Texture Top Right Red 03

SUNBURST関連情報

What Happened?

  • FireEyeは、世界的な侵入キャンペーンを発見し、その背後にいると考えられる攻撃者をUNC2452として追跡しています。
  • FireEyeはまた、「SUNURST」と名付けられた SolarWinds Orionのアップデートをトロイの木馬として悪用し、マルウェアを拡散するサプライチェーン攻撃も発見しています。
  • 攻撃者は侵害後、複数の技術を用いた検知回避を行うなどして自身の活動を隠蔽しますが、そのおかげで検知の機会が増加することもあります。
  • 本キャンペーンは広域に及んでおり、公的、民間を問わず世界中の組織に影響を及ぼしています。
  • FireEyeは、実際の攻撃 における攻撃者およびサプライチェーン攻撃を検知するためのシグネチャーをリリースし、GitHubページにて公開中です。また、FireEyeのプロダクトとサービスは、本攻撃の検知および遮断を通じてお客様をサポートします。

SUNBURST FAQs

攻撃者の動機は?

UNC2452は、データの窃取によるエスピオナージ(スパイ活動)を動機としている可能性が高いです。同攻撃者による恐喝や金銭目的の犯罪を示すインジケータは今のところ見つかっていません。また、同攻撃者はSUNBURSTマルウェア(下記参照)を利用しており、既知のランサムウェアとの関連性もありません。

このキャンペーンはどれくらいの期間、発生していたのですか?

FireEyeが発見した同キャンペーンは、少なくとも2020年の春には開始されていたと見られ、現在も進行中です。同キャンペーンは非常に高いスキルを持つ攻撃者によるものであり、キャンペーンは高度に熟練したアクターの作業であり、高度なセキュリティオペレーション能力のもとに実施されています。FireEyeの分析では、キャンペーンの一貫として実行されたと思われるこれらの攻撃は、以下のようなの共有要素を持つと思われます:

  • SolarWindsアップデートの悪用:Solar Winds Orion ソフトウェアの正規のアップデートに不正コードを紛れ込ませることで、攻撃対象の環境に対するリモートアクセスを可能に
  • 少量のマルウェアの利用:限られたマルウェアを利用し、検知を逃れながら目的を達成
  • ステルス性を重要視:正常なネットワーク活動に長期間紛れ込む
  • 高度なオペレーション:念入りに予備調査を行い、活動痕跡を隠蔽し、アトリビュートが困難なツールを使用
影響を受けたのはどこの組織ですか?

同攻撃は、ソフトウェア・サプライチェーンを利用して公的、民間を問わず世界中の組織のネットワークへ侵害をもたらしました。現時点で、世界中の複数の組織で同活動を検知しています。影響を受けた組織には、北米、ヨーロッパ、アジア、中東の各政府、および、コンサルティング、技術、医療、電気通信、石油・ガス産業の組織などがあります。他の国や産業にも影響がある可能性があります。

この攻撃グループについてもう少し詳細を教えて下さい

このクラスタは我々がまだ追跡中のものです。そしてそのふるまいから、国家支援を受けた活動だと推測されます。同キャンペーンの黒幕である攻撃者は、世界中数多くの公的/民間組織へアクセスしています。攻撃者は、SolarWind Orion IT モニタリング、およびマネージメント・ソフトウェアのアップデートをトロイの木馬化することで、被害組織へのアクセスを可能にしました。

FIREEYE FAQs

攻撃者はどうやってFireEye環境にアクセスしたのですか?

FireEyeの最新の調査結果から、SolarWinds に対する侵害がFireEyeへの攻撃のきっかけとなったベクターだと断定しました。これは、攻撃者が高度な技術を使ってFireEyeネットワークに侵入する前に用いた、一番はじめの攻撃ベクターであったと考えています。技術、脅威インテリジェンス、経験を活用し、FireEyeはSUNBURSTキャンペーンについて明らかにしました。

攻撃者は誰だったのですか?

FireEyeは、このキャンペーンの背後にいる攻撃者をUNC2452として追跡中です。UNCとは 「未分類(UNCategorized)」のグループを意味する、FireEye Mandiant におけるインテリジェンスの命名ルールに基づく分類です。

FireEye製品はSolarWinds侵害の影響を受けますか?

受けません。改変されたSolarWinds バイナリを検知できるよう、製品はすでにアップデート済みです。また、この攻撃者のあらゆる活動痕跡をスキャン続けており、侵害の可能性のある痕跡が見つかった場合にはご連絡をしています。

どのようにしてこの侵入を検知したのですか?

二要素認証の二重登録が不審な活動として報告されたことから、同侵入を検知しました。

お客様向けオンライン説明会(英語のみ)

UNC2452:サプライチェーンを利用して標的環境に侵入する高度な検知回避攻撃者

Contact Us

Have a question for the FireEye team or insights you’d like to share?
Contact us at [email protected].