Sunburst & UNC2452

Solarwinds侵害の関連情報

FireEyeは、SunburstおよびUNC2452と呼ばれるマルウェアを拡散するための世界的な侵入キャンペーンを発見して以来、無料のリソース、ツール、およびサービスで本脅威を検出し、正常に遮断することを通じて、お客様とサイバーセキュリティコミュニティのサポートに取り組んでいます。

UNC 2452 Overview
sunburst-timeline-2x-jp

Recommended Solutions

脅威インテリジェンスと侵害調査

mandiant-advantage-card

Mandiant Advantage

現在SolarWinds Orionを使用している企業は、Sunburstバックドアで侵害されていないかどうかを確認し、さらにその証拠を探る必要があります。Mandiant Advantageは、この処理を容易にするベンダー・アグノスティックなインサイトを提供するアクセシブルな脅威インテリジェンスWebプラットフォームです。

  • UNC2452概要
  • Sunburstマルウェア概要
  • Teardropマルウェア概要
  • その他の詳細
mandiant-card

Mandiantの侵害調査サービス

Sunburstの影響を明らかにするため、Mandiantの専門家がお客様の環境を包括的に分析します。この調査は、独自の技術と、侵害調査指標およびネットワーク・フォレンジックの深いライブラリを使用して、過去および進行中の侵害の証拠を見つけることにフォーカスしています。

  • 攻撃者活動報告書
  • エンドポイント、ネットワーク、ログ分析
  • 侵害受けたシステムのレポート
  • その他の詳細

Free Resources

Sunburst脅威検知シグネチャを備えたオープンソースGithubリポジトリ

FireEyeは、これらのリソースを一般に無料で提供し、UNC2452やSunburstに関連する活動の指標を検出できるようにしました。UNC2452で使用されている技術の詳細については、当社のブログと追加の技術的詳細を参照してください。.

Mandiant Azure AD
Investigatorツール

このリポジトリには、UNC2452および他の攻撃者グループ活動の指標となる可能性のある痕跡を検出するためのPowerShellモジュールが含まれています。

FireEye Red Team
ツール対策

このレポジトリから、Snort, Yara, ClamAV, HX IOC の正規リリースおよび追加リリースに分類されるリリースが参照可能です。

FireEye Mandiant Sunburst
対策

このレポジトリから、Snort, Yara, ClamAV, HX IOC の正規リリースおよび追加リリースに分類されるリリースが参照可能です。

よくある質問

Sunburstとは?

このクラスタは我々がまだ追跡中のものです。そしてそのふるまいから、国家支援を受けた活動だと推測されます。同キャンペーンの黒幕である攻撃者は、世界中数多くの公的/民間組織へアクセスしています。攻撃者は、SolarWind Orion IT モニタリング、およびマネージメント・ソフトウェアのアップデートをトロイの木馬化することで、被害組織へのアクセスを可能にしました。

攻撃者の動機は?

UNC2452は、データの窃取によるエスピオナージ(スパイ活動)を動機としている可能性が高いです。同攻撃者による恐喝や金銭目的の犯罪を示すインジケータは今のところ見つかっていません。また、同攻撃者はSUNBURSTマルウェアを利用しており、既知のランサムウェアとの関連性もありません。

活動のタイムラインは?

FireEyeが発見した同キャンペーンは、少なくとも2020年の春には開始されていたと見られ、現在も進行中です。同キャンペーンは非常に高いスキルを持つ攻撃者によるものであり、キャンペーンは高度に熟練したアクターの作業であり、高度なセキュリティオペレーション能力のもとに実施されています。FireEyeの分析では、キャンペーンの一貫として実行されたと思われるこれらの攻撃は、以下のようなの共有要素を持つと思われます。

攻撃者は誰だったのですか?

FireEyeは、このキャンペーンの背後にいる攻撃者をUNC2452として追跡中です。UNCとは 「未分類 (UNCategorized)」のグループを意味する、FireEye Mandiant におけるインテリジェンスの命名ルールに基づく分類です。

影響を受けたのはどこの組織ですか?

同攻撃は、ソフトウェア・サプライチェーンを利用して公的、民間を問わず世界中の組織のネットワークへ侵害をもたらしました。現時点で、世界中の複数の組織で同活動を検知しています。影響を受けた組織には、北米、ヨーロッパ、アジア、中東の各政府、および、コンサルティング、技術、医療、電気通信、石油・ガス産業の組織などがあります。他の国や産業にも影響がある可能性があります。

攻撃者はどうやってFireEye環境にアクセスしたのですか?

FireEyeの最新の調査結果から、SolarWinds に対する侵害がFireEyeへの攻撃のきっかけとなったベクターだと断定しました。これは、攻撃者が高度な技術を使ってFireEyeネットワークに侵入する前に用いた、一番はじめの攻撃ベクターであったと考えています。技術、脅威インテリジェンス、経験を活用し、FireEyeはSUNBURSTキャンペーンについて明らかにしました。

FireEye製品はSolarWinds侵害の影響を受けますか?

受けません。改変されたSolarWinds バイナリを検知できるよう、製品はすでにアップデート済みです。また、この攻撃者のあらゆる活動痕跡をスキャン続けており、侵害の可能性のある痕跡が見つかった場合にはご連絡をしています。

どのようにしてこの侵入を検知したのですか?

二要素認証の二重登録が不審な活動として報告されたことから、同侵入を検知しました。

その他の情報について

SolarWindsの侵害の影響を受けたと思われる場合は、FireEyeの専門家に今すぐご相談ください。

お問い合わせ

FireEyeがお客様が問題を理解し、解決するお手伝いをいたします。

サポート

FireEyeがお客様が問題を理解し、解決するお手伝いをいたします。

Resources

最新のアップデート

Webセミナー(英語)

UNC2452:サプライチェーンを利用して標的環境に侵入する高度な検知回避攻撃者

この世界的なキャンペーンで観察された攻撃からの防御ステップを実行する方法を理解するための、お客様および広範なサイバーセキュリティ・コミュニティのための最新情報

Contact Us

Have a question for the FireEye team or insights you’d like to share?
Contact us at [email protected].