JPSRT LOGO

ウクライナにおけるサイバー脅威アクティビティ: 分析とリソース

本ブログは、Cyber threat activity in Ukraine: analysis and resources – Microsoft Security Response Center の抄訳版です。最新の情報は原文を参照してください。


2022 年 3 月 2 日更新: ウクライナ関連組織に影響を与えている組織を特定した進化する脅威に固有の追加の洞察と保護については、以下の更新されたマルウェアの詳細とマイクロソフトのセキュリティ製品の検出を参照してください。


マイクロソフトは、勢いを増すウクライナでのサイバー活動を監視しており、潜在的な攻撃を調査するための最新のインテリジェンスと、今後の攻撃に対する積極的な保護を実施するための情報を組織に提供するために、観測されたアクティビティに関する分析を公開しています。

ウクライナでの出来事により影響を受ける可能性のあるお客様を対象に、分析とガイダンスをまとめ、容易に利用きるようにしました。これらはすべて、以下にリンクされています。このブログには、各組織がサイバーレジリエンス を構築するための一般的なセキュリティ ガイダンスも含まれています。ウクライナでの状況が進むにつれて、新しい見解を引き続き公開し、このリソースに追加します。

マイクロソフトは、可能な限りウクライナのお客様に活動のお知らせをし、ウクライナ政府と緊密に連携しています。 このサポートは継続中です。

また、ウクライナの組織をサイバー攻撃から守ること、国家による偽情報の宣伝活動から守ること、人道的な支援を行うこと、従業員を守ることに関する情報をまとめています:
 Digital technology and the war in Ukraine
 デジタルテクノロジとウクライナでの戦争について (日本語 抄訳)

ウクライナにおける悪意のある活動に関するマイクロソフトの分析

ウクライナ兵へのフィッシング攻撃:

最近のディスク ワイプ攻撃:

ウクライナの組織やウクライナ問題に関連する組織へのアクセスを一貫して追求してきた高度な脅威アクタ 「ACTINIUM:

ウクライナの複数組織を標的とする WhisperGate と呼ばれる破壊的なマルウェア操作とマルウェア ファミリー:

ウクライナでの活動に関する OSINT (オープン ソース インテリジェンス) の記事は、RiskUSER コミュニティに定期的に公開されています。全リストはここで入手できます: RiskIQ Community articles on Ukraine activity.

セキュリティ ガイドラインと推奨事項

今日の脅威に対するレジリエンスを構築するために、セキュリティを見直し、ベストプラクティスを実施することを推奨します。以下は、推奨事項とリソースへのリンクです。:

  1. サイバー セキュリティ ハイジーン: 組織は、潜在的脅威から積極的に保護するために、サイバー ハイジーンの基本原則に従ってすべてのシステムを強化する必要があります。マイクロソフトは次の手順を実行することをお勧めします。:
    • 多要素認証を有効にする
    • 最小限の特権アクセスを適用し、最も機密性の高い特権の資格情報をセキュリティで保護する
    • リモート アクセス インフラストラクチャのすべての認証アクティビティを確認する
    • 最新のパッチを適用してシステムを保護および管理する
    • マルウェア対策ツールとワークロード保護ツールを使用する
    • レガシ システムを分離する
    • 主な機能のログ記録を有効にする
    • バックアップを検証する
    • サイバー インシデント対応プランが最新であることを確認する
  2. マイクロソフト セキュリティのベスト プラクティス: マイクロソフトのお客様は、セキュリティ関連の意思決定に対して明確に実施可能なガイダンスを提供するベスト プラクティスに従うことができます。これらは、セキュリティ への姿勢を改善し、ご使用の環境がクラウドのみの場合でも、クラウドとオンプレミスのデータ センターにまたがるハイブリッドエンタープライズの場合でも、リスクを軽減するように設計されています。: Microsoft セキュリティのベストプラクティス
  3. ランサムウェアと恐喝から保護する: 人が操作するランサムウェア攻撃は、業務に致命的な影響を与える上に回復が困難まなことから、潜在的な攻撃から保護するために攻撃者を完全に排除する必要があります。ランサムウェア固有のテクニカルガイダンスに従って攻撃に備え、損害の範囲を制限し、その他のリスクを排除します: 人が操作するランサムウェア

更新されたマルウェアの詳細とマイクロソフトセキュリティ製品での検出

マイクロソフトのセキュリティ製品を利用しているお客様に対して、マイクロソフトは、ウクライナ関連組織に影響を与えていると特定している脅威に対する保護の構築と提供を継続しています。

上記の分析で説明したように、この動的な脅威の状況では、さまざまなツールと手法を使用している複数のアクターがいます。これらの脅威の中には、より緊密に国の利益と結びついていると判断される脅威もあれば、紛争を取り巻く出来事を悪用しようとする日和見的な脅威もあります。既存の検出でカバーされることが多い既知のマルウェアのコンポーネントを再利用する攻撃を確認している一方で、マイクロソフトが新しい包括的な保護を構築したカスタマイズされたマルウェアが使用されていることも確認しています。

