SPECIAL REPORT : Ukraine /by Microsoft

以下はマイクロソフトが公表したウクライナにおけるロシアのサイバー攻撃に関するレポート「Special Report:Ukraine」を機械翻訳したものです。

このレポートでは、ウクライナでの戦争の一環としてマイクロソフトが観察したサイバーアクティビティと、サイバー攻撃から身を守るためにウクライナのサイバーセキュリティ担当者や民間企業と協力して行った作業について詳しく説明します。

マイクロソフトの継続的な日々の取り組みは、ロシアによるウクライナへの攻撃のサイバー要素が破壊的で容赦ないものであることを立証しています。このレポートの目的は、ウクライナでの大規模な「ハイブリッド」戦争の一環としてのロシアのサイバー機能の使用の範囲、規模、および方法についての洞察を提供し、永続的な敵から防御するウクライナの組織の活動を認めることです。世界中の組織に戦略的な推奨事項を提供します。この紛争を通じて、私たちはロシアの国民国家のサイバー攻撃者が動的な軍事行動と協調して侵入を行っているのを観察しました。

ロシア軍が陸、空、海で国を攻撃している間に、少なくとも6人のロシアのAdvanced Persistent Threat(APT)攻撃者とその他の原因不明の脅威が、破壊的攻撃、スパイ活動、またはその両方を実行しました。コンピュータネットワークのオペレーターと物理的な力が、共通の優先順位を独立して追求しているのか、積極的に調整しているのかは不明です。ただし、全体として、サイバーおよび動的アクションは、ウクライナ政府および軍事機能を混乱または低下させ、それらの同じ機関に対する国民の信頼を損なうように機能します。破壊的な攻撃は、紛争中のロシアのサイバー作戦の主要な要素でした。

軍事侵攻の前日、ロシアの軍事諜報機関であるGRUに関連するオペレーターが、ウクライナ政府、IT、エネルギー、金融機関の何百ものシステムに対して破壊的なワイパー攻撃を開始しました。それ以来、私たちが観察した活動には、政府機関のネットワーク、およびロシア軍が地上攻撃やミサイル攻撃の標的となる場合があるさまざまな重要なインフラストラクチャ組織の破壊、破壊、または侵入の試みが含まれています。これらのネットワーク運用は、対象となる組織の機能を低下させるだけでなく、信頼できる情報や重要なライフサービスへの市民のアクセスを妨害し、国のリーダーシップへの信頼を揺るがすように努めてきました。

ウクライナでのサイバー攻撃情報戦に関するロシアの軍事目標に基づくこれらの行動は、ロシア軍に戦術的または戦略的利点を提供する可能性のある情報収集を促進しながら、ウクライナの政治的意志と戦いを継続する能力を弱体化させることを目的としている可能性があります。ウクライナの顧客との関わりを通じて、ロシアのコンピューター対応の取り組みがサービスの技術的混乱と混乱した情報環境の原因に影響を与えていることを確認しましたが、Microsoftは彼らのより広範な戦略的影響を評価できません。

【情報戦に関するロシア軍の見解】

ロシア軍は、防衛省の文書によると、情報戦を「重要な情報システムに損害を与え、政治的、経済的、社会的システムを弱体化させ、国家を不安定化させるために国民を心理的に操作し、国家に利益をもたらす決定を下すように強制することを目的とした情報空間での対立」と定義しています。

元参謀本部長を含む数人の元ロシア軍関係者の集合的なコメントは、情報手段を介して軍の士気を低下させ、指導部の信用を失墜させ、敵の軍事的および経済的可能性を損なう可能性があるという見解を示唆している 従来の武器よりも効果的です。

ウクライナでの破壊的な攻撃

破壊的な攻撃の40%以上は、政府、軍隊、経済、および人々に悪影響を与える可能性のある重要なインフラストラクチャセクターの組織を狙ったものでした。 破壊的な事件の32%は、国、地域、都市レベルでウクライナの政府組織に影響を及ぼしました。 マイクロソフトはまた、脅威の攻撃者がマルウェアをわずかに変更して、展開の各波での検出を回避していることも確認しています。

私たちが見ることのできない継続的な活動があることを認識し、ウクライナのネットワークには、産業用制御システム(ICS)に合わせたものを含め、少なくとも8つの破壊的なマルウェアファミリーが配備されていると推定します。 攻撃者が現在の開発と展開のペースを維持できれば、競合が続くにつれて、より破壊的なマルウェアが発見されると予想されます。

図1:ウクライナで週ごとに破壊的なサイバー攻撃が検出されました
 破壊的なインシデントは、影響を受けるシステムではなく、組織によってカウントされます。 マルウェアは、単一の組織の複数のシステムにまたがるデータを破壊した可能性がありますが、それを1つの破壊的なインシデントとして数えます。

ロシアの戦争準備

マイクロソフトは、過去に散発的にウクライナを標的にしていた脅威アクターがウクライナ内またはウクライナと同盟している組織に対してより多くの行動を起こし始めた2021年3月には、ロシアに連携した脅威グループが早くも紛争の事前準備をしていたと評価しています。 異種の脅威グループ間の調整のレベルについて話すことはできませんが、それらの活動は、戦略的および戦場の情報収集のための永続的なアクセスを確保すること、または軍事紛争中のウクライナでの将来の破壊的な攻撃を促進することを目的としているように見えました。

2021年初頭、ロシア軍が最初にウクライナとの国境に向かって集団で移動し始めたとき、ウクライナの軍事および外国のパートナーシップに関する情報を提供できるターゲットへの最初のアクセスを獲得するための努力が見られました。 ロシアの俳優NOBELIUMは、ロシアの行動に対する国際的な支援の結集に関与するウクライナの利益に反対する大規模なフィッシングキャンペーンを開始しました。 同様に、DEV-0257(一般にはゴーストライターとして知られています)は、ウクライナ軍の電子メールアカウントとネットワークへのアクセスを試みるフィッシングキャンペーンを開始しました。

2021年半ばまでに、マイクロソフトは、ウクライナとそのパートナーに対するNATOの将来のサードパーティの侵入に対するアクセスと事前配置を確保するために、ウクライナと海外のサプライチェーンベンダーを個別に標的とする既知および疑わしいロシアの脅威アクターを観察しました。 ロシアの軍事関係が疑われるこれまで知られていなかったグループであるDEV-0586は、ウクライナの国防省と通信および運輸部門の組織のためにリソース管理システムを構築したIT企業のネットワークを危険にさらしていました。

NOBELIUMは政府にサービスを提供しているIT企業にアクセスしようとしました。主にNATO加盟国の顧客は、時として、特権アカウントを侵害して利用し、西側の外交政策組織からデータを侵害して盗むことに成功しています。 従来のスパイ活動のように見えるものから得られるより広い価値を超えて、NATO加盟国の外交政策組織への永続的なアクセスは、ウクライナでのロシアの行動に応じて西側に何を期待するかについてロシアの指導者に継続的な洞察を提供することができます。 私たちのオンラインサービスで観察されたすべてのロシア支援攻撃活動の約93%は、特に2021年まで、米国、英国、ノルウェー、ドイツ、トルコに対するNATO加盟国を狙ったものでした。

2021年が進むにつれ、複数のロシア人を代表する脅威アクター、政府のセキュリティサービスはウクライナに集結し、ロシアの軍事行動に対するウクライナの軍事的、外交的、または人道的対応に関する貴重な情報を提供できる組織を監視または侵害しました。 ACTINIUMは、8月に、ウクライナを拠点とする外国の軍事顧問と人道主義者のアカウントにアクセスするためのスピアフィッシングキャンペーンを開始しました。 同じ頃、ストロンチウムはウクライナの防衛関連組織を危険にさらそうとしました。 アクチニウム、ノーベリウム、臭素、シーボーギウム、およびDEV-0257は、ウクライナの防衛、防衛産業基盤、外交政策、国および地方行政、法執行機関、および人道組織を含む総ターゲットプールの中で特定の利益への永続的なアクセスを求めました。

脅威アクターは、将来の破壊的な攻撃のためのネットワークにアクセスと永続性も確立しました。 2021年後半、ロシアのサイバー攻撃者と疑われる者は、2022年1月にいくつかのクライアントのネットワークの破壊を促進するためにDEV-0586が侵害したITサービスプロバイダーであるKitsoftを含む、後に破壊的な攻撃の標的となったウクライナのエネルギーおよびITプロバイダーのネットワークに身を置きました。

