Mandiantは、イランの諜報保安省(MOIS)と関係があると見られる、国家支援を受けたイランのサイバー攻撃グループであるUNC1860に関するレポートを発表しました。このレポートでは、UNC1860が特殊なツールやパッシブバックドアを使用していることを明らかにし、中東全域の政府機関や通信事業者などの重要インフラを含む、優先度の高いネットワークへの持続的なアクセスを可能にする初期アクセスを提供している可能性があると指摘しています。
私が特に興味深いと感じたのは、MandiantがUNC1860の役割を初期アクセス提供者として、そして中東全域の政府機関や通信事業者などの重要インフラを含む、優先度の高いネットワークへの持続的なアクセスを可能にする能力に焦点を当てている点です。
この情報は、UNC1860のような国家支援を受けた攻撃グループが中東の組織にもたらす脅威の増大を示しています。機密性の高いネットワークに侵入し、長期間にわたってアクセスを維持できる彼らの能力は、手ごわい相手であることを示しています。
また、UNC1860と、Shrouded Snooper、Scarred Manticore、Storm-0861など、イランが支援する他の攻撃グループとの間には重複があることも興味深い点です。これは、これらのグループ間で連携や協力が行われている可能性を示唆しており、検知と対応の取り組みを複雑にしています。
Mandiantのレポートでは、GUIベースのマルウェア制御ツール、パッシブバックドア、悪用された脆弱性など、UNC1860のツールやテクニックについて詳しく分析しています。この情報は、UNC1860の攻撃からシステムを保護しようとするネットワーク防衛者にとって非常に貴重なものです。
結論として、Mandiantのレポートは、UNC1860が中東の組織にもたらす現実的かつ持続的な脅威を浮き彫りにしています。サイバー攻撃のリスクを軽減するためには、彼らの能力や戦術を理解することが重要です。