破壊的なワイパー攻撃

1 月に DEV-0586 によって展開された WhisperGate の破壊マルウェアから始まり、マイクロソフトはウクライナの組織に影響を与える破壊的なマルウェア攻撃を継続して確認しています。これらの攻撃は、多くの場合、ウクライナの現在の軍事行動を先取りした可能性のある侵入の最終段階です。これらの攻撃の目的は、標的のリソースの破壊、劣化、崩壊であると判断しています。

Microsoft Defender ウイルス対策は、ビルド バージョン 1.359.813.0 以降のバージョンでの攻撃を検出します。自動更新を利用しているお客様は、追加の措置を講じる必要はありません。更新プログラムを管理している企業のお客様は、検出ビルド 1.359.813.0 以降を選択し、環境全体に展開する必要があります。

マイクロソフトが特定しお客様を保護しているアクティビティの概要と関連マルウェアの一覧を次に示します。

WhisperGate

2022 年 1 月 13 日に発生し、ウクライナに拠点を置く複数の政府、非営利団体、および情報技術組織にまたがる数十のシステムに影響を及ぼした限定的な範囲の破壊マルウェア攻撃。Microsoft Threat Intelligence Center (MSTIC) は、この攻撃に責任を負うアクターを DEV-0586 として追跡しており、既存のアクティビティ グループにはリンクしていません。

FoxBlade および SonicVote

ウクライナに関連する複数の政府、情報技術、金融、およびエネルギー組織にまたがる数百ものシステムに影響を及ぼした2022 年 2 月 23日に発見された破壊的なマルウェア攻撃。MSTIC は、この攻撃の責任を負うアクターを DEV-0665 として追跡し、以前に知られている脅威アクティビティ グループにリンクしていません。マイクロソフトは、2 月 23 日以降、これらの悪意のある性質を持つ後続の侵入を確認しており、このグループによる破壊活動のリスクが引き続き存在すると評価しています。マイクロソフトは、このアクティビティに関連する次のマルウェア ファミリを追跡しています。

  • Foxblade (別名 HermeticWiper / HermeticWizard)
  • SonicVote (別名 HermeticRansom)

FoxBlade とSecureVote に加えて、DEV-0665 は、sdelete.exe ユーティリティの名前を変更したバージョンを利用し次のコマンドライン パターンを実行することで、ファイル システムの領域を削除していることを確認しています。

c:\Windows\System32\cmd.exe /C C:\Windows\cdel.exe -accepteula -r -s -q c:\Users & C:\Windows\cdel.exe -accepteula -r -s -q c:\ProgramData

Lasainraw (別名 IsaacWiper)

2022 年 2 月 25 日に ESET によって最初に特定された限定的な破壊マルウェア攻撃。マイクロソフトはこのインシデントの調査を継続しており、現在のところ、既知の脅威アクティビティにはリンクしていません。

お客様は、Microsoft Defender ウイルス対策で、クラウド配信の保護自動サンプル送信を有効にすることをお勧めします。これらの機能は、人工知能と機械学習を使用して、新しい脅威や不明な脅威をすばやく特定して停止します。これらの攻撃の調査を継続し、新しいデータを発見するにつれて、保護を追加または更新します。お客様は、侵入攻撃に関連するアクティビティについては、次のファミリー名を探す必要があります。

  • DoS:Win32/WhisperGate
  • DoS:Win32/FoxBlade
  • DoS:Win32/Lasainpos
  • DoS:Win32/SonicVote
  • Trojan:Win32/FoxBlade.A!dha

さらに強化された構成を使用することで、観測しているワイパー攻撃をさらに制限することができます。これらの構成を有効にすると、これらの機能により、特定の攻撃から保護されるだけでなく、お客様の防御におけるレジリエンスが向上します。

  • 改ざん防止により、エンドポイントのセキュリティ保護を無効にする一般的な手法が観察されるのを防ぎます。
  • フォルダー アクセスの制御により、信頼できるアプリのみが保護されたフォルダーにアクセスできます。これは通常、これらの攻撃をブロックするのに効果的です。
属性のない脅威アクティビティ

MSTIC および Microsoft 365 Defender Research チームが実施している、脅威のアクティビティの特定と組織を保護するための継続的な取り組みの一環として、マイクロソフトは引き続き属性のない脅威アクティビティを発見しています。マイクロソフトは、これらの脅威が特定された時点で、引き続きアクティビティを分析し、検出を構築します。

可能な限り、国家レベルのアクターの活動と同様に、マイクロソフトは、標的にされた、または侵害されたお客様に直接かつ積極的に通知し、調査を支援するために必要な情報を提供します。MSTIC は、グローバル セキュリティ コミュニティや他の戦略的パートナーのメンバーと積極的に協力し、この進化する脅威に複数のチャネルを通じて対処できる情報を共有しています。マイクロソフトでは、DEV-#### を不明な、新しい、または開発中の脅威アクティビティのクラスターに指定された一時的な名前として使用しています。これにより、MSTIC は、アクティビティの背後にあるアクターの原点またはアイデンティティについて高い確証を得るまで、一意の情報セットとして追跡できます。

一般的なセカンダリ侵入の習性

観測された攻撃の多くは、以下の一般的なアラートを使用してMicrosoft Defender for Endpointによって検出される既知のマルウェアや侵入のtactics, techniques, and procedures (TTP) を利用しています。

  • 疑わしいリモート アクティビティ
  • LSASS サービスへの疑わしいアクセス
  • Microsoft Defender ウイルス対策の改ざん
  • 疑わしいリモート アクティビティ

これらのインジケーターの 1 つまたは複数を関連させるインシデントを確認しているお客様は、影響を受けるデバイスの調査を優先する必要があります。

日和見なフィッシング キャンペーン

攻撃者がフィッシング攻撃で、地理的な対立への関心に合わせたドメインを使用していることを観測しています。 Microsoft Defender for Endpointの Microsoft SmartScreen とネットワーク保護機能は、次のようなドメインを含む、幅広いドメインに誘導されたお客様に対して保護を提供します。

  • help-for-ukraine[.]eu
  • tokenukraine[.]com
  • ukrainesolidarity[.]org
  • ukraine-solidarity[.]com
  • saveukraine[.]today
  • supportukraine[.]today
関連する攻撃に対する調査

Microsoft Sentinel およびMicrosoft Defender for Endpointのお客様は、以下のクエリを通じて関連するアクティビティを調査することができます。

Microsoft Sentinel

Microsoft Sentinel は、これらの脅威に関連して観察される技術の検出と脅威のハンティング分析を提供します。これらの分析は、Microsoft Sentinel ポータルまたは Microsoft Sentinel GitHub から見つけることができます。

ホストでクラッシュ ダンプが無効になっている

このクエリは、クラッシュ ダンプが作成されないようにするために、ホスト上で設定されているレジストリ キーを探します。

https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/SecurityEvent/Crashdumpdisabledonhost.yaml

既定のドメインまたは既定のドメイン コントローラー ポリシーを介して展開された新しい EXE

このクエリは、既定のドメイン ポリシーまたは既定のドメイン コントローラー ポリシーを介して展開されたと思われるホスト上で実行される実行可能ファイルを探します。これらのポリシーは通常、実行可能ファイルの配布には使用されません。

https://github.com/Azure/Azure-Sentinel/blob/master/Detections/SecurityEvent/NewEXEdeployedviaDefaultDomainorDefaultDomainControllerPolicies.yaml

Sdelete の使用名の変更の可能性

このクエリは、Sdelete の再帰的使用に関連するコマンド ライン パラメーターを、元のプロセスが sdelete.exe という名前ではない C ドライブに対して検索します。

https://github.com/Azure/Azure-Sentinel/blob/master/Detections/SecurityEvent/Potentialre-namedsdeleteusage.yaml

GPO を使用して展開された Sdelete

このクエリは、GPO を介して展開されている Sdelete を検索し、ホスト上で再帰的に実行します。

https://github.com/Azure/Azure-Sentinel/blob/master/Detections/SecurityEvent/SdeletedeployedviaGPOandrunrecursively.yaml

Microsoft Defender for Endpoint

悪用される可能性があるアクティビティを見つけるには、次のクエリを実行します。

Surface の疑わしい MSHTA プロセスの実行

このクエリを使用して、AppData\Roaming パス内の DLL を参照するコマンド ラインで起動している MSHTA を探します。

DeviceProcessEvents
 | where FileName =~ "mshta.exe"
 | where ProcessCommandLine has_all (".dll", "Roaming")
 | where ProcessCommandLine contains @"Roaming\j"
 | extend DLLName = extract(@"[jJ][a-z]{1,12}\.dll", 0, ProcessCommandLine)

Surface の疑わしいスケジュールタスクアクティビティ

このクエリを使用して、アクターアクティビティに関連するスケジュールされたタスクを検索します。

DeviceProcessEvents
 | where ProcessCommandLine has_all ("schtasks.exe", "create", "wscript", "e:vbscript", ".wav")

sdelete の使用名を変更する可能性

このクエリを使用して、名前を変更した Sysinternals sdelete ツールの使用に関連するコマンド ライン パラメーターを探して、ホストに対する破壊攻撃の一部として C ドライブ上の複数のファイルを削除します。

DeviceProcessEvents
 | where InitiatingProcessFileName !~ "sdelete.exe"
 and InitiatingProcessCommandLine has_all ("-accepteula", "-r", "-s", "-q", "c:/")
 and InitiatingProcessCommandLine !has ("sdelete")

マイクロソフトはこれらの攻撃の調査を継続し、新しいデータの分析に従って保護を強化しています。さらに、Microsoft Sentinel と Microsoft 365 Defender には、ラテラル移動や特権の昇格など、一般的な手法を検出するためのさまざまな既存のクエリがあります。これらのクエリを使用して、これらの攻撃で使用されている一般的な攻撃者の手法を特定することをお勧めします。

マイクロソフトでは、引き続きアクティビティを監視し、状況の状況に応じてこのページの詳細情報を更新します。