過去 2 年間にわたり、16 の高度持続的脅威 (APT) グループが中東の組織を標的にし、政府機関、製造会社、エネルギー業界に焦点を当てたサイバー攻撃を行っていました。

27月に発表された分析によると、APT攻撃者は主にサウジアラビア、アラブ首長国連邦、イスラエルの組織をターゲットにしており、OilrigやMoleratsなどの有名なグループだけでなく、BahamutやHexaneなどのあまり知られていない組織も含まれているという。サイバーセキュリティサービス会社ポジティブ・テクノロジーズがXNUMX日に発表した。

研究者らによると、これらのグループは、国家スポンサーを政治的、経済的、軍事的に有利にする情報を入手することを目的としている。彼らは、これらのグループによるものと考えられる 141 件の攻撃の成功を記録しました。

「企業は、この地域を攻撃するAPTグループがどのような戦術やテクニックを使用しているかに注意を払う必要があります」と、Positive Technologiesの上級情報セキュリティアナリスト、ヤナ・アベゾバ氏は言う。 「中東地域の企業は、これらのグループが通常どのように運営されているかを理解し、それに応じて特定のステップに備えることができます。」

このサイバーセキュリティ会社は分析を利用して、APT 攻撃者が使用する最も一般的な攻撃の種類を特定しました。これには、初期アクセスのためのフィッシング、悪意のあるコードの暗号化と偽装、インターネット リレー チャット (IRC) などの一般的なアプリケーション層プロトコルを使用した通信などが含まれます。またはDNSリクエスト。

16のAPT攻撃者のうち、APT 35やモーゼス・スタッフを含むXNUMXつのグループはイランと関連があり、モーラットなどのXNUMXつのグループはハマスと関連があり、XNUMXつのグループは中国と関連していた。この分析では、高度かつ執拗とみなされるグループによるサイバー攻撃のみが対象となっており、ポジティブ・テクノロジーズは一部のグループ（モーゼス・スタッフなど）をハクティビストグループとしてではなくAPTステータスに昇格させている。

「調査の過程で、特定のベンダーによってハクティビストとして分類されているグループの一部は、実際にはハクティビストではないという結論に達しました。」 報告書にはさらに、「より詳細な分析の結果、モーゼス・スタッフによる攻撃はハクティビストによる攻撃よりも高度であり、このグループは通常のハクティビスト・グループよりも大きな脅威をもたらすという結論に達した」と付け加えた。

主要な初期ベクトル: フィッシング攻撃、リモートエクスプロイト

この分析では、各グループが使用するさまざまな技術を MITRE AT&CK フレームワークにマッピングし、中東で活動する APT グループ間で使用される最も一般的な戦術を特定します。

初期アクセスを獲得するための最も一般的な戦術には、11 の APT グループが使用したフィッシング攻撃と、XNUMX つのグループが使用した公開アプリケーションの脆弱性の悪用が含まれます。そのうち XNUMX つのグループは、ドライブバイ ダウンロード攻撃とも呼ばれる訪問者をターゲットにした水飲み場攻撃の一環として、Web サイトに展開されたマルウェアも使用しています。

「ほとんどの APT グループは、標的を絞ったフィッシングによって企業システムへの攻撃を開始します」と報告書には記載されています。 「ほとんどの場合、これには悪意のあるコンテンツを含む電子メール キャンペーンが含まれます。 APT35、Bahamut、Dark Caracal、OilRig などの一部の攻撃者は、電子メールのほかに、ソーシャル ネットワークやメッセンジャーをフィッシング攻撃に使用します。」

ネットワーク内に入ると、81 つのグループを除くすべてのグループがオペレーティング システムやハードウェアを含む環境に関する情報を収集し、ほとんどのグループ (69%) がシステム上のユーザー アカウントを列挙し、ネットワーク構成データ (XNUMX%) も収集しました。報告。

「土地を離れて生活する」ことがサイバーセキュリティ専門家の間で大きな懸念事項となっている一方で、ほぼすべての攻撃者 (94%) が外部ネットワークから追加の攻撃ツールをダウンロードしました。報告書によると、16 の APT グループのうち XNUMX グループが、ダウンロードを容易にするために、IRC や DNS などのアプリケーション層プロトコルを使用していました。

長期管理に重点を置く

APTグループは通常、インフラの長期的な管理に重点を置いており、「地政学的に重大な時期」に活動を開始するとポジティブ・テクノロジーズは報告書で述べている。成功を防ぐには、企業は独自の戦略に注意するだけでなく、情報と運用テクノロジーの強化にも注力する必要があります。

Positive Technologies の Avezova 氏は、資産のインベントリと優先順位付け、イベント監視とインシデント対応の使用、サイバーセキュリティの問題に対する意識を高めるための従業員のトレーニングはすべて、長期的なセキュリティにとって重要なステップであると述べています。

「要するに、結果主導のサイバーセキュリティの主要原則を遵守することが重要です」と彼女は言い、「最初にとるべきステップは、最も一般的に使用される攻撃手法に対抗することです」と付け加えました。

16 のグループのうち、大多数は中東 14 か国の組織をターゲットにしていました。12 はサウジアラビアをターゲットにしていました。 10 アラブ首長国連邦。 XNUMX イスラエル。 XNUMX ジョーダン。 XNUMX件はそれぞれエジプトとクウェートを標的とした。

政府、製造業、エネルギーが最も一般的に標的となっている一方、マスメディアや軍産複合体が被害者となることが増えていると同社は報告書で述べている。

重要な業界がターゲットにされることが増えているため、組織はサイバーセキュリティを重要な取り組みとして扱う必要があると報告書は述べています。

「主な目標は、許容できないイベント、つまり組織の運営目標や戦略目標の達成を妨げたり、サイバー攻撃の結果として中核事業に重大な混乱をもたらしたりするイベントの可能性を排除することである[べきである]」と述べた。と報告書に記載されている会社です。 「これらのイベントは組織のトップマネジメントによって定義され、サイバーセキュリティ戦略の基礎を築きます。」

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/vulnerabilities-threats/saudi-arabia-uae-top-list-of-apt-targeted-nations-in-middle-east