破壊的な攻撃は差し迫った侵入を示す

2022年初頭、外交努力がエスカレートを解除できなかったときウクライナの国境に沿ったロシアの軍事力増強をめぐる緊張が高まる中、ロシアの脅威アクターは、ウクライナの組織に対して破壊的なワイパーマルウェア攻撃を開始しました。 これらの努力は、ウクライナでのロシアの行動がさらにエスカレートする可能性のある破壊的な段階に入ったことを示しています。 1月初旬、DEV-0586はWhisperGate5マルウェアを起動し、選択したファイル拡張子を探して削除し、マスターブートレコード(MBR)を操作して、対象のマシンを動作不能にしました。 この破壊的なマルウェアは、限られた数の政府およびITセクターのシステムに影響を与え、2月のウクライナ政府のWebサイトの改ざんと相まって、ウクライナの譲歩を促すことを目的とした警告として機能した可能性があります。

ロシアの侵略の前夜にサイバー攻撃が激化したとき、IRIDIUMはFoxBlade6(別名HermeticWiper)マルウェアを配備して、ウクライナの12以上の政府、IT、エネルギー、農業、金融セクターの組織全体で約300のシステムを破壊しました。 IRIDIUMのNotPetyaワームとは異なり、FoxBladeの展開は特定の環境に合わせて調整されました。 展開されると、迅速に移動して、対象となる組織内のすべてのドメインに参加しているデバイスに影響を与えます。

ロシアがウクライナに侵攻

2月24日にロシアがウクライナに侵攻し始めて以来、マイクロソフトはロシアのサイバー脅威グループが軍の戦略的および戦術的目標を支援する行動をとっているのを観察してきました。 軍事攻撃とサイバー侵入のタイムラインは、コンピュータネットワーク操作と軍事操作が共有ターゲットセットに対して連携して機能しているように見えるいくつかの例を示していますが、調整、集中タスク、または単に理解された優先順位の共通セットが 相関。 時々、コンピュータネットワーク攻撃は軍の攻撃の直前にありました、しかしそれらの例は私たちの観点からまれでした。

これまでのサイバー運用は、ウクライナ政府、軍事、経済機能を低下、混乱、または信用を傷つけ、重要なインフラストラクチャの足場を確保し、ウクライナ国民の情報へのアクセスを減らすための行動と一致しています。

アトリビューションに関する注記:MSTICは、米国政府がGRU特殊技術センター(ユニット74455)に帰属させた活動グループであるIRIDIUMが、ウクライナでのFoxBlade、CaddyWiper、およびIndustroyer2の展開につながる侵入活動に関連していることを中程度の自信を持って評価します。

関与する複数の脅威アクター

少なくとも6つの既知または疑わしいロシアのサイバー脅威グループ

他の原因不明の脅威アクターに加えて、偵察やフィッシングから広範囲にわたる横方向の動き、データの盗難、データの削除に至るまでの活動に従事しています。 彼らの活動の複数の段階は、これらの関係者が、この紛争の期間中およびそれ以降、継続的な妥協とウクライナのネットワークへの影響に自分たちを位置づけていることを示唆しています。

サイバーオペレーションは動的アクションを補完している

ウクライナの影響を受けた実体との直接の関与に基づいて、サイバーおよび動的な軍事作戦は同様の軍事目的に向けられているように見えることを観察しました。 脅威活動グループは、多くの場合、動的な軍事イベントとほぼ同じ時期に同じセクターまたは地理的な場所を標的にしました。

オープンソースの動的攻撃データを使用したMicrosoft信号の分析では、侵入の最初の6週間以上の間に、高濃度の悪意のあるネットワークアクティビティが高強度の戦闘と頻繁に重複していることが示されています。 (キネティックおよびサイバーアクティビティのマップを参照してください)。

週ごとの戦争

次の週ごとの分析は、ロシアの軍事作戦の文脈で観察された脅威活動のより詳細なビューを提供し、紛争における一貫したサイバー運動の合同を強調しています。 洞察は限られたデータセットから得られ、脅威アクターとその目的に関する私たちの理解は、紛争と調査が続くにつれて変化する可能性があります。 この最初のビューは、継続的な分析作業の開始基準として役立つはずです。

