Trellixは、ウクライナを標的とした進行中のサイバー攻撃と、ウクライナ国外のエンティティを標的とした脅威活動を監視しています。Trellixは、新しいマルウェアの亜種と動作インジケーターが発見された際、グローバル脅威インテリジェンス(GTI)フィードとコンテンツの更新を介して当社製品に保護を追加し続けています。Trellix Advanced Programs Group(APG)は、現在ウクライナを標的としているサイバー攻撃者と、それらの攻撃で観察されている脅威ツールも当然モニタリングしています。みなさんの環境においてこれらのツールの使用状況を監視することは、自社のインフラストラクチャの侵害を検出するための予防的なステップになるでしょう。
Trellix Advanced Threat Research(ATR)チームがウクライナへの攻撃で観察されたワイパーのアクティビティを分析したところ、Whispergateと新たに特定されたHermeticWiperとの間に関係がある可能性が高いと強調しています。
初期アクセスを防ぐための推奨手順
組織は、侵入から環境を積極的に保護するために、ロシアの国民国家活動に関連する初期アクセスの戦術、技術、および手順(TTP)を確認する必要があります。
- 悪意のあるドメインの短縮URLを利用したフィッシング/スピアフィッシング攻撃
- ブルートフォースアクティビティを監視して、有効なアカウントの資格情報とMicrosoft365アカウントを特定
- 例外なく、すべてのユーザーに対して多要素認証(MFA)を有効に
- パブリックフェーシングシステムの悪用– CISAは、悪用されることがわかっているCVEの完全なリストを保持しています。CISA:既知の悪用された脆弱性カタログ
- 必須ではないすべてのポートとプロトコル、特にリモートサービスに関連するものを無効化
- 以前の攻撃で見られたビジネス活動に関係のないオープンソースツール(UltraVNC、AdvancedRun、wget、Impacket)を検出しブロック
HermeticWiperマルウェアのTrellix保護
Trellixは現在、ウクライナへの攻撃で観察された「HermeticWiper」と呼ばれる最新のワイパーマルウェアを監視しています。Trellixグローバル脅威インテリジェンス(GTI)は現在、「HermeticWiper」に関連するすべての既知のインジケーターから保護しており、MVISION Insightsはご使用の環境での検出も記録します。
MVISIONInsightsのHermeticWiper脅威インテリジェンス
MVISION Insightsは、HermeticWiperの現在の脅威インテリジェンスと既知の指標を提供します。MVISION Insightsは、観察された検出とプロセストレース、および広範囲の感染を防ぐために追加の注意が必要なシステムに警告します。MVISION Insightsには、脅威ハンティングのためのハンティングルールと、キャンペーンの背後にある脅威活動と敵対者のさらなるインテリジェンス収集も含まれます。
MVISION Insightsキャンペーン名:HermeticWiper Targeting Ukraine(ウクライナをターゲットにしたHermeticWiper)
MVISION EDRを使用した悪意のあるアクティビティの検出
MVISION EDRは現在、HermeticWiperに関連するアクティビティを監視しており、MITREテクニックと敵対的なアクティビティに関連する疑わしい指標を記録します。マルウェアは破壊的な性質を持っているため、HermeticWiperが環境全体に広がるのを検出して防止することは重要です。HermeticWiperがシステムに感染すると、システムドライバーとWindowsファイルが削除され、システムが動作しなくなります。
※本ページの内容は2022年2月28日(US時間)更新の以下のTrellix Storiesの内容です。
原文:Cyberattacks Targeting Ukraine and HermeticWiper Protections
著者:Taylor Mullins