セキュリティベンダーのeSentireは8月30日(カナダ時間)、「eSentire|Hacker Infrastructure Used in Cisco Breach Discovered…」において、シスコシステムズへの不正アクセスに用いられたハッカーインフラが、人材管理企業の攻撃にも使われていたと伝えた。
eSentire|Hacker Infrastructure Used in Cisco Breach Discovered…
5月にシスコを狙ったサイバー攻撃と同じ手口が、その1カ月前の4月にeSentireの顧客である人材管理ソリューションベンダーに対しても用いられていたことが明らかとなった。人材管理ベンダーへのサイバー犯罪は未遂に終わっているが、eSentireのセキュリティ調査チームであるThreat Response Unit(TRU)は、「UNC2165」と呼ばれるEvil Corpの系列クラスタの一員とされる「mx1r」と呼ばれる脅威アクターによる犯行とみている(参考「シスコがサイバー攻撃受け不正侵入、きっかけは従業員の個人Googleアカウント悪用 | TECH+(テックプラス)」)。
Evil Corpはアンダーグラウンドで最も悪名高いロシアのハッキング集団とされている。銀行マルウェア「Dridex」を開発したとされており、数百の銀行や金融機関から1億ドル以上を盗んだとして2019年に米国財務省外国資産管理局(OFAC: Office of Foreign Assets Control)から制裁を受けている。
eSentireの顧客への攻撃には、盗まれた仮想プライベートネットワーク(VPN: Virtual Private Network)の認証情報が使われたという。サイバー犯罪者はネットワークに侵入した後、Cobalt Strike、ネットワークスキャナ、Active Domainクローラなどのツールを使って横方向に移動しようとしたところ、捕捉されたとのことだ。
Threat Response Unitは、侵入者がリモートデスクトッププロトコル(RDP: Remote Desktop Protocol)を使ってネットワーク内を横移動しようとしたことを突き止めており、この行動がUNC2165が用いる戦術と同じだと指摘している。また、Kerberoasting攻撃を仕掛けようとしていたことも確認されている。Kerberoasting攻撃は、サイバー犯罪者がKerberos認証プロトコルを介してWindows Active Directory内のパスワードのクラックを試みる攻撃で、この手口もUNC2165が用いる戦術と一致するとしている。
今回のサイバー攻撃はEvil Corpのものと一致するが、使用されたインフラはContiランサムウェアのアフィリエイトのものとも一致するとされている。最初のアクセスはEvil Corpの関連クラスタが仲介し、最終的にContiに関連するHiveのオペレータとその関連クラスタに売り渡された可能性があると推察されている。
わくわくメール
ITトピックス
ITランキング
- 1
iPadOS 18アップデートが一時停止、一部モデルで電源が入らなくなる画像あり
- 2
Python利用データサイエンティストのためのVisual Studio Code用拡張パック画像あり
- 3
航空機の技術とメカニズムの裏側 第29回 降着装置(4)降着装置の畳み方いろいろ画像あり
- 4
アーティストAIさん、ハリー杉山さん、河合純一さんが登壇!「GREEN PLAY PARK」オープニングトークショー画像あり
- 5
台湾発の リテールメディア ネットワークは次世代の購買体験をどう変えるのか。大規模D2Cプラットフォームとの戦略的タッグが生み出す新たなアプローチ画像あり
- 6
モスの月見には、裏がある!“裏月見”「メンチカツフォカッチャ」試食会画像あり
- 7
Google Chrome、耐量子暗号機能強化 - アルゴリズム変更画像あり
- 8
ポスターセッションも実施!経済産業省×NEDO「第6回カーボンリサイクル産学官国際会議 2024」開催へ画像あり
- 9
ペライチ、AIがホームページを自動生成 /「YOSHIKI+」発表記者会見【まとめ記事】画像あり
- 10
岡山デニムを採用!高級感が漂う3WAYバッグ画像あり