Sandworm が Industroyer マルウェアの新バージョン "Industroyer2 "を使用してウクライナの電力網を攻撃しようとしたことを受け,Nozomi Networks 'Threat Intelligence チームは,顧客の安全とセキュリティを促進するため,以下の迅速なアップデートを作成しました.
最新のNozomi Networks Threat Intelligence パッケージは,マルウェアに関連する既知の活動を検出して顧客に警告するIndustroyer2 Indicators of Compromise(IoC)ルールを提供します.このマルウェアのサンプルには,ハードコードされたIPがいくつか含まれていることが報告されており,これは脅威行為者が展開する環境を熟知していたことを示すものです.Nozomi Networks 関連するサンプルが詳細に分析された時点で,追加情報とカバレッジが提供される予定です.
保護と回復力を維持する
企業が今すぐ保護を強化できる方法をいくつか紹介しよう:
- 基本的なサイバー衛生:パスワードのリセット,従業員やベンダーのアカウント/ネットワークへのアクセスと権限のチェック,ネットワークをスキャンして開いているポートを見つけ,閉鎖/保護する,など.
- YARAルールを活用して,関連するマルウェア活動を検索し,アラートを生成する.
- 異常検知ツールを使用して,マルウェアの変更やバリエーション,OT 環境で発生した不規則なアクティビティを検知する.
- 自動ファイアウォールと異常検知ツールを併用し,さらなる攻撃コマンドを阻止する.
- ネットワーク内の不審な活動を脅威の目で監視することで,攻撃者を早期に発見できる可能性があります.
また,これらのセキュリティ対策がまだ実施されていない場合は,CISAの2017年勧告に従うことを推奨する.
Nozomi Networks OT 業界がネットワークを保護するために使用できる推奨事項とともに,状況を監視し,最新情報を提供し続ける.
