レポート 4908

関連インシデント

インシデント 97113 Report
Iranian Hacker Group Cotton Sandstorm Reportedly Integrating AI into Cyber Influence Operations

Loading...
米国とイスラエル、イランの脅威勢力の新たな手口に警告
infosecurity-magazine.com · 2024

米国とイスラエルは、イランの国家支援を受けた脅威アクターであるCotton Sandstormが、生成AIツールの活用など、ネットワークを標的とする新しい手法を展開していると警告した。

共同勧告では、MarnanbridgeやHaywire Kittenとしても知られるこのグループが、主にイスラエルの組織に対する「ハッキングとリーク」作戦から、イスラエル、フランス、スウェーデン、米国を含む多数の国に影響を与えるより広範な攻撃へと最近どのように移行したかが強調された。

これには、米国の選挙関連のWebサイトやメディアを積極的に偵察することが含まれており、大統領選挙日が近づくにつれて、より直接的な影響力作戦を実行する準備をしていることが示唆されている。

このグループは、フランスの商用ダイナミックディスプレイプロバイダーへの侵入を含む2024年パリオリンピックを標的とした複数のサイバー作戦を実施し、IPカメラからコンテンツを収集するプロジェクトに着手した。

執筆機関は、2024年4月以降、コットン・サンドストームは「サイバー・コート」というオンライン上のペルソナを使用して、イスラエルとハマスの紛争に抗議する手段として、さまざまな国に対して悪意のある活動を行っているとされる複数のハクティビストグループの活動を宣伝していると付け加えた。

FBIは、2024年半ば以降、コットン・サンドストームが人事や財務関連の目的を含め、名目上の隠れ蓑としてアリア・セペール・アヤンデサザン(ASA)という社名で活動しているという信頼できる情報を持っていると述べた。

マイクロソフトの_デジタル防衛レポート2024_コットン・サンドストームをイランの代理で攻撃的なサイバー作戦を行っているイスラム革命防衛隊(IRGC)の一員として強調

Cotton Sandstorm の新たな手法

この勧告では、Cotton Sandstorm が使用していることが確認されているいくつかの新たな戦術、技術、手順 (TTP) が強調されています。これには次のものが含まれます:

  • 新たなインフラストラクチャ手法。 2023 年半ば以降、このグループはインフラストラクチャ管理と難読化のために複数のホスティング プロバイダー (「Server-Speed」と「VPS-Agent」) を使用しています。独自の再販業者を設立し、ヨーロッパを拠点とするプロバイダーからサーバー スペースを調達しており、これらのカバー再販業者は、サイバー アクターが悪意のある活動を行うための運用サーバーをプロビジョニングするために使用されます。たとえば、これらのカバー再販業者は、ハマス関連の Web サイトをホストするために、特定されたレバノン在住の個人に技術サポートを提供するために使用されています。
  • オープンソース情報の収集。 2023年10月7日のハマスによるイスラエルへの攻撃後、コットン・サンドストームは、PastebinやLinkedInを含む多数のプラットフォームで情報を検索し、イスラエルの戦闘機パイロットとUAVオペレーターに関する情報を特定しようとしました。また、ancestry.comやfamilysearch.orgなどのオンラインリソースを活動に使用し、以前に漏洩したデータセットを介して情報を検索しています。
  • AIの組み込み。 当局は、このグループが「For-Humanity」と呼ばれる作戦中に、メッセージング活動に生成AIを組み込んでいるのが確認されたと述べました。2023年12月に行われたこのサイバー対応の影響力作戦は、米国を拠点とするインターネットプロトコルテレビ(IPTV)ストリーミング会社に影響を与えました。この攻撃は、IPTVストリーミングサービスへの不正アクセスを利用して、イスラエルとハマスの軍事紛争に関する細工されたメッセージを広めました。

当局は、コットン・サンドストームが作戦の一環として、引き続き大規模な偵察、初期アクセス、持続、認証情報へのアクセスを行っていると付け加えました。

コットン サンドストーム攻撃に対する防御

各機関は、コットン サンドストームの戦術に関連して組織が講じるべき一連の緩和策を提示しています。これらには以下が含まれます:

  • Private Internet Access、Windscribe、ExpressVPN、Urban VPN、NordVPN などの仮想プライベート ネットワーク サービスからネットワークまたは会社のアカウントへの成功した認証を確認する
  • 以前に侵害された情報が流出してネットワークに対してさらに悪意のあるアクティビティが実行されないようにするための対策を講じる
  • 既知の脆弱性に対する保護を確実にするために、アプリケーションとホスト オペレーティング システムを定期的に更新する
  • サーバーのオフライン バックアップを確立する
  • ユーザー入力の検証を使用して、ローカルおよびリモートのファイル インクルードの脆弱性を制限する
  • Web サーバーに最小権限ポリシーを実装する
  • 組織の Web 対応システムと企業ネットワークの間に非武装地帯 (DMZ) を展開することを検討する
  • Web サイトとコンテンツ管理システム (CMS) には評判の良いホスティング サービスを使用する

この勧告は、連邦捜査局 (FBI)、米国財務省、イスラエル国家サイバー局によって発行されました。

情報源を読む