第1週(2月23日-3月2日):

紛争が始まって以来、疑わしいロシアの脅威アクターとロシア軍がウクライナの情報環境を管理しようと試みてきた。侵略の最初の週に、ロシア軍がウクライナの「偽情報」標的を破壊する意図を発表し、テレビ塔に対してミサイル攻撃を指示したのと同じ日に、ロシアの脅威の疑いのある攻撃者が3月1日に大手放送会社に対してDesertBladeを発射しましたKyiv.7では、DesertBladeの行動とミサイル攻撃により、ウクライナ国民にとって重要な情報源へのサイバーおよび動的な影響が実証されました。

  • 戦争平和報告会は、2月27日に南の都市ベルジャンシクを占領したときにロシア軍が最初にしたことはテレビ塔を占領することであったと報告しました。サイバー軍事目標。メディア企業で破壊的なマルウェアを侵害したり、ステージングしたりする試みは、この紛争の間ずっと続いている傾向です。

イリジウムは、敵の経済を悪化させるというロシアの軍事目標に沿って、ウクライナの経済目標に対して作戦を実施しました。

  • IRIDIUMは、農業会社のネットワーク上にファイル暗号化装置を設置し、このエンティティを将来の破壊のリスクにさらしました。 マイクロソフトは、これがウクライナ経済の主要な輸出商品である穀物生産を対象としている可能性が高いと評価しています。 4月初旬の時点で、世界銀行は、戦争が今年、インフラストラクチャを破壊し、輸出入を窒息させることにより、ウクライナの経済を45.1%縮小させると予測しました。

第2週(3月3日〜9日):

この間、ロシア軍はキーウへの大規模な攻撃に備え、ロシアと連携した脅威アクターが知られ、疑われている間、公開情報源と通信インフラストラクチャを危険にさらし、ウクライナの軍事作戦への洞察を深めようとしました。

  • 別の疑わしいロシアの脅威アクターは、通信セクターシステムで横方向の動きを行い、メディア組織の焦点を絞ったターゲティングを放送組織からデジタルメディア会社に属するシステムを侵害するように拡大しました。
  •  
  • DEV-0257とSTRONTIUMは、それぞれ中央ウクライナのウクライナ軍と公務員に対してフィッシングキャンペーンを指示することにより、軍と地方政府のアカウントへのアクセスを求めました。 地方政府のキャンペーンは、通常、全国レベルの組織を追求してきたSTRONTIUMによる戦術的ターゲティングへの移行でした。

第3週(3月10〜16日):

軍事ユニットが原子力発電所を占領し、ロシアの軍事および国営メディアがウクライナが化学兵器および生物兵器の作成に取り組んでいるという偽情報を押し付けたため、脅威アクターはそれらの取り組みを支援できる原子力部門の組織からデータを盗むための作戦を実施しました。

  • 疑わしいロシアの脅威アクターが、過去に偽のロシアの武器陰謀で取り上げられたウクライナの機関を侵害しました。偽情報の物語を裏付けるために文書を漏らした歴史を持つ俳優であるイリジウムは、3月後半に同じ研究機関に侵入しました。
  • 3月13日、ロシアの国民国家の疑いのあるアクターが、2021年12月にFSB系列のアクターBROMINEが侵害した核安全組織からデータを盗みました。BROMINEは12月から3月中旬までこのエンティティからデータを盗みました。侵略の最初の2週間で、ロシア軍は、廃止されたチェルノブイリ原子力発電所とヨーロッパ最大のザポリージャ原子力発電所を押収し、原子力エネルギー目標に対する明確な軍事的関心を示した。

第4週(3月17日〜23日):

脅威アクターは、ロシア軍がウクライナ東部での戦略的再焦点化を発表する前に、ロジスティクスプロバイダーと地方政府組織を標的にしました。

  • イリジウムは、ウクライナの物資を紛争のホットスポットに移動させることに関与する可能性のある組織のタイプである、輸送/ロジスティクスプロバイダーのネットワークに対して破壊的な攻撃を行いました。 同社はウクライナ西部に本社を置いており、外国の軍事および人道支援の多くがウクライナに流入しています。
  • 1週間前、疑わしいロシアの俳優がウクライナ東部の地方政府ネットワークからデータを削除し、そこでの政府サービスを中断させました。

