イランのサイバー攻撃グループによるMS Exchangeとフォーティネットの脆弱性の悪用に関する保護と対策


脅威の概要

2021年11月17日、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、イラン政府が支援するサイバー攻撃グループによるMicrosoft Exchangeとフォーティネットの脆弱性の悪用について警告しました。Microsoft Exchange またはフォーティネットアプライアンスの使用の際は注意が必要な場合があります。1件のMicrosoftExchange CVE(Common Vulnerability&Exposure)、3件のフォーティネット CVE、およびこのアクティビティに関連する悪意のある正当なツールのリストについて伝えています。


脅威インテリジェンスの更新

数時間後、Advanced Threat Research(ATR)チームは、「Cyber Actors Exploiting Microsoft Exchange and Fortinet Vulnerabilities」という名前でMVISION Insightsに新しいキャンペーンを公開しました。その直後、MVISION Insightsは、この脅威キャンペーンに関連するツールの普及率に関する国別およびセクター別のほぼリアルタイムの統計を提供し始めました。

図1. 2021年11月19日のこのキャンペーンのMVISIONInsightsグローバル有病率統計

このブログでは、MVISION Insightsでこのアラートに関連する情報を対策に活用する方法と、この脅威から組織をより適切に保護するための調査および保護機能を紹介します。


このアラートを含む、新しいキャンペーンと脅威プロファイルの追跡

MVISION Insightsは、キャンペーンと脅威プロファイルを同じリストに組み合わせており、以下に示すように、順序を「Last Detected」から「Last Added」に変更できます。

図2.最後に追加されたMVISIONInsightsキャンペーンのリストと、このキャンペーンの選択

図2の左側では、カラーコードがMcAfee ATRチーム(このキャンペーンの中間)によって割り当てられた重大度を示しています。中央では、分析されたIOCがあなたの国またはセクターで検出されたかどうかを確認できます。

McAfee Endpoint SecurityまたはIPSをご利用の場合は、図2の右側で、McAfee Endpoint SecurityまたはIPSによってこれらのIOCが検出されたかどうか、Endpoint Securityが公開されたデバイスまたはEndpoint Security保護が不十分なデバイスを検出したかどうかを確認できます。

図2に示すように、キャンペーンのプレビューをクリックして、簡単な説明とMVISION Insightsによって提供されたラベルを読むこともできます。

  • APT
  • ランサムウェア
  • Tool
  • 脆弱性

この場合、CISAはこのキャンペーンがAPT脅威グループに関連付けられていると見ています。ランサムウェアの動作が含まれており、ラベルは、キャンペーンの詳細で表示されるように、ハッキングツール脆弱性の使用も強調しています。

キャンペーンの説明では、「Microsoft Windows BitLocker 暗号化機能により暗号化されたデバイス」の通常の使用を明示しています。

キャンペーンの詳細には、今回のCISAアラートなど、他のソースへのリンクも含まれています。

図3.このキャンペーンに関する今回の共同勧告


リスクの評価と自社組織への影響について

潜在的にあなたが所属する組織に打撃を与える可能性のあるキャンペーンを特定したら、そのリスクを評価し、そのために組織が影響を受ける可能性があるかどうかを評価することができます。

        • リストされている脆弱性
          Microsoft Exchange用のCVE 1点、フォーティネット FortiOS用のCVE 3点(図4囲み部分)
        • 露出したデバイス
          無し(図2より)
        • 不十分なエンドポイントセキュリティ保護
          無し(図2より)

図4.このキャンペーンの詳細に含まれるCommon Vulnerabilities and Exposures(CVE)のリスト

McAfee Enterpriseをご利用の場合、MVISION Insightsのエンドポイントセキュリティポスチャは、必要なエンドポイントセキュリティ機能を有効にして、自社組織が最高レベルの保護を実現しているかどうかを確認します。

以下の例では:

  • 3 エンドポイントセキュリティデバイスにすべてのキャンペーンを検出するには不十分なAMcoreコンテンツ
  • 一部のデバイスがMVISION Insights 管理者によってこの評価から除外されたことを示す警告サイン
  • 1 エンドポイントセキュリティデバイスにReal Protect Client and Cloudの異常
  • 1 エンドポイントセキュリティデバイスにAdaptive Threat Protection(ATP)の異常
  • 1 エンドポイントセキュリティデバイスに中程度の重大度のキャンペーンの未解決の検出

