クラウドストライク株式会社は6月24日、電気通信事業者を標的とした「DecisiveArchitect」アクティビティクラスタに関する詳細情報をブログを発表した。
CrowdStrike Servicesインシデントレスポンス(IR)チーム、CrowdStrike Intelligenceチーム、Falcon OverWatchチームは2019年に、電気通信関連のグローバル企業を標的とした、通話明細記録(CDR)や特定の電話番号に関連する情報などの個人ユーザーの情報取得を目的とする攻撃者の存在を複数回に渡って確認していた。
この攻撃者は、CrowdStrike IntelligenceがJustForFunとして追跡しているカスタムインプラントを使用し、主に Linux、Solaris システムに狙いを定めている。侵害の初期段階でWindowsシステムにも影響を及ぼしているが、Windowsシステムに向けられたカスタムインプラントは確認されていない。攻撃者はldapdomaindumpやポストエクスプロイトフレームワークのImpacketなどの一般に公開されているツールを利用して、以前に侵害したLinuxシステムからWindowsシステムを標的としている。
CrowdStrike Intelligenceでは現在、一般にRed Menshenとして知られるDecisiveArchitectアクティビティクラスタによる侵害を追跡しているが、現時点で同活動を特定の国家や地域の集団と結び付けておらず、攻撃者が主に電気通信事業者を標的としていることを確認しているが、物流企業などの組織を標的とした別のインシデント事例も確認している。
DecisiveArchitectは、様々な防御回避技術を使用することで、活動の特定と調査を困難にしている。同社では、当該インプラントや、似たような形で動作する可能性のあるインプラントのハンティング手法に加え、Solarisシステムの興味深い技術について説明している。
