CISA: 複数の APT グループが防衛組織に侵入 from darkreading.com

攻撃者は、電子メール メッセージと防衛契約情報へのアクセス権を取得し、資格情報を収集してユーザーの権限を昇格させ、カスタム抽出ツール CovalentStealer を展開してデータを外部サーバーに移動しました。
「国家が支援する攻撃者は常に高度な技術を使用していると多くの人が考えていますが、このレポートは、これらの攻撃者が使用するツールや技術の多くが防御側に知られており、検出可能であることを示しています」と彼女は述べました。
たとえば、新しい Exchange の脆弱性が最初のアクセスに使用された可能性がありますが、企業ネットワークにはパッチが適用されていない Exchange の脆弱性がたくさんあると Nickels 氏は述べています。
「APT のサイバー アクターは、Impacket で侵害された既存の資格情報を使用して、組織の多機能デバイスで使用されるより高い特権のサービス アカウントにアクセスしました」と、アドバイザリは述べています。
このようなカスタム ツールを使用すると、検出と軽減がより困難になる可能性がありますが、脅威グループが実行するアクションのほとんどは、既知のツールと手法を使用していると Red Canary の Nickels は述べています。