このラボ環境には、「Microsoft Exchangeとフォーティネットの脆弱性を悪用するサイバー攻撃」キャンペーンIOCを検出するのに十分な保護がありますが、エンドポイントを完全に保護するには、GTI、オンアクセススキャン、エクスプロイト防止、Real Protect、およびATPを有効にする必要があります。

図5.MVISION InsightsキャンペーンでのMcAfee Endpoint Securityの検出


環境内での検出とIOCのハンティング

McAfee Endpoint SecurityまたはIPSをご利用の場合、キャンペーンのIOCに関連する検出は、図6に示すように、MVISIONInsightsによって自動的にマッピングされます。

図6:MVISION InsightsキャンペーンでのMcAfee Endpoint Securityの検出

Endpoint Detection and Response(EDR)またはSIEMソリューションを使用して、IOCの存在を検索することもできます。以下の図7に示すように、IOCを分類しました。この例では、次のようになっています。

  • 4つのファイルハッシュはThreat Researchのメンバーによって分析済、3つのファイルハッシュは現時点では分析は未完了
  • 2ファイルハッシュはデュアルユースであり、non-Deterministic
  • 5つのファイルハッシュは部分的に一意(2つの悪意のあるものと2つの悪意のある可能性のもの)

MVISION EDRをご利用の場合は、MVISION Insightsから、組織全体でこれらのIOCの存在を自動的に検索できます。

あるいは、IOCをエクスポートし、EDRおよびSIEMでハントして、潜在的な侵害の証拠を調べ、ケースをレベル2またはレベル3のアナリストにエスカレーションして完全な調査を実行できます。

さらに、MVISION APIをThreatQ、ThreatConnect、MISPなどのサードパーティの脅威インテリジェンスプラットフォームとともに使用して、この脅威ハンティング機能を調整することもできます。

図7:このキャンペーンのMVISION Insights IOC

新しいキャンペーン接続機能(図8)を利用して、これらのIOCが他のキャンペーンまたは脅威プロファイルにもリストされているかどうかを確認することもできます。キャンペーンコレクションは、グラフを使用してすべてのMVISIONキャンペーンと、次のような脅威プロファイルデータを接続します。

  • IOC
  • MITERテクニック
  • MITERおよびMcAfeeツール
  • サイバー犯罪者と攻撃グループ
  • ラベル
  • 普及している国とセクター
  • 検出

図8:このキャンペーンのIOCを使用したMVISION Insightsキャンペーンの接続


ご使用の環境でのTTPのハンティング

IOC以外にも、脅威アナリストは、このキャンペーンに関連し、MVISION Insightsに文書化されているMITREの手法とツールを活用できます。

図9:このキャンペーンのMVISION Insightsで観察されたMITREの手法とツール

たとえば、ここではMVISION EDRを使用して次の存在を探すことができます。

  • 異常なスケジュールされたタスク
  • 異常なWinRARアーカイブ
  • 異常なローカルおよびドメインアカウントの使用
  • Mimikatzの振る舞い

次に、完全な修復を実行する前に、疑わしいデバイスを隔離できます。また、Endpoint SecurityソリューションにENS credential theft protectionなどのクレデンシャル盗難防止機能があることを確認することもできます。


脆弱性管理

組織がMicrosoft Exchangeまたはフォーティネットアプライアンスを使用している場合は、推奨されるパッチ適用とアップグレードの推奨事項を適用する必要があります。侵害の兆候を見つけた場合は、チケットの優先度を上げて、フォーティネットとMicrosoft Exchangeの管理者に、これらの疑わしいアクティビティのためにこれらのCVEを修正するように依頼することをお勧めします。


まとめ

このキャンペーンに対するリスクとエクスポージャーをより適切に評価するには、現在の機能を次のように確認する必要があります。

  • 最新の関連するCISAアラートおよびその他の新しいキャンペーンと攻撃者に関する通知
  • 関連するIOC、ツール、テクニックを確認
  • 一般的な脆弱性とエクスポージャーを特定
  • これらの脅威に対するエンドポイント保護のレベルを確認

McAfee Enterpriseは、脅威インテリジェンスとセキュリティ運用のワークショップを提供して、既存のセキュリティ制御を利用して敵対者や内部の脅威から保護する方法に関するベストプラクティスの推奨事項をお客様に提供します。ワークショップをご要望の際は、担当営業にお問い合わせください。

※本ページの内容は2021年11月25日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。
原文:McAfee Enterprise Defender Blog | CISA Alert: MS Exchange & Fortinet Vulnerabilities
著者: