« 内閣官房 サイバー安全保障分野での対応能力の向上に向けた有識者会議 これまでの議論の整理 (2024.08.07) | Main | 米国 GAO 環境保護庁は上下水道システムに対するサイバーセキュリティリスクに対処するための戦略を早急に立案すべき (2024.08.01) »

2024.08.30

米国 CISA FBI DC3 米国組織へのランサムウェア攻撃を可能にするイランベースのサイバー行為者に関する勧告

こんにちは、丸山満彦です。

米国のCISA、FBI、国防総省サイバー犯罪センター(DC3)が、共同で、米国組織へのランサムウェア攻撃を可能にするイランベースのサイバー行為者に関する勧告を発表していますね...

一般には、Pioneer Kitten、UNC757、Parisite、Rubidium、Lemon Sandstormとして知られるサイバーアクターということのようです...

 

CISA

プレス...

・2024.08.28 CISA and Partners Release Advisory on Iran-based Cyber Actors Enabling Ransomware Attacks on US Organizations

CISA and Partners Release Advisory on Iran-based Cyber Actors Enabling Ransomware Attacks on US Organizations CISAとパートナー、米国組織へのランサムウェア攻撃を可能にするイランベースのサイバー行為者に関する勧告を発表
Today, CISA—in partnership with the Federal Bureau of Investigation (FBI) and the Department of Defense Cyber Crime Center (DC3)—released Iran-based Cyber Actors Enabling Ransomware Attacks on U.S. Organizations. This joint advisory warns of cyber actors, known in the private sector as Pioneer Kitten, UNC757, Parisite, Rubidium, and Lemon Sandstorm, targeting and exploiting U.S. and foreign organizations across multiple sectors in the U.S 本日、CISAは連邦捜査局(FBI)および国防省サイバー犯罪センター(DC3)と連携し、「米国組織へのランサムウェア攻撃を可能にするイランベースのサイバー行為者」を発表した。この共同勧告は、民間ではPioneer Kitten、UNC757、Parisite、Rubidium、Lemon Sandstormとして知られるサイバー行為者が、米国内の複数の部門にわたって米国内外の組織を標的にし、悪用していることを警告するものである。
FBI investigations conducted as recently as August 2024 assess that cyber actors like Pioneer Kitten are connected with the Government of Iran (GOI) and linked to an Iranian information technology (IT) company. Their malicious cyber operations are aimed at deploying ransomware attacks to obtain and develop network access. These operations aid malicious cyber actors in further collaborating with affiliate actors to continue deploying ransomware.  2024年8月に行われたFBIの調査では、Pioneer Kittenのようなサイバーアクターはイラン政府(GOI)と関係があり、イランの情報技術(IT)企業とつながっていると評価されている。彼らの悪意あるサイバー活動は、ランサムウェア攻撃を展開し、ネットワークへのアクセスを獲得・発展させることを目的としている。このような活動は、悪意のあるサイバー行為者がランサムウェアを展開し続けるために、関連する行為者とさらに協力することを支援している。
This advisory highlights similarities to a previous advisory, Iran-Based Threat Actor Exploits VPN Vulnerabilities published on Sept. 15, 2020, and provides known indicators of compromise (IOCs) and tactics, techniques, and procedures (TTPs) この勧告は、2020年9月15日に公表された以前の勧告「イランベースの脅威行為者がVPNの脆弱性を悪用する」との類似点を強調し、既知の侵害指標(IOC)および戦術、技術、手順(TTP)を提供している。
CISA and partners encourage critical infrastructure organizations to review and implement the mitigations provided in this joint advisory to reduce the likelihood and impact of ransomware incidents. For more information on Iranian state-sponsored threat actor activity, see CISA’s Iran Cyber Threat Overview and Advisories page CISAとパートナーは、重要インフラ組織がランサムウェアインシデントの可能性と影響を低減するために、この共同勧告で提供されている低減策を検討し、実施することを奨励する。イラン国家が支援する脅威行為者の活動の詳細については、CISAの「イラン・サイバー脅威の概要と勧告」のページを参照のこと。
See #StopRansomware along with the updated #StopRansomware Guide for additional guidance on ransomware protection, detection, and response. Visit CISA’s Cross-Sector Cybersecurity Performance Goals for more information on the CPGs, including additional recommended baseline protections. ランサムウェアの防御、検知、対応に関する追加ガイダンスについては、更新された#StopRansomware Guideとともに#StopRansomwareを参照のこと。CISAの「Cross-Sector Cybersecurity Performance Goals」には、推奨される基本的防御の追加など、CPGの詳細が掲載されている。

 

 

・2024.08.28 Iran-based Cyber Actors Enabling Ransomware Attacks on US Organizations

