedIn の最新情報

このプレゼンテーションは、LinkedIn の脅威防御および防御チームが、プラットフォーム上の民間部門攻撃者 (PSOA) とも呼ばれるサイバー傭兵の調査から学んだことに焦点を当てています。 このプレゼンテーションの焦点は、有名な傭兵俳優である Black Cube (Microsoft はこの俳優を Blue Tsunami として追跡しています) と、彼らが LinkedIn 上でどのように活動しようとしているかについて私たちが学んだことです。 この議論には、Black Cube がこれまでにハニーポット プロファイル、偽の仕事、偽の企業をどのように利用して、Black Cube の顧客に関心のある組織や懸念のある組織にアクセスできるターゲットに対して偵察または人的諜報 (HUMINT) 作戦に従事してきたかについての洞察が含まれています。

参考文献

Microsoft Threat Intelligence コミュニティによる最新のセキュリティ調査については、Microsoft Threat Intelligence ブログをご覧ください。 https://aka.ms/threatintelblog。

新しい出版物に関する通知を受け取り、ソーシャル メディアでのディスカッションに参加するには、X でフォローしてください。 https://twitter.com/MsftSecIntel。