電気通信事業者を標的とした「DecisiveArchitect」アクティビティクラスタをCrowdStrikeが解説 | ScanNetSecurity
2022.08.11(木)

電気通信事業者を標的とした「DecisiveArchitect」アクティビティクラスタをCrowdStrikeが解説

 クラウドストライク株式会社は6月24日、電気通信事業者を標的とした「DecisiveArchitect」アクティビティクラスタに関する詳細情報をブログを発表した。

調査・レポート・白書 調査・ホワイトペーパー

 クラウドストライク株式会社は6月24日、電気通信事業者を標的とした「DecisiveArchitect」アクティビティクラスタに関する詳細情報をブログを発表した。

 CrowdStrike Servicesインシデントレスポンス(IR)チーム、CrowdStrike Intelligenceチーム、Falcon OverWatchチームは2019年に、電気通信関連のグローバル企業を標的とした、通話明細記録(CDR)や特定の電話番号に関連する情報などの個人ユーザーの情報取得を目的とする攻撃者の存在を複数回に渡って確認していた。

 この攻撃者は、CrowdStrike IntelligenceがJustForFunとして追跡しているカスタムインプラントを使用し、主に Linux、Solaris システムに狙いを定めている。侵害の初期段階でWindowsシステムにも影響を及ぼしているが、Windowsシステムに向けられたカスタムインプラントは確認されていない。攻撃者はldapdomaindumpやポストエクスプロイトフレームワークのImpacketなどの一般に公開されているツールを利用して、以前に侵害したLinuxシステムからWindowsシステムを標的としている。

 CrowdStrike Intelligenceでは現在、一般にRed Menshenとして知られるDecisiveArchitectアクティビティクラスタによる侵害を追跡しているが、現時点で同活動を特定の国家や地域の集団と結び付けておらず、攻撃者が主に電気通信事業者を標的としていることを確認しているが、物流企業などの組織を標的とした別のインシデント事例も確認している。

 DecisiveArchitectは、様々な防御回避技術を使用することで、活動の特定と調査を困難にしている。同社では、当該インプラントや、似たような形で動作する可能性のあるインプラントのハンティング手法に加え、Solarisシステムの興味深い技術について説明している。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 小中学校の校務ネットワークにランサムウェア攻撃

    小中学校の校務ネットワークにランサムウェア攻撃

  2. 第2のCobalt Strikeか/韓国タクシー会社 迅速な身代金支払と事実公表/医療分野への攻撃が世界的傾向 ほか [Scan PREMIUM Monthly Executive Summary]

    第2のCobalt Strikeか/韓国タクシー会社 迅速な身代金支払と事実公表/医療分野への攻撃が世界的傾向 ほか [Scan PREMIUM Monthly Executive Summary]

  3. muhttpdにディレクトリトラバーサルの脆弱性

    muhttpdにディレクトリトラバーサルの脆弱性

  4. 児童の遅刻・欠席一覧を誤って保護者に配布、今後は紙への印刷をやめパソコンによる閲覧に切り替え

    児童の遅刻・欠席一覧を誤って保護者に配布、今後は紙への印刷をやめパソコンによる閲覧に切り替え

  5. イエラエ CSIRT支援室 第 30 回 Apache Spark OSコマンドインジェクションの脆弱性(CVE-2022-33891)について

    イエラエ CSIRT支援室 第 30 回 Apache Spark OSコマンドインジェクションの脆弱性(CVE-2022-33891)について

  6. 三和倉庫で不正アクセスによる障害発生、物流システムが稼働停止

    三和倉庫で不正アクセスによる障害発生、物流システムが稼働停止

  7. WDBホールディングスグループのネゾットでも障害発生、メールシステムやファイルサーバにアクセスできない障害

    WDBホールディングスグループのネゾットでも障害発生、メールシステムやファイルサーバにアクセスできない障害

  8. 医療関連情報では2022年最大規模、190万人の患者情報流出した債権回収会社へのサイバー攻撃

    医療関連情報では2022年最大規模、190万人の患者情報流出した債権回収会社へのサイバー攻撃

  9. 「かながわ旅割」事業に参加する旅行事業者宛てのメールを誤送信、193社分のメールアドレスが流出

    「かながわ旅割」事業に参加する旅行事業者宛てのメールを誤送信、193社分のメールアドレスが流出

  10. Unboundの脆弱性情報が公開

    Unboundの脆弱性情報が公開

ランキングをもっと見る