Iran-based Cyber Actors Enabling Ransomware Attacks on US Organizations 米国の組織に対するランサムウェア攻撃を可能にするイランベースのサイバー行為者
Alert Code AA24-241A アラートコード AA24-241A
Summary 概要
The Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA), and the Department of Defense Cyber Crime Center (DC3) are releasing this joint Cybersecurity Advisory (CSA) to warn network defenders that, as of August 2024, a group of Iran-based cyber actors continues to exploit U.S. and foreign organizations. This includes organizations across several sectors in the U.S. (including in the education, finance, healthcare, and defense sectors as well as local government entities) and other countries (including in Israel, Azerbaijan, and the United Arab Emirates). The FBI assesses a significant percentage of these threat actors’ operations against US organizations are intended to obtain and develop network access to then collaborate with ransomware affiliate actors to deploy ransomware. The FBI further assesses these Iran-based cyber actors are associated with the Government of Iran (GOI) and—separate from the ransomware activity—conduct computer network exploitation activity in support of the GOI (such as intrusions enabling the theft of sensitive technical data against organizations in Israel and Azerbaijan). 連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)、および国防総省サイバー犯罪センター(DC3)は、2024年8月現在、イランを拠点とするサイバー行為者グループが米国内外の組織を悪用し続けていることをネットワーク防御者に警告するため、この共同サイバーセキュリティ勧告(CSA)を発表する。これには、米国(教育、金融、医療、防衛の各セクターや地方政府事業体など)および他国(イスラエル、アゼルバイジャン、アラブ首長国連邦など)の複数のセクターの組織が含まれる。FBIは、米国の組織に対するこれらの脅威行為者の活動のかなりの割合が、ランサムウェア関連行為者と協力してランサムウェアを展開するために、ネットワークへのアクセスを取得し、開発することを目的としているとアセスメントしている。FBI はさらに、これらのイランを拠点とするサイバー行為者はイラン政府(GOI)と関連しており、ランサムウェアの活動とは別に、GOI を支援するためのコンピュータ・ネットワークの搾取活動(イスラエルやアゼルバイジャンの組織に対する機密技術データの窃取を可能にする侵入など)を行っているとアセスメントしている。
This CSA provides the threat actor’s tactics, techniques, and procedures (TTPs) and indicators of compromise (IOCs), as well as highlights similar activity from a previous advisory (Iran-Based Threat Actor Exploits VPN Vulnerabilities) that the FBI and CISA published on Sept. 15, 2020. The information and guidance in this advisory are derived from FBI investigative activity and technical analysis of this group’s intrusion activity against U.S. organizations and engagements with numerous entities impacted by this malicious activity. 本 CSA は、脅威行為者の戦術、技術、手順(TTPs)、および侵害の指標(IOCs)をプロバイダとして提供するとともに、FBI と CISA が 2020 年 9 月 15 日に発表した前回の勧告(Iran-Based Threat Actor Exploits VPN Vulnerabilities)から同様の活動をハイライトしている。この勧告に記載されている情報とガイダンスは、米国組織に対するこのグループの侵入活動に関するFBIの調査活動と技術分析、およびこの悪質な活動によって影響を受けた多数の事業体との関わりから得られたものである。
The FBI recommends all organizations follow guidance provided in the Mitigations section of this advisory to defend against the Iranian cyber actors’ activity. FBI は、すべての組織がイランのサイバー行為者の活動から防御するために、本勧告の「低減」のセクションに記載されているガイダンスに従うことを推奨する。
If organizations believe they have been targeted or compromised by the Iranian cyber actors, the FBI and CISA recommend immediately contacting your local FBI field office for assistance and/or reporting the incident via CISA’s Incident Reporting Form (see the Reporting section of this advisory for more details and contact methods). 組織がイランのサイバー行為者に標的とされた、または侵害されたと思われる場合、FBIおよびCISAは、直ちに最寄りのFBI支部に連絡して支援を求めるか、CISAのインシデント報告フォーム(詳細および連絡方法については、本勧告の「報告」のセクションを参照)を通じてインシデントを報告することを推奨する。
For more information on Iran state-sponsored malicious cyber activity, see CISA’s Iran Cyber Threat webpage. イラン国家が支援する悪質なサイバー活動の詳細については、CISAの「イランのサイバー脅威」ウェブページを参照のこと。

 

・[PDF]

20240829-124446

 


 

 

|

« 内閣官房 サイバー安全保障分野での対応能力の向上に向けた有識者会議 これまでの議論の整理 (2024.08.07) | Main | 米国 GAO 環境保護庁は上下水道システムに対するサイバーセキュリティリスクに対処するための戦略を早急に立案すべき (2024.08.01) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 内閣官房 サイバー安全保障分野での対応能力の向上に向けた有識者会議 これまでの議論の整理 (2024.08.07) | Main | 米国 GAO 環境保護庁は上下水道システムに対するサイバーセキュリティリスクに対処するための戦略を早急に立案すべき (2024.08.01) »