第5週(3月24日〜30日):

ロシアとウクライナの和平交渉担当者がトルコで紛争の解決について話し合ったため、ロシアと連携した疑いのある攻撃者がウクライナの民間支援および通信部門の組織を標的にした。

  • 未知の攻撃者が、市民を政府サービスに接続し、別の主要なメディア組織のネットワークを侵害したポータルで、データを侵害し、破壊する可能性がありました。これとは別に、ウクライナ当局は、2月24日以降、ロシアの侵略に関する偽情報をウクライナ国民に広めていた5つの「敵」ボットファームを停止させたと報告しました。
  • マイクロソフトは、ロシアと提携している疑いのある攻撃者が、通信プロバイダーネットワークのネットワークで特権を昇格させ、モバイル通信プロバイダーを侵害するための標的化の取り組みを拡大しようとしていることを確認しました。これとは別に、Forbesは、ウクライナ最大の固定通信プロバイダーであるUkrtelecomが深刻なサイバー攻撃を受けたと報告しました。これにより、NetBlocksは

戦前のレベルの13%までサービスを提供します。これは、通信セクターのターゲティングに関する別のデータポイントを提供します。

第6週以降(3月31日から4月8日):

この時期には、エネルギーインフラストラクチャへの攻撃がエスカレートし、ウクライナ人の政府への支援に影響を与えるための的を絞った取り組みが行われました。

  • イリジウムと疑わしいロシアの攻撃者は、侵入が始まる前からウクライナのエネルギー会社のネットワークに侵入を行ってきました。 この期間中、イリジウムは地域のエネルギープロバイダーのネットワークに対して破壊的な攻撃を開始するために次のステップを踏み出しました。 一方、DEV-0586は、ウクライナ市民を政府に反対させるために、サイバー対応の影響力作戦を開始しました。
  • DEV-0586は、包囲されたマリウポリの居住者を装った電子メールを送信しました。これは、ウクライナ政府が彼らを放棄したことを非難し、政府に抵抗することを提案しました。 メッセージには悪意のあるリンクや添付ファイルはありませんでした。これは、意図された目的が影響力のある操作であることをさらに示唆しています。 これは、私たちが電子メールでそのような激しい反政府メッセージを観察した最初の例でした。
これは、ウクライナ市民へのDEV-0586電子メールメッセージのスクリーンショット

ウクライナを守るためのマイクロソフトの支援

マイクロソフトは、このレポートに記載されているように、脅迫または攻撃されていることを確認したことを組織や企業に通知するために一貫して行動してきました。 戦争が始まると、ウクライナ政府のサイバーセキュリティ担当者との間で確立した安全な通信チャネルを使用して、リアルタイムの脅威インテリジェンスとガイダンスを提供し、ウクライナの組織がサイバー攻撃を見つけて打ち負かす取り組みを支援しました。 攻撃対象領域を照らすためのRiskIQの外部からのアプローチを活用して、攻撃者によって攻撃される可能性のある既知の脆弱性に対してパッチが適用されていないウクライナ政府システムに関する実用的な情報をリエゾンに提供しました。

マイクロソフトは、ウクライナのネットワーク防御者のたゆまぬ努力と、この並外れて困難な時期にネットワークを保護し、顧客へのサービスを維持するためにCERTUAが提供する揺るぎないサポートを尊重および認識しています。

ウクライナ政府の同意と協力を得て、私たちは、私たちが観察した種類の攻撃に対するサイバー対策でシステムを積極的に更新するのを支援してきました。 具体的には、ウクライナの組織が既存のフォルダアクセスの制御を有効にすることをお勧めします

デフォルトで無効になっているMicrosoftDefender機能。 この機能は、破壊的なワイパーマルウェアによる被害の一部を有意義に軽減しました。 脅威の活動を追跡することで得られたインテリジェンスを新製品の検出に継続的に統合し、ウクライナベースのインフラストラクチャに対する特定のツールの悪意のある使用をブロックしました。

エンドポイント検出および応答(EDR)ソリューションを実行している顧客が、破壊的な攻撃が開始される前に、アラートに応答し、侵入を修正する方法を直接観察しました。 Microsoftの顧客として、ウクライナのパートナーはEndpointにMicrosoft Defenderを使用していましたが、代替のEDRソリューションでも、非常に必要な可観測性と検出機能を提供できます。 私たちは、米国政府に関連情報を通知し続け、ウクライナを越えて広がる脅威アクター活動の証拠を伝えるために、NATOおよびEUのサイバー当局とのコミュニケーションを確立しました。

このレポートの草案の時点で、マイクロソフトとサイバーセキュリティ会社のESETはウクライナ当局と協力して、ウクライナのエネルギー会社の産業用制御システムインフラストラクチャに対するIRIDIUMワイパー攻撃の影響を特定して軽減しました。 ICSの対象は、重要なインフラストラクチャに物理的な影響を与えることを目的としていたという点で、4月上旬までに観察されたものを超えたエスカレーションでした。

4月12日、ロシアのウラジーミルプチン大統領は、ウクライナとの和平交渉は終了し、彼の「軍事作戦」は目的が達成されるまで継続し、長期にわたる軍事的関与への期待を設定すると述べた。アクションと破壊的な攻撃のターゲットの段階的な拡大、サイバー攻撃はおそらく紛争が激化するにつれてエスカレートし続けるでしょう。エネルギー部門に加えて、ウクライナの通信部門は、その部門での妥協の継続的な追求に基づいて、将来の破壊的な攻撃に苦しむ可能性があります。マイクロソフトは、4月に、通信セクターと主要なISPをサポートするITインフラストラクチャを対象に、IRIDIUM、STRONTIUM、および未知であるが疑わしいロシアの国民国家の脅威アクターが通信セクターの既存のアクセスを侵害または拡大することを確認しました。

ウクライナ国外へのサイバー攻撃の拡大

紛争が続き、各国がウクライナに対してより多くの軍事支援を提供したり、ロシア政府に対してより懲罰的な措置を講じたりするにつれて、ロシアの国民国家の脅威アクターは、報復としてウクライナ国外の標的に対する報復として破壊的な行動を拡大する任務を負う可能性があります。ウクライナで活動しているロシアに所属する関係者は、バルト諸国とトルコの組織、つまりウクライナの政治的、人道的、または軍事的支援を積極的に提供しているNATOの東側のすべての加盟国に関心を示しています。典型的なインテリジェンス収集操作に加えて、このアクティビティは、任務が与えられた場合、将来の破壊的な攻撃のための事前配置を表す場合があります。

マイクロソフトは、これらの顧客に悪意のある活動を通知し、ネットワーク上の脅威を特定して軽減するのに役立つ可能性のある情報を提供しました。マイクロソフトがこれまでに観察したことの多くは、脅威アクターのDEV 0586とIRIDIUMが、マルウェアの展開を特定のターゲットネットワークに制限することにより、破壊的な攻撃の実行を制限して動作していることを示唆しています。ただし、ロシアと連携した国民国家の関係者は、世界中の政府や重要なインフラストラクチャ組織への最初のアクセスを積極的に追求しており、将来のターゲティングの可能性を示唆しています。

マイクロソフトは、ウクライナでの紛争に直接的または間接的に関連しているすべての組織が、このレポートに記載されている脅威から積極的に身を守り、環境内の同様の行動を積極的に監視することを推奨しています。将来の紛争でシステムを防御することに直面する可能性のある組織は、同じ一般的なガイダンスに従って、紛争中の悪意のあるサイバー活動に対する防御を向上させることができます。

推奨事項

マイクロソフトは、ロシアと連携したサイバーオペレーションが、侵入を実行するためにいくつかの一般的な戦術、技術、および手順を使用していることを、私たちの関与を通じて観察しました。 これらの観察結果を、ネットワーク防御者とセキュリティチームのための実用的なガイダンスに変えることができました。 最も一般的な侵入手法には、次のものがあります。

  • 最初のアクセスのための添付ファイル/リンクを使用した、一般向けのアプリケーションまたはスピアフィッシングの悪用。
  • 攻撃のライフサイクル全体での資格情報の盗難と有効なアカウントの使用。これにより、「ID」が主要な侵入ベクトルになります。 これには、Active Directoryドメイン内、およびVPNまたはその他のリモートアクセスソリューションを介したものが含まれます。
  • 管理機能を備えた侵害されたIDに依存する、横方向の移動のための有効な管理プロトコル、ツール、および方法の使用。
  • 既知の公的に利用可能な攻撃機能の使用。静的署名を無効にするためにアクター固有のメソッドを使用して難読化されることがあります。
  • 多くの場合、環境に標準的ではないネイティブユーティリティまたはコマンドを利用します。
  • 上書きまたは削除のためにrawファイルシステムにアクセスする破壊的な機能の使用。

 これらの観察に基づいて、次のアクションを実行することをお勧めします。

クレデンシャルの盗難とアカウントの悪用を最小限に抑える:ユーザーのIDを保護することは、攻撃者からネットワークとリソースを保護するための重要な要件です。マイクロソフトでは、多要素認証およびID検出ツールを有効にすることをお勧めします。さらに、顧客は最小特権アクセスを適用し、最も機密性が高く特権のあるアカウントとシステムを保護するように求められます。

安全なインターネット向けシステムとリモートアクセスソリューション:インターネット向けシステムは、最も安全なレベルに更新され、脆弱性が定期的に評価され、システムの整合性の変更が監査されるようにすることで、外部からの攻撃から保護する必要があります。攻撃者の検出と防止のために、マルウェア対策ソリューションとエンドポイント保護を有効にする必要があります。レガシーシステムは、永続的な脅威アクターのエントリポイントにならないように分離する必要があります。リモートアクセスソリューションでは、2要素認証が必要であり、最も安全な構成にパッチを適用する必要があります。

マルウェア対策、エンドポイント検出、およびID保護ソリューションを活用する:多層防御ソリューションと、訓練を受けた有能な担当者を組み合わせることで、組織はビジネスに影響を与える侵入を識別、検出、および防止できます。クラウド保護を有効にすると、ネットワークに対する既知および新規の脅威を大規模に識別して軽減できます。

調査と復旧を有効にする:環境への脅威を検出または通知された場合、調査を有効にするために主要なリソースを監査することが重要です。お客様は、破壊的な脅威アクターの遅延を防止したり、滞留時間を短縮したりするために、インシデント対応計画を立てて実行することが求められます。お客様は、破壊的なアクションのリスクを考慮したバックアップ戦略を立て、復旧計画を実行する準備をすることが求められます。

破壊的な攻撃からの防御:ウクライナで観察された破壊的な攻撃は、マイクロソフトが近年世界中で特定したランサムウェアのシナリオと同様の特性と緩和策を備えています。攻撃対象領域の削減(ASR)や制御されたフォルダーアクセス(CFA)などのDefender内の機能を活用することにより、破壊的な攻撃から組織を保護するための包括的なガイダンスがあります。これらの機能は、ウクライナやその他の場所での破壊的な攻撃を打ち負かすことに成功しています。

多層防御の「ベストプラクティス」を確認して実装する:セキュリティ関連の決定に明確で実用的なガイダンスを提供するマイクロソフトソリューションのお客様向けに、広範なリソースとベストプラクティスを開発しました。これらは、環境がクラウドのみであるか、クラウドとオンプレミスのデータセンターにまたがるハイブリッド企業であるかにかかわらず、セキュリティ体制を改善し、リスクを軽減するのに役立つように設計されています。 Microsoftのセキュリティベストプラクティスは、ガバナンス、リスク、コンプライアンス、セキュリティ運用、IDとアクセスの管理、ネットワークのセキュリティと封じ込め、情報の保護とストレージ、アプリケーション、サービスなどのトピックをカバーしています。

このレポートは、Microsoft Threat Intelligence Centerのインテリジェンスと調査結果、およびMicrosoftのAI for Good Research Labのデータ分析を活用して、Microsoftのデジタルセキュリティユニットによって作成されています。 マイクロソフト全体のセキュリティチームと協力して、ウクライナの顧客を保護し、洞察と保護の推奨事項を世界と共有するための作業を続けています。

■関連

https://www.cisa.gov/uscert/ncas/current-activity/2022/04/28/cisa-and-fbi-update-advisory-destructive-malware-targeting

【PR】
addelivery.biz
あなたを若返らせる再生医療 – AD delivery
http://addelivery.biz/2020/06/28/美容から治療・予防あなたの体を蘇らせる再生/

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください