はじめに
2023年1月に最初の季刊号を発行して以来、BlackBerry Global Threat Intelligence Reportは瞬く間にサイバーセキュリティ業界における重要なリファレンスガイドとなりました。このレポートは、CISO、セキュリティ管理者、その他の意思決定者を含む世界中のサイバーセキュリティの専門家が、各業界やプラットフォームに影響を及ぼす最新のサイバーセキュリティの脅威や課題について常に情報を得るために使用しています。
この新しい号では、当社のグローバルな脅威リサーチ・インテリジェンスチーム(BlackBerry )が、政府・公共機関に対する課題、ヘルスケア分野の脆弱性、金融機関に対するリスク、重要インフラの安全確保の重要性について考察しています。また、新たな地政学的分析とコメント欄を設け、追加的な文脈を提供し、提示されたデータに戦略的な視点を与えています。本レポートの対象期間は2023年3月から2023年5月までである。
以下はそのハイライトである:
- 数字で見る90日間2023年3月から2023年5月にかけて、BlackBerry®サイバーセキュリティ・ソリューションは 150万件以上の攻撃を阻止しました。脅威者は平均して、1分あたり約11.5件の攻撃を展開していました。これらの脅威には、1分あたりおよそ1.7個の新規マルウェアサンプルが含まれていました。これは、前回の報告期間の平均である毎分1.5個の新しいサンプル数から13%増加したことを意味し、攻撃者が防御的なコントロール、特にシグネチャとハッシュに基づくレガシーなソリューションを回避するために、そのツールを多様化していることを示しています。
- 最も標的とされた業界最も標的とされたのは、ヘルスケア業界と金融サービス業界であった。医療では、貴重なデータと重要なサービスが組み合わさっているため、サイバー犯罪者にとって有利な標的となっており、その結果、医療機関を直接標的とするランサムウェア集団や、情報を盗むマルウェア(infostealer)が拡散しています。本レポートは、患者データを保護し、必要不可欠な医療サービスを中断することなく提供することの重要性を強調しています。
- リモート・アクセスはサイバー・リスクを増大させる金融機関は、その経済的重要性と豊富な機密データにより、持続的な脅威に直面しています。本レポートでは、コモディティ型マルウェアの増加、ランサムウェア攻撃、デジタル・バンキングやモバイル・バンキング・サービスを標的としたモバイル・バンキング型マルウェアの増加など、金融セクターの課題について掘り下げています。
- 各国特有のサイバー攻撃。2023年第2四半期には、ロシアと北朝鮮にそれぞれ関連する国家支援の脅威行為者であるAPT28とLazarus Groupが非常に活発に活動しました。これらの脅威主体は、米国、欧州、韓国を特に標的としてきた重要な歴史を持っています。その標的は政府機関、軍事組織、企業、金融機関に及び、国家の安全保障と経済の安定に深刻な脅威をもたらしています。これらの脅威集団は、その手法を絶えず変化させているため、攻撃を防御することが困難になっています。
- まとめと展望最後に、結論と2023年のサイバー脅威予測を発表する。
実用的で文脈に沿ったサイバー脅威インテリジェンスを提供するため、「MITRE の共通テクニック」および「応用対策と修復」のセクションでは、脅威グループが使用する上位 20 のテクニックを要約し、その傾向を前回の四半期報告書と比較しています。例えば、最も頻繁に使用されている5つの戦術は、発見と防御回避のカテゴリーであることを確認しました。これらの戦術の一部として報告されたテクニックは、紫チームの演習に取り入れたり、実践的な脅威モデリング演習の一環として戦術、技術、手順(TTP)の優先順位付けに使用したりすることができる。
さらに、BlackBerry Threat Research and Intelligence チームは、MITRE D3FEND™ を使用して、この期間に使用されたすべてのテクニックに対する完全な対策リストを作成しました。MITRE D3FEND はGitHub の公開リポジトリで利用可能です。本レポートは、 Cylance®AIを搭載したBlackBerry Cybersecurityソリューションがこの報告期間中に阻止した224,851のユニークなサンプルによって示された悪意のある行動を検出するための最も効果的なシグマルールを一覧にしています。私たちの目標は、読者の皆様が私たちの調査結果を、ご自身の実践的な脅威ハンティングおよび検出能力に反映できるようにすることです。
最後に、BlackBerry Threat Research and Intelligence チームのグローバルな研究者の精鋭チームが、BlackBerry データおよびCylance AI を活用した製品やサービスを継続的に改善しながら、読者の皆様に情報を提供し、教育する世界トップクラスの市場初調査を作成し続けていることに感謝申し上げます。最新版に掲載された詳細かつ実用的なデータに価値を感じていただければ幸いです。
イスマエル・バレンズエラ
脅威リサーチ・インテリジェンス担当バイスプレジデント BlackBerry
アバウトセキュリティ
国別・業種別攻撃
国別サイバー攻撃
サイバー攻撃を最も多く受けている国トップ5
図1は、BlackBerry Cybersecurityソリューションが最も多くのサイバー攻撃を防止し、ユニークな悪意のあるサンプルが使用された5カ国を示しています。前回の報告期間と同様、BlackBerry 、米国で最も多くの攻撃を阻止しました。その後、アジア太平洋(APAC)地域で成長が見られ、韓国と日本がトップ3に入りました。ニュージーランドと香港もトップ10に入った。米国がトップであることに変わりはないが、これらの新しいサンプルが観測された国の多様化がはるかに進んでいることがわかる。
産業別攻撃
BlackBerry の遠隔測定によると、この報告期間中にBlackBerry Cybersecurity ソリューションが保護したサイバー攻撃の分布が最も多い上位の業界は以下の通りである:
- 金融機関
- 病院、診療所、医療機器などの医療サービスおよび医療機器
- 政府/公共団体
- 重要インフラ
今回の報告期間中、攻撃を受けた業種は、前回の報告よりも多様なグループとなった。図2は、上位3業界におけるサイバー攻撃の分布を示しています。また、阻止された攻撃と阻止されたユニーク・ハッシュにおいて、業種が1位から3位までどのようにランク付けされるかに逆相関があることも示しています:
政府/公共団体
政府組織は、地政学的、財政的、または混乱を動機とする脅威行為者にとって魅力的な標的である。脅威行為者には、個人、小規模なグループ、または国家が支援する APT グループ(APT 手法を使用)が含まれるため、政府組織は幅広い脅威から防御する必要があります。
この報告期間中、BlackBerry サイバーセキュリティ・ソリューションは、政府・公共サービス部門に対する55,000件以上の個人攻撃を阻止し、前回の報告期間から40%近く増加した。
BlackBerry サイバーセキュリティ・ソリューションは、北米とAPAC地域の政府機関に対する攻撃を最も多く阻止しており、この地域ではオーストラリア、韓国、日本が最も標的とされている。
政府の脅威トップ
前回の報告期間において、BlackBerry Threat Research and Intelligenceチームは、RedLine、Emotet、RaccoonStealer(RecordBreaker)など、政府機関を標的とした安価で容易にアクセス可能なコモディティマルウェアファミリを複数記録しました。また、コモディティ型マルウェアのローダーである PrivateLoader やSmokeLoaderも、政府機関を標的としていました。
Dark Crystal RATとしても知られるDCRatは、本報告期間中に文書化されました。DCRatは2019年以降よく観測されており、脅威行為者が被害者のデバイスを制御することを可能にし、侵害された環境への便利なアクセスポイントとして機能します。
より広範な政府の脅威の状況を検証する
この報告期間は、北米の市や州の政府システムを標的とし、侵入したランサムウェア・グループのニュースが大きな話題となった。
3月、ランサムウェア集団LockBitがカリフォルニア州オークランド市1を標的にした。このグループは、ランサムウェア・アズ・ア・サービス(RaaS)を運営しており、通常、複数の戦術やテクニックを駆使してネットワークに侵入し、重要な機密情報を特定し、データを流出させて、被害者に大きな身代金の支払いを迫る二重の恐喝策略の担保として使用しています。また、この報告期間中、脅威グループBlackByteは、テキサス州ダラス市とジョージア州オーガスタ市に対するロイヤルランサムウェア攻撃の手柄を主張しました。
Clopランサムウェアグループ(Cl0PまたはCLOPとも呼ばれる)は、マネージドファイル転送(MFT)アプリケーションGoAnywhereに存在する、パッチが適用されたCVE-2023-06692の脆弱性を悪用する類似のRaaSです。この脆弱性が暴露された後、Clopは、この報告期間中に、カナダのトロント市3に対する攻撃を含む他のいくつかの攻撃の責任を主張し、このグループは、デバイスを暗号化し、35,000人以上の市民のメタデータを流出させたと主張しています。
ポーランドも攻撃の標的になった。ロイター通信によると4、ポーランド税務局は3月、ロシアのサイバー攻撃と疑われる攻撃を受けてオフラインになった。ポーランドの情報セキュリティー担当委員によると5、ロシア系グループ「NoName」が攻撃を仕掛けたが、同委員はこの攻撃を今日の基準からすれば「単純」なものだと述べている。
5月には、ハクティビスト集団「謎のチーム」が、セネガルの政府・財務省のサイトを標的とした分散型サービス妨害(DDoS)攻撃を行った6。
ヘルスケア
医療分野は、脅威行為者が最も一貫して標的としている業界の1つである。重要なサービスを提供しているため、医療システムやインフラを長期間オフラインにすることはできません。そのため、医療提供者がサービスを再開できるよう、被害者に迅速な支払いを迫るランサムウェア集団の格好の標的となっている。FBIインターネット犯罪苦情センター(IC3)の最近の報告書によると、2022年に米国でランサムウェアのギャングが最も標的とした重要インフラ分野はヘルスケアと公衆衛生であり、210件の攻撃が公式に報告されている7。
ヘルスケア・セクターは、名前、住所、生年月日、社会保障番号、そして多くの場合、機密性の高い医療記録など、個人を特定できる情報(PII)を含む、システム内の機密データの価値の高さからも狙われている。PIIはさらに、ID窃盗などの犯罪のために武器化されたり8、ダークウェブのマーケットフォーラムで販売されたり、脅迫や身代金要求のために使用されたりする可能性がある。
米国保健社会福祉省市民権局(Office for Civil Rights Breach Portal)9によると、この報告期間中、米国の医療提供者に対する「ハッキング/ITインシデント」事象は146件( )あった。
トップ・ヘルスケアの脅威
報告期間中、BlackBerry サイバーセキュリティ・ソリューションは、13,433 個のユニークなマルウェア・バイナリを検出して阻止し、ヘルスケア・セクター全体で 109,922 個以上の異種攻撃を防止した。
最も顕著な攻撃は、コモディティ型マルウェア、特にRedLine などの情報窃取型マルウェアを使用したものでした。また、感染したホスト上で偵察を行い、データを窃取し、追加のペイロードを配信することができるAmadey(同名のボットネットにリンクされたボット)も流行していました。
また、Emotet、IcedID、SmokeLoaderといったマルウェアファミリも、医療機関を標的として使用されています。医療機関に対するこれらの攻撃の共通点は、追加の悪意のあるペイロードを配信することも可能な情報窃取型マルウェアを採用していることです。
より広いヘルスケア脅威の状況を検証する
この報告期間には、より広範な医療脅威の状況において、いくつかの大規模かつ注目すべきサイバー攻撃がありました。3月上旬には、スペインのバルセロナ・クリニック病院が、サイバー犯罪組織「RansomHouse」11によるものと思われるランサムウェア攻撃の被害に遭いました10。この攻撃は病院のインフラ内の仮想マシンを標的とし、予定されていた医療サービスに大きな支障をきたした。その1週間あまり後には、スペインの大手医薬品サプライヤーであるアライアンス・ヘルスケアが攻撃の標的にされ、同社のウェブサイト、請求システム、注文処理が完全にシャットダウン12された。
また3月には、ムンバイを拠点とする製薬メーカー、サン・ファーマシューティカルズ(インド最大、世界第4位)がランサムウェア「ALPHV/BlackCat」の運営者に攻撃され13、間もなく同社の盗まれたデータが流出サイトに追加された。ほぼ同時期に、このグループはペンシルバニア州を拠点とするLehigh Valley Health Networkも攻撃し、女性の乳がん患者の写真を公開すると脅迫した14。
この間、国家に支援された脅威行為者も医療業界を標的にした疑いがある。5月、韓国の警察当局は、北朝鮮を拠点とするハッカーがソウル大学病院に侵入し、医療機密データを盗んだことを明らかにした。この侵入は2021年半ばに発生し、その後2年間の調査が行われた。メディア筋は、Kimsuky APTグループがこの攻撃を行ったと主張している15。
これらの多様な攻撃は、医療業界があらゆるタイプの脅威者にとって魅力的な標的であることを示しています。医療機関は通常、機密データを保持し、重要なサービスを提供しているため、この業界に対する攻撃の数は増加すると考えられます。
ファイナンス
金融業界は、多額の報酬、破壊的な影響(政府による罰金の可能性、訴訟費用、脅威の緩和費用、ターゲットの評判へのダメージなど)、ダークウェブ・フォーラムで販売可能な機密性の高い財務データを求めるサイバー犯罪者の頻繁なターゲットとなっています。このデータは、他の悪意のある目標を達成するために武器化する二次的な脅威行為者によって購入されることがよくあります。
この報告期間中、BlackBerry サイバーセキュリティ・ソリューションは金融機関を標的にした17,000件以上の攻撃を阻止し、そのうち15,000件近くが米国の組織に対するものであった。金融部門に対する残りの攻撃は、南米とアジアの国々で検知され、阻止された。
金融業界にとっての脅威
この報告期間中、BlackBerry の遠隔測定では、RedLine のようなコモディティマルウェアの継続的な使用傾向が観察されました。このマルウェアは、保存された認証情報、クレジットカード情報、および(最近のバージョンでは)暗号通貨を含む情報を採取することができます。BlackBerry は、バックドアマルウェア SmokeLoader およびオープンソースフレームワーク MimiKatz を使用した攻撃も観察しています。
ロシア語圏のハッキング・フォーラムで販売されているボットネット「Amadey」が、金融業界を脅かしていることが検知された。Amadeyは、攻撃者のコマンドを待っている間に、標的となった被害者の情報をコマンド・アンド・コントロール(C2)に送り返します。Amadeyの主な機能は、侵害されたマシンに悪意のあるペイロードをロードすることです。
広範な金融脅威の状況を検証する
金融業界(特に銀行)は、この報告期間に多数の攻撃を経験した。金融機関に対するもう1つの一般的な脅威は、CryptoMixランサムウェアファミリーの亜種であるClopランサムウェアでした。このマルウェアの背後にいるグループは、GoAnywhere MFTソフトウェアで見つかった新たな脆弱性も悪用していました。GoAnywhere MFTソフトウェアは、最近のバンキング・プラットフォームHatch Bank17の侵害において、CVE-2023-066916として追跡された認証前コマンド・インジェクションの脆弱性に悩まされていました。
この報告期間の初めに、Lockbit 3.0の背後にいるRaaSグループは、インドの非銀行金融会社であるFullerton India18を標的としました。この攻撃の背後にいるグループは、ダークウェブのリークサイトで共有した600GB以上のデータを盗んだと主張しています。
オーストラリアでは、2023年の初めに、ローン大手のラティテュード・ファイナンシャル・サービシズ19とコモンウェルス・バンク・オブ・オーストラリア20のインドネシア部門がサイバー攻撃の標的になった。
金融業界も新たな Android マルウェアに狙われた。Chameleon」と呼ばれるこのトロイの木馬21は、PKO Bank Polskiの電子バンキング・サービス・アプリケーションを模倣し、被害者を欺きます。Android マルウェア・グループ「Xenomorph」は、アップデート・バージョンをリリースし、世界中の 400 以上の銀行22から認証情報を盗んだと報告されています。
重要インフラ
信頼性の高い重要インフラは、全住民が依存する必要不可欠なサービスを提供するために必要であるため、インフラは敵対する国家や攻撃を計画する他のグループにとって価値の高い標的である。前回の報告書で述べたように、ウクライナのエネルギー部門は、ロシアの支援を受けたと思われるグループによって物理的にもデジタル的にも標的になっている。悪意者、政府、重要インフラによる運用技術(OT)のセキュリティ脆弱性への注目が高まっていることを考えると、事業体はインフラのセキュリティを優先しなければならない。
この報告期間中、BlackBerry テレメトリは米国のインフラに対する攻撃を最も多く記録し、インド、日本、エクアドルがそれに続いた。全体として、BlackBerry サイバーセキュリティ・ソリューションは、この報告期間中、重要インフラに対する25,000を超える攻撃を阻止しました。
重要インフラのトップターゲット
重要インフラは、外部からの脅威を軽減するために、他のシステムから隔離されることが多い。しかし、ITとOTの両方のエコシステムにおいて、デジタル化とモノのインターネット(IoT)との統合が進むと、予期せぬリスクが生じる可能性がある。新しい技術が採用されるにつれ、洗練されたサイバー脅威が後を追うのは間違いない。インフラに損害を与えるだけでなく、サイバー犯罪者はデータやシステムへのアクセスも狙っている。
コモディティ型マルウェアもまた、インフラに対する脅威として拡大している。例えば、BlackBerry は、コモディティ型マルウェアである Vidar infostealer を検出しました。
より広範な重要インフラの脅威状況を検証する
報告期間中、重要なインフラに対するいくつかの非常に有名な攻撃が発生した。特に、中国の国家が支援し ているとされる脅威行為者Volt Typhoonによる米国に対する攻撃が有名である。マイクロソフトの調査23 によると、Volt Typhoon は主にスパイ活動を行っています。このグループは、LotL(Living Off the Land)24の技術を活用し、ネットワーク機器を侵害することで、ネットワーク・トラフィックを流出させながら、検知されないようにしています。
4月には、X_Traderサプライチェーン攻撃25の背後にいると思われる北朝鮮を拠点とするグループが、米国と欧州の重要インフラの侵害に関連していた。地政学的緊張の高まりは、欧米を拠点とする重要インフラに対する脅威の高まりに対する一般市民の認識を高めている。例えば、英国国家サイバーセキュリティセンター(NCSC)は、ロシアのウクライナ侵攻に同調する国家と連携した脅威行為者の活動が活発化しているとして、警戒を呼びかけるアラート26を発表した。
地政学的分析とコメント
我々はデジタル地政学の時代に生きている。悪意あるサイバー活動は、一部の国家が力を誇示し、敵対勢力を混乱させ、地政学的目標を達成するために頻繁に用いられる戦術として浮上している。カナダ・センター・フォー・サイバー・セキュリティ(Canadian Centre for Cyber Security)がその2023-24年国家サイバー脅威評価(National Cyber Threat Assessment for 2023-24)の中で述べているように27 、サイバー脅威活動は「国家が紛争の入り口に達することなく事象に影響を与えるための重要なツールとなっている」。サイバー攻撃の背後にある動機は、知的財産の窃取からサイバースパイ活動、重要インフラの混乱、政府に対する国民の信頼を損なうためのデジタル影響力キャンペーンに至るまで多岐にわたる(米国国家サイバーセキュリティ戦略を参照)28。
この報告期間中、BlackBerry は、BlackBerry Cybersecurity ソリューションによって阻止された公共部門エンティティに対するサイバー攻撃の数が約 40 パーセント増加したことを記録しています。重要インフラ部門は、国家を標的にしたサイバー行為者の戦略的標的となっている。なぜなら、政府による必要不可欠なサービスの提供におけるダウンタイムは特に有害であり、国民の信頼を損なう可能性があるからである。このため、オーストラリア、カナダ、ニュージーランド、英国、米国で構成される情報同盟であるファイブ・アイズ各国政府は、国家支援を受けたサイバー行為者が「産業用OTネットワークに事前に配置」し、「国民の健康と安全を脅かす(彼らの)力と能力について威嚇的なメッセージを送る」ことを目的として、「ほぼ確実に重要インフラに対する偵察活動を行っている」と一貫して評価している。(カナダの石油・ガス部門に対するサイバー脅威」29Canadian Center for Cyber Security, 2023; CISA Cybersecurity Alerts & Advisoriesも参照)30。
深刻化するサイバー攻撃に直面して、各国政府はインシデントの調査、対応、復旧を支援するための協力を強化している。その例として、2022年にコスタリカ31 、アルバニア32、モンテネグロ33 の各政府が重要インフラに対するサイバー攻撃に直面した際、米国やその他の同盟パートナー国が迅速に出動したことが挙げられる。さらに最近では、カナダのバンクーバーで、約30カ国以上の政府が、サイバー脅威に対抗し、サイバー空間における国家の責任ある行動を支持するための広範な国際協力の必要性を再確認した(「バンクーバーでの会合後、各国はサイバー空間における責任ある行動を促した」参照)34。
ウクライナでの敵対行為が続く中、地政学とサイバー攻撃の関連性はますます明確になっている。オーストラリア、カナダ、ニュージーランド、英国、米国は、ロシアのウクライナ侵攻を支援する「ロシア国家が支援する」グループと「ロシアと連携する」非国家犯罪ハッカー集団の両方による、重要インフラを標的としたサイバー活動の可能性を警告する複数の共同サイバー勧告35を発表した。この報告期間中、BlackBerry は、ウクライナ難民に医療支援を提供するEUの外交団や米国の医療機関を標的とした、ロシア系と疑われる脅威行為者による攻撃を記録した。この地政学的危機がエスカレートするにつれ、この傾向は続くと予想される。
阻止された脅迫の総数
2023年3月から5月にかけて、BlackBerry Cybersecurityソリューションは152万8488件のサイバー攻撃を阻止しました。この間、脅威行為者は、BlackBerry の顧客に対して、1 日平均 16,614 件のマルウェア・サンプルを展開しました。これは、1分あたり平均11.5個のマルウェアサンプルに相当します。
これらのサンプルには、224,851件の新規かつユニークなマルウェア・サンプルが含まれています。これは、1日平均2,444件、1分あたり1.7件に相当します。これは、前回の報告期間の平均値である毎分1.5件のユニーク・サンプルから13%増加したことになります。
次のグラフは、Cylance AIを搭載したBlackBerry サイバーセキュリティ・ソリューションがこの期間に防止したサイバー攻撃のダイナミクスを示しています。
脅威の担い手とツール
この報告期間中、Cylance AIによって推進されるBlackBerry サイバーセキュリティ・ソリューションは、これらの高度な脅威要因やツールから顧客を防御した。
脅威の担い手
APT28
Sofacy/FancyBearとしても知られるAPT28は、ロシア政府に代わって活動し、西側諸国とその同盟国に焦点を当てていると広く想定されている、高度なスキルと豊富なリソースを持つサイバースパイグループである。少なくとも2007年から活動しているこのグループは、政府、軍事、防衛請負業者、エネルギー企業など幅広い分野を標的としている。同グループは、「Operation Pawn Storm」や「Operation Sofacy」などの高度持続的脅威(APT)キャンペーンに関与している疑いが持たれている。
2015年11月、グループはZebrocyと呼ばれる武器を使い始めた。この武器には3つの主要コンポーネントがあり、実行中のプロセスを検出し、悪意のあるファイルをシステムにダウンロードするダウンローダーとドロッパー、そしてシステム内に永続性を確立し、データを流出させるバックドアがある。
ラザロ・グループ
ラザロ・グループ(Lazarus Group)37は、ラビリンス・チョリマ(Labyrinth Chollima)、ヒドゥン・コブラ(Hidden Cobra)、ガーディアンズ・オブ・ピース(Guardians of Peace)、ジンク(Zinc)、ニッケル・アカデミー(Nickel Academy)としても知られ、北朝鮮の偵察総局(Reconnaissance General Bureau)情報機関に帰属する北朝鮮の国家支援によるサイバー脅威グループであると考えられている。このグループは少なくとも2009年から活動しており、「オペレーション・ブロックバスター」と名付けられたキャンペーンの一環として、2014年11月にソニー・ピクチャーズエンタテインメントに対する破壊的なワイパー攻撃を行ったと伝えられている38。
このグループは、システム情報を収集し、コマンドを実行し、追加のペイロードをダウンロードする、Manuscrypt39と呼ばれるカスタムリモートアクセス型トロイの木馬(RAT)を使用していました。
ツール
アドファインド
AdFindは、Active Directory(AD)から情報を収集するオープンソースのコマンドラインツールです。AdFindは、被害者のADデータを収集するための発見段階で使用されます。
ミミカッツ
Mimikatzは、オープンソースの侵入テスト(ペンテスト)フレームワークおよびツールで、ネットワークセキュリティのテストやシステムの堅牢化のための複数の機能を提供します。Mimikatzは、パスワードや認証情報などの機密情報を抽出できるほか、Windows®ベースのコンピュータにおける特権の昇格など、セキュリティ専門家が脆弱性を特定するのに役立つ多くの機能を提供しています。その強力な機能ゆえに、脅威者はしばしばMimikatzを悪用して悪意のある目標を達成します。
コバルト・ストライク
CobaltStrike®40は、標的型攻撃を実行し、高度な脅威行為者の侵入後の行動をエミュレートできる商用敵対者エミュレーションプラットフォームです。このツールは、セキュリティ専門家がネットワークやコンピュータシステムのセキュリティを評価・テストするためのペンテストでよく使用されます。
Cobalt Strike Beaconは、ファイル転送、キーロギング、権限昇格、ポートスキャンなどの機能を被害者のデバイス上に展開できる軽量のファイルレスエージェントです。これらの機能は、セキュリティ専門家が脅威をエミュレートし、サイバー防御をテストするためによく使用されますが、脅威行為者によっても定期的に悪用されています。
エクストリーム・ラット
Extreme RAT(別名XTRAT、エクストリーム・ラット)は、ファイルのアップロードやダウンロード、レジストリ管理、シェルコマンドの実行、スクリーンショットのキャプチャ、実行中のプロセスやサービスの操作、デバイスのマイクやWebカメラを介した音声の録音などの機能を持つリモートアクセス型トロイの木馬ツールです。このRATは、2012年と2015年にイスラエル政府41とシリア政府42を標的とした攻撃で使用されたほか、さまざまな脅威アクターによる他の攻撃でも使用されています。
最も流行しているマルウェアファミリー
ウィンドウズ
ドロッパー/ダウンローダー
エモテ
過去10年間にわたり、Emotetはスタンドアロンのバンキング型トロイの木馬として登場した当初から進化し、Epoch1、Epoch2、Epoch3と名付けられた3つのボットネットの背後で運用されるマルウェア-アズ-ア-サービス(MaaS)となりました。このボットネットは、TrickBot、IcedID、Bumblebee Loaderといった他の様々なコモディティマルウェアの配信メカニズムとして機能し、悪意のあるCobalt Strike Beaconを展開することでも知られています。
過去には、悪名高いRyukランサムウェアの一団が、被害者の環境へのアクセスを容易にするために、TrickBotと連携してEmotetを使用していました。Emotetは、スパムメールや感染したMicrosoft®Officeドキュメントを主な感染経路として使用します。法執行機関による取り締まりや、一度以上の自粛を乗り越えても、Emotet は今日の脅威ランドスケープに存在し続けています。
プライベートローダー
PrivateLoaderは2022年に初めて脅威に登場し、有料インストールサービスに接続されました。主要な感染ベクターとして「クラックされた」(または修正された)ソフトウェアのトロイの木馬化バージョンを使用するPrivateLoaderは、RedLine、Remcos、njRAT、SmokeLoader、その他を含む様々なコモディティマルウェアを配信するために、数多くのキャンペーンで使用されてきました。BlackBerry のテレメトリは、PrivateLoaderが、歓迎されないものの、将来的に常連になる可能性が高いことを示しています。
スモークローダー
SmokeLoaderは、2011年の登場以来、脅威の常連であり、継続的に進化してきました。2014年までは、主にロシアを拠点とする脅威アクターによって使用され、ランサムウェア、インフォステア、クリプトミン、バンキング型トロイの木馬など、さまざまなマルウェアをロードするために使用されてきました。SmokeLoaderは多くの場合、スパムメール、兵器化された文書、スピアフィッシング攻撃を通じて配布されます。被害者のホストにインストールされると、SmokeLoader は、再起動後も存続するための永続メカニズムを作成し、DLL インジェクションを実行して正規のプロセス内に潜伏しようとしたり、ホストの列挙を実行したり、追加のファイルやマルウェアをダウンロード/ロードしたりします。SmokeLoaderには、コードの難読化などのアンチサンドボックスおよびアンチ解析技術も含まれています。
前回の報告期間中、SmokeLoaderは、アーカイブ、おとり文書、JavaScriptローダー、およびSmokeLoaderペイロードを配信するためのPowerShellの使用を含む実行チェーンにおいて、ウクライナのエンティティを標的とするために2回使用されました。
インフォステア
レッドライン
RedLineは、Windowsシステムを標的とする.NETベースの有名な情報窃取プログラムです。BlackBerry の遠隔測定によると、RedLine は、この期間に最も広く観測されたマルウェア ファミリの 1 つです。この広範なマルウェア・ファミリーについては、「Global Threat Intelligence Report - April 2023」でも取り上げています。
RedLineは比較的安価な情報窃取ツールであり、感染したシステムからパスワードや社会保障番号、ブラウザに保存されたクレジットカード情報などの個人情報の流出を試みます。さらに、RedLineは、被害者のデバイスにインストールされているアプリケーション(セキュリティ・ソフトウェアを含む)のリストを収集し、攻撃者に送信することができるため、攻撃者は二次攻撃を計画することができます。また、RedLineはコマンドを実行することも可能で、多くの場合、複数段階の実行チェーンの1コンポーネントとなります。
RedLineはアンダーグラウンドのフォーラムで広く配布されており、スタンドアロン製品またはMaaSサブスクリプションパッケージの一部として販売されている。本稿執筆時点では、約100~150米ドルで購入できる。
RedLineの人気と被害をもたらす能力は、その多用途性によるものです。このマルウェアはさまざまな方法で配信され、被害者のシステムへの被害を拡大するために、他のマルウェアの二次的または三次的なペイロードとして展開されることがよくあります。ここ数カ月では、トロイの木馬化されたMicrosoft®OneNoteがフィッシングメールに添付される形でRedLineが配布されました。
ラクーンスティーラー/レコードブレーカー
RaccoonStealerは、ブラウザクッキー、パスワード、オートフィルウェブブラウザデータ、暗号通貨ウォレットデータを取得する情報窃取者である。このマルウェアは、ダークウェブのフォーラムや同様のプラットフォームでMaaSとして販売されていると報告されている。
2022年半ば、このマルウェアの背後にいるグループは、活動を休止し一時的に停止した後、RaccoonStealer 2.0またはRecordBreakerと名付けられたRaccoonStealerの新バージョンを発表した。この更新されたマルウェアは現在、ダークマーケットでMaaSとして配布されている。同グループは、更新されたインフラストラクチャと改善された情報窃取能力により、このマルウェアをゼロから再構築したと主張している。
ヴィダール
Vidarは、アンダーグラウンドのフォーラムで公然と配布されている、頻繁に使用されるもう1つのコモディティマルウェアです。Arkei infostealerのフォークであると報告されているVidarは、標準的なファイルだけでなく、銀行情報、ブラウザの認証情報、暗号通貨ウォレットを取得します。このマルウェアは実行時に、ハードウェア、実行中のプロセス、ソフトウェアに関するデータだけでなく、重要なシステム情報も収集し、脅威の発信者に送り返します。
2018年の最初のリリース以来、Vidarの複数の反復は、その機能、回避能力、および全体的な複雑さを強化し、脅威アクターからの人気を高めています。他のマルウェアファミリーは、セカンダリペイロードとしてVidarをドロップすることが確認されています。
アイスドID
しばしばBokBotと呼ばれるこのバンキング型トロイの木馬は、2017年に初めて摘発された。それ以来、IcedIDは何度もその姿を変え、脅威の現場で一貫して蔓延している。IcedIDはもともとモジュール式で、その中核機能は高度なバンキング型トロイの木馬のものです。
IcedID は、より回避的で有害になるよう頻繁に更新されるため、2023 年も引き続き重要な脅威となっています。さらに、IcedID は、ランサムウェアや Cobalt Strike などの二次感染マルウェアの追加ペイロードのドロッパーとして機能することがよくあります。
リモート・アクセス・トロイの木馬
テスラ捜査官
Agent Teslaは.NETでコンパイルされたRATであり、少なくとも2014年以降、脅威の現場で流行している情報窃取ツールです。本格的な RAT であり、さまざまなデータ(一般的に使用されている多くのアプリケーションのキー入力、スクリーンショット、認証情報など)を窃取し、流出させることができます。
エージェント・テスラは、スパムメールや兵器化されたMicrosoft® Word文書など、複数の感染媒体を使用しています。また、Microsoft®Office の脆弱性を悪用したり、コンパイルされたHTMLファイルを介して拡散することもあります。前回の報告期間中、Agent Tesla は、世界的な脅威の中で最も活発な RAT の 1 つとなりました。
ランサムウェア
ブラックキャット/ALPHV
BlackCatまたはALPHV/Noberusは、Rustプログラミング言語で書かれたランサムウェアファミリーである。このマルウェアはRaaSとして販売され、WindowsベースとLinuxベースの両方のオペレーティングシステムをターゲットにすることができる。
ALPHVは、著名な被害者を標的にした多発性のランサムウェアです。ホストに感染した後、ALPHV ランサムウェアは回避的になり、最終的なランサムウェアのペイロードを爆発させる前に、リカバリおよびレポート機能をブロックしようとします。
ALPHVは、機密データを流出させ、二重の恐喝方法を用いて被害者に圧力をかけ、暗号化されたファイルへのアクセスを回復し、一般に公開されないようにするために、より大きな身代金を支払わせることでさらに悪名を高めている。
FBIの勧告43によると、BlackCat/ALPHVは、古いグループであるDarkSideや BlackMatterと関連している可能性がある。
モバイル
アンドロイド
2008 年の最初のリリース以来、AndroidTMは 30 億人44を超えるアクティブな携帯端末ユーザに選ばれるモバイル・プラットフォームとなり、世界市場の 71%近くを占めています45 。残念なことに、Android の人気は脅威行為者にとって魅力的なターゲットにもなっているため、Android の脅威の状況はかつてないほど活気に満ちています。残念ながら、アンドロイドの人気は、脅威行為者にとって魅力的なターゲットにもなっているため、アンドロイドの脅威の状況はかつてないほど活気に満ちています。
スパイノート
SpyNote46(別名SpyMax)は、被害者をスパイするために使用されるマルウェアのファミリーです。SpyNoteは、モバイルデバイスから認証情報やクレジットカード情報などの機密情報を抜き取ります。SpyNoteはまた、ユーザーの位置情報を監視したり、デバイスのカメラにアクセスしたり、SMSテキストメッセージを傍受したり(これは脅威行為者が二要素認証を回避するのに役立ちます)、電話を監視して録音したり、デバイスを遠隔操作したりすることもできます。
SpyNoteは進化を続けている。SpyNote.C」と名付けられた最新の亜種は、著名な金融機関の正規アプリを装った偽アプリや、その他の一般的に使用されているモバイルアプリによって配信される最初の亜種です。2022年10月にソースコードが流出した後、SpyNoteのサンプルはモバイルの脅威状況において大幅に増加しています47。
スピンオーク
SpinOk は、2023 年 5 月下旬に初めて文書化されたスパイウェア機能を持つ悪意のあるソフトウェア コンポーネントで、マーケティング アプリ用のソフトウェア開発キット(SDK)のように見えます。前回の報告期間では、SDK のサプライ チェーン攻撃により、SpinOk が意図せずに数十48 のアプリケーションに組み込まれていました49。
SpinOKが埋め込まれると、ミニゲームのように見える広告が表示され、ユーザーにアプリを開き続けるよう促します。SpinOkは、脅威行為者がデバイスのコンテンツを特定し、リモートサーバーにデータを流出させることを可能にする。また、脅威分析作業を妨害する可能性もあります50。
SMSThief
SMSThiefは、デバイスのバックグラウンドで動作しながら、被害者のSMSテキストメッセージを傍受、転送、コピーすることができます。SMSThief の亜種は、少なくとも過去 10 年間使用されてきました。SMSThief はまた、ユーザーのデバイスから過剰な料金が発生するプレミアム番号にテキストメッセージを送信することで、被害者をプレミアム番号詐欺51に加入させることもできます。
リナックス
Linux®は、ユーザーシステムではなく、主に企業サーバー(オンプレミスおよびクラウドベースの両方)やIoTデバイスで使用されています。最も一般的な感染経路は、Secure Shell(SSH)アクセスを取得するためのパスワードの総当たりや、一般向けサービスの脆弱性を悪用したものです。DDoS 攻撃、クリプトマイ ナー、VMWare ESXi サーバを特に標的としたランサムウェアなど、この報告期間の攻撃は前期と同様です。
Linuxは脅威行為者にとって積極的な標的であるため、組織はリスクを軽減するために行動しなければならない。セキュリティ・パッチの適用を優先すべきである。パッチを適用することで、Linux環境をリモートからのエクスプロイトだけでなく、高度な攻撃でよく使用されるローカル特権の昇格(LPE)の脆弱性からも保護することができます。このようなリモートからの悪用には、バックドアなどの高度なマルウェアも含まれます。Linux環境に対する脅威の多くは、脆弱なパスワードの総当りによるアクセスに依存しているため、効果的な脆弱性管理プログラムとともに、強固な認証情報を要求することを推奨します。
分散型サービス拒否
マルウェアベースのDDoS攻撃は、この報告期間中、Linuxシステムに対する最も一般的な脅威であった。最も拡散されたマルウェアの亜種はMiraiで、少なくとも2016年から活動しています。Miraiのソースコードはアンダーグラウンドのフォーラムで公開されているため、攻撃を特定のグループに帰属させることは困難です。Miraiの主な標的は、最新のセキュリティアップデートが適用されていないIoTデバイスです。
2014年から活動を開始したGafygt52は、Linuxベースのボットネットで、Miraiに類似したコードベースを使用し、一般的にIoTルータなどのデバイスを標的としています。前回の報告期間では、XorDDos53が DDoS 攻撃に使用された最も高度なマルウェアでしたが、最も一般的でなかったのもこのマルウェアでした。XorDDoSは、主にSSHへのアクセスの強要によって拡散し、システム管理者からその存在を隠すルートキットを含むことがあります。
クリプトミナーズ
これは、被害者のシステムリソースを使用して暗号通貨(主に Monero)を採掘する脅威行為者です。オープンソースのクロスプラットフォームソフトウェアであるXMRigが最も一般的なクリプトマイナーですが、今回の報告期間では、少なくとも2020年以降に活動を開始し、Windows版も提供されているPrometeiボットネット54の利用が急増していることが明らかになりました。Prometeiの高度な機能には、ドメイン生成アルゴリズムを使用してボットネットの停止を困難にするものがあります。Prometeiは世界中の被害者をターゲットにしていたが、ロシアのホストはターゲットにしていなかった。当初、Prometeiはロシア、ウクライナ、ベラルーシ、カザフスタンのCIS諸国を標的としないように設計されていたと言われています。しかし、このマルウェアの後のエディションは、もはやそうではないことを示唆している。このマルウェアは、ロシア・ベースのデバイス以外はすべて感染するように設計されているようだ。このことから、親ロシア派の活動家は、ロシアの侵攻に対抗してウクライナを支援した国々を攻撃する方法を探しているように見える。
ランサムウェア
ほとんどのランサムウェア攻撃はWindowsを標的としているが、ほとんどの著名な脅威グループはLinux版のマルウェアを作成し、多くの場合VMWare ESXiを標的としている。これには、Lockbit、Black Basta、BlackCat/ALPHV、Babuk、Royal、およびHiveを含む複数の著名なグループの活動が含まれます。Trigona55とMoney Message56は、Linuxバージョンを含む新しいランサムウェアです。
今後、新たなランサムウェアグループが活動を開始する際にLinuxの亜種を開発し、Linuxシステムに対するランサムウェア攻撃の確率が高まることが予想されます。
マックオス
macOSはWindowsよりも安全であると考えられていますが、それでも長い間、高度な脅威行為者に狙われてきました。詳細については、RSA 2023でのmacOS: Tracking High Profile Targeted Attacks, Threat Actors & TTPs, 57 BlackBerryのプレゼンテーションをご覧ください。
一般的なmacOSマルウェアは、アドウェアを表示したり、Webブラウザの検索をハイジャックしたりしますが、この報告期間中に、クロスプラットフォームのプログラミング言語を使用して、macOS自体を標的とするマルウェアを開発する脅威行為者が増加しました。例えば、Atomic macOS(AMOS)と呼ばれる新種は、クロスプラットフォームのプログラミング言語であるGoLang(別名Go)をベースとした情報窃取プログラムです。
アドウェアとブラウザのハイジャック
多くの人はアドウェアを不要なアプリケーションに過ぎないと考えていますが、アドウェアはバックドアのような有害なコンポーネントをダウンロードしてインストールする可能性があります。今回の報告期間において、当社の遠隔測定によると、AdLoadとPirritが依然として最も広く展開されているアドウェアであることがわかりました。また、検索バーの結果をリダイレクトし、ユーザーを潜在的に悪意のあるアドウェアに誘導する古い脅威であるGenieoの再発も確認されています。アドウェアは、被害者のデバイスにマルウェアをダウンロードさせる悪意のあるウェブサイトへ、ウェブ検索ユーザーを誘導するようにプログラムされることがあります。これらの悪意のあるサイトは、正規のサイトと同じように見えるようにクローン化されている可能性がある。例えば、脅威グループRomComは最近、正規のエンタープライズ・アプリケーションをホストするサイトをクローンし、typosquattingを使用して、実際のウェブサイトで使用されているものと同様のURLを作成しました。偽サイトへの訪問者は、知らず知らずのうちに一般的なソフトウェアのトロイの木馬化されたバージョンをダウンロードし、脅威行為者にマシンへのバックドアを与えて情報を流出させていました。
アトミックmacOS(AMOS)ステーラー
Atomic macOS(AMOS)は、macOSを標的にした新種の情報窃取プログラムで、この報告期間58に出現し、野生で展開されているのが確認されている。AMOSは、人気の高いクラウドベースのメッセージングアプリ「Telegram」で宣伝されています。このマルウェアは、キーチェーン、ブラウザ、暗号ウォレットからユーザー認証情報を収集し、デスクトップやドキュメントなどの特定のユーザー・ディレクトリからファイルを流出させます。Windowsプラットフォームでは、イニシャル・アクセス・ブローカー(IAB)が盗んだ認証情報を使用してネットワークを侵害し、ランサムウェアを展開します。AMOSではこのような動作は確認されていないが、将来的に発生する可能性はある。
最も興味深い話
SideWinderがサーバーサイド・ポリモーフィズムを使ってパキスタン政府高官を攻撃、今度はトルコを標的に
5月上旬、BlackBerry Threat Research and Intelligenceチームは、インド発と思われるAPTグループ「SideWinder」59によるキャンペーンを暴く調査結果を発表した。このキャンペーンはパキスタン政府を標的としており、CVE-2017-019960の脆弱性を悪用してリモートテンプレートインジェクションを実行するフィッシングメールや兵器化された文書に依存した複雑な実行チェーンによって配信されていました。このグループは、シグネチャベースの検出メカニズムを回避するために、独自のサーバーサイドポリモーフィズム61を使用していました。成功した場合、エクスプロイトは次の段階のペイロードを配信します。
このキャンペーンは2022年12月に初めて発生した。2023年3月、BlackBerry Threat Research and Intelligenceチームは、トルコを標的としたサイドワインダーの追加キャンペーンの証拠を発見した。このキャンペーンの時期は、この地域の地政学的な出来事、特にカシミールをめぐるインドとの紛争におけるパキスタンへのトルコの公的支援と重なっていた62。
初期インプラントとネットワーク分析が示唆する3CXのサプライチェーン運営は2022年秋まで遡る
2023年3月末、ビジネス・コミュニケーション・サプライヤーである3CX社は、同社のVOIPソフトウェアである3CXDesktopAppのトロイの木馬化されたバージョンが世界中に配布されるという大規模なセキュリティ侵害が発生したことを発表した63。
3CXDesktopAppは、通話、ビデオ、ライブチャットに広く利用されている音声・ビデオ会議製品である。同社のウェブサイトによると、3CXの顧客企業は約60万社で、190カ国で1日あたり1,200万人以上のユーザーが利用している64。
3CXは攻撃の翌日、この侵害について発表した65。3CXは、このインシデントに関する後のアップデート66で、この攻撃の背後には北朝鮮系の脅威アクターであるUNC4736が存在し、Coldcatダウンローダーと連携してTaxhaul(別名TxRLoader)マルウェアを展開していたと述べている。
このマルウェアは、トロイの木馬化されたファイルが署名され、ベンダーの正当なファイルとして表示されるようにする、侵害された依存ファイルとして表示される悪意のあるインストーラによって最初に配信された。
BlackBerryテレメトリーと初期サンプルおよび対応するネットワーク・インフラの分析から、作戦は2022年夏から秋口の間に開始されたことが判明した。この攻撃は、オーストラリア、米国、英国の医療、製薬、IT、金融業界に影響を与えた。
NOBELIUM、ポーランド大使の訪米を利用し、ウクライナを支援するEU政府を標的にする
3月初旬、 BlackBerry研究者は、ロシアの対外諜報機関SVRと公にリンクしているNOBELIUM(APT29)として知られるロシアの国家支援型脅威行為者による欧州のエンティティを標的としたキャンペーンを観察した。
このグループは、ウクライナで進行中の戦争について議論するためにワシントンD.C.を訪れたマレック・マジェロフクシ駐日ポーランド大使に関心を持つ人々をターゲットに、カスタムルアーを作成した。別のルアーは、EU諸国が情報交換と安全なデータ転送のために使用している合法的なシステムLegisWriteとeTrustExを悪用するように設計されていた。
このルアーは、被害者にEnvyScoutという悪意のあるHTMLファイルをダウンロードさせるように設計されています67。このツールは、HTMLの密輸技術を利用して、さらに悪意のあるコンポーネント(多くの場合、ISOファイルやIMGファイルとして)を被害者のマシンに配信し、機密情報を盗み出します。ポーランド大使の訪米と今回の攻撃で使用された誘い文句が重なっていることから、NOBELIUMが地政学的なイベントを利用して被害者をおびき寄せ、感染が成功する可能性を高めていることが分かります。
グーグル広告の悪用からスペインの税務署を装った大規模なスピアフィッシング・キャンペーンまで
2023年4月上旬、BlackBerry Threat Research and Intelligenceチームは、異なる目的と目的でtyposquatting68を利用した2つの悪質なキャンペーンを数ヶ月にわたって追跡した結果を発表した。
最初のものは、Google Adsのプラットフォームを悪用したmalvertising69キャンペーンで、少なくとも数ヶ月間運用されていました。Libre Office、AnyDesk、TeamViewer、Braveといった一般的なソフトウェアの偽バージョンやトロイの木馬化されたバージョンが、VidarやIcedIDを含む商品情報窃取者を配信していました。疑うことを知らない被害者を欺くために、脅威の主体は正規のウェブサイトをクローンし、本物のウェブサイトのURLを模倣するためにタイポスクワッティングを使用したドメイン名を割り当てました。
2つ目のキャンペーンは、スペインの国税庁を模倣した大規模な標的型スピアフィッシング・キャンペーンであった。このキャンペーンでは、テクノロジー、建設、エネルギー、農業、コンサルティング、政府、自動車、ヘルスケア、金融といった主要業界の被害者から電子メールの認証情報を盗み出そうとした。
PaperCut RCE 脆弱性が脅威者に悪用される
2023 年 3 月、PaperCut NG/MF バージョン 8.0 以降におけるリモートコード実行(RCE) の欠陥が公開されました70 。PaperCut 社は、その製品が世界中で使用されている印刷管理ソフ トウェアの開発企業です。この脆弱性(CVE-2023-27350 として追跡されている)71は、その後パッチが適用されましたが、概念実証(POC)として公開されており、検出が困難であるため、RCE の欠陥は、脅威行為者が脆弱なソフトウェアの未パッチのバージョンを実行しているシステムに侵入するための理想的な感染ベクトルとなっています。
Bl00dyランサムウェアの運営者は、この欠陥を利用して教育分野の事業体を標的にしている72。また、Clopや LockBitのギャングも脆弱なサーバーを標的にしていることが確認されており73、5月上旬には、Mango SandstormやMint Sandstormを含む複数のイラン国家支援APTグループがこの脆弱性を積極的に悪用していることをマイクロソフトが公表している74。
ロシアのスパイ活動用マルウェア作戦が法執行機関により解体される
ロシアのサイバースパイ能力に対する大打撃として、米司法省は5月上旬、悪名高い脅威行為者Turlaが使用していたインフラが解体されたことを発表した75。ロシア連邦保安庁(FSB)とつながりのあるこのグループは、スネークと呼ばれる高度な情報窃取装置を使って、北大西洋条約機構(NATO)や国連の各国から機密文書を入手していた。スネークのインフラには、NATO加盟国を含む少なくとも50カ国の感染したシステム上で発見されたボットネットが含まれており、20年以上にわたって悪用されたとされている。
この発見を受けてFBIは、ペルセウス(ギリシャ神話の英雄であり、怪物を退治する者)と名付けられたユーティリティを開発した。ペルセウスは、感染したシステムにダメージを与えることなく、スネークマルウェアを無効化する。
新たな脅威グループ "Rhysida "がチリ軍を攻撃
2023年5月下旬、Rhysidaと呼ばれる新たな脅威グループによるチリ軍(Ejercito de Chile)に対するランサムウェア攻撃が公表された76。攻撃の詳細は完全には明らかにされていないが、陸軍伍長がランサムウェア攻撃に関与した疑いで逮捕された77。
BlackBerry Threat Research and Intelligenceチームは、Rhysidaが開発の初期段階にあることを示す侵害の指標(IoC)を発見しました。サンプル分析によると、このグループはPowerShellを通じて.exeファイルを実行しました。このポータブル実行可能ファイル(PE)は、レジストリキーを介してユーザーのデスクトップの壁紙を変更しようとし、XORおよびAESアルゴリズムを使用してファイルを暗号化し、暗号化されたファイルにRhysida拡張子を追加します(システムの機能を中断させるOSフォルダの暗号化を避けるため)。エクスプローラへのプロセスインジェクションも確認されています。
その後、"CriticalBreachDetected.pdf "というランサムノートが置かれ、そこにはTORポータルを通じたグループへの連絡方法が記載されている。グループは身代金をビットコイン(BTC)で支払うよう要求する。被害者が支払いに同意した場合、グループから連絡を受けるためにIDを提供し、追加のフォームに記入する必要があります。
MITREの共通テクニック
脅威グループのハイレベルなテクニックを理解することは、どの検知テクニックを優先すべきかを決定する際に役立ちます。BlackBerry 、脅威アクターが使用している上位20のテクニックを観察しました。
最後の欄の上向きの矢印は、前回の報告書から技の使用量が増加していることを示す。下向きの矢印は、前回のレポートから使用率が減少したことを示す。イコール(=)の記号は、そのテクニックが前回のレポートと同じ位置にあることを意味する。
MITREのテクニックの全リストは、Threat Research and Intelligencepublic GitHubで公開されている。
| 技術名 | テクニックID | 戦術 | 最終レポート | 変更 |
|---|---|---|---|---|
|
1.システム情報の発見
|
T1082
|
ディスカバリー
|
1
|
=
|
|
2.仮想化/サンドボックス回避
|
T1497
|
防御回避
|
3
|
↑
|
|
3.セキュリティ・ソフトウェアの発見
|
T1518.001
|
ディスカバリー
|
4
|
↑
|
|
4.プロセス注入
|
T1055
|
防御回避
|
2
|
↓
|
|
5.マスカレード
|
T1036
|
防御回避
|
5
|
=
|
|
6.リモートシステムディスカバリー
|
T1018
|
ディスカバリー
|
6
|
=
|
|
7.アプリケーション層プロトコル
|
T1071
|
コマンド・アンド・コントロール
|
7
|
=
|
|
8.ファイルとディレクトリの検出
|
T1083
|
ディスカバリー
|
8
|
=
|
|
9.非アプリケーション層プロトコル
|
T1095
|
コマンド・アンド・コントロール
|
9
|
=
|
|
10.プロセス・ディスカバリー
|
T1057
|
ディスカバリー
|
10
|
=
|
|
11.入力キャプチャ
|
T1056
|
コレクション
|
13
|
↑
|
|
12.DLL サイドローディング
|
T1574.002
|
永続性
|
12
|
↓
|
|
13.ソフトウェアの梱包
|
T1027.002
|
防御回避
|
14
|
↑
|
|
14.コマンドとスクリプトのインタープリター
|
T1059
|
実行
|
12
|
↓
|
|
15.レジストリの実行キー/スタートアップフォルダ
|
T1547.001
|
永続性
|
19
|
↑
|
|
16.暗号化チャンネル
|
T1573
|
コマンド・アンド・コントロール
|
17
|
↑
|
|
17.ツールの無効化または変更
|
T1562.001
|
防御回避
|
15
|
↓
|
|
18.ルンドル32
|
T1218.011
|
防御回避
|
16
|
↓
|
|
19.難読化されたファイルまたは情報
|
T1027
|
防御回避
|
18
|
↓
|
|
20.アプリケーション・ウィンドウの発見
|
T1010
|
ディスカバリー
|
20
|
=
|
| テクニックID | |
|---|---|
| 1.システム情報の発見 |
T1082
|
| 2.仮想化/サンドボックス回避 |
T1497
|
| 3.セキュリティ・ソフトウェアの発見 |
T1518.001
|
| 4.プロセス注入 |
T1055
|
| 5.マスカレード |
T1036
|
| 6.リモートシステムディスカバリー |
T1018
|
| 7.アプリケーション層プロトコル |
T1071
|
| 8.ファイルとディレクトリの検出 |
T1083
|
| 9.非アプリケーション層プロトコル |
T1095
|
| 10.プロセス・ディスカバリー |
T1057
|
| 11.入力キャプチャ |
T1056
|
| 12.DLL サイドローディング |
T1574.002
|
| 13.ソフトウェアの梱包 |
T1027.002
|
| 14.コマンドとスクリプトのインタープリター |
T1059
|
| 15.レジストリの実行キー/スタートアップフォルダ |
T1547.001
|
| 16.暗号化チャンネル |
T1573
|
| 17.ツールの無効化または変更 |
T1562.001
|
| 18.ルンドル32 |
T1218.011
|
| 19.難読化されたファイルまたは情報 |
T1027
|
| 20.アプリケーション・ウィンドウの発見 |
T1010
|
| 戦術 | |
|---|---|
| 1.システム情報の発見 |
ディスカバリー
|
| 2.仮想化/サンドボックス回避 |
防御回避
|
| 3.セキュリティ・ソフトウェアの発見 |
ディスカバリー
|
| 4.プロセス注入 |
防御回避
|
| 5.マスカレード |
防御回避
|
| 6.リモートシステムディスカバリー |
ディスカバリー
|
| 7.アプリケーション層プロトコル |
コマンド・アンド・コントロール
|
| 8.ファイルとディレクトリの検出 |
ディスカバリー
|
| 9.非アプリケーション層プロトコル |
コマンド・アンド・コントロール
|
| 10.プロセス・ディスカバリー |
ディスカバリー
|
| 11.入力キャプチャ |
コレクション
|
| 12.DLL サイドローディング |
永続性
|
| 13.ソフトウェアの梱包 |
防御回避
|
| 14.コマンドとスクリプトのインタープリター |
実行
|
| 15.レジストリの実行キー/スタートアップフォルダ |
永続性
|
| 16.暗号化チャンネル |
コマンド・アンド・コントロール
|
| 17.ツールの無効化または変更 |
防御回避
|
| 18.ルンドル32 |
防御回避
|
| 19.難読化されたファイルまたは情報 |
防御回避
|
| 20.アプリケーション・ウィンドウの発見 |
ディスカバリー
|
| 最終レポート | |
|---|---|
| 1.システム情報の発見 |
1
|
| 2.仮想化/サンドボックス回避 |
3
|
| 3.セキュリティ・ソフトウェアの発見 |
4
|
| 4.プロセス注入 |
2
|
| 5.マスカレード |
5
|
| 6.リモートシステムディスカバリー |
6
|
| 7.アプリケーション層プロトコル |
7
|
| 8.ファイルとディレクトリの検出 |
8
|
| 9.非アプリケーション層プロトコル |
9
|
| 10.プロセス・ディスカバリー |
10
|
| 11.入力キャプチャ |
13
|
| 12.DLL サイドローディング |
12
|
| 13.ソフトウェアの梱包 |
14
|
| 14.コマンドとスクリプトのインタープリター |
12
|
| 15.レジストリの実行キー/スタートアップフォルダ |
19
|
| 16.暗号化チャンネル |
17
|
| 17.ツールの無効化または変更 |
15
|
| 18.ルンドル32 |
16
|
| 19.難読化されたファイルまたは情報 |
18
|
| 20.アプリケーション・ウィンドウの発見 |
20
|
| 変更 | |
|---|---|
| 1.システム情報の発見 |
=
|
| 2.仮想化/サンドボックス回避 |
↑
|
| 3.セキュリティ・ソフトウェアの発見 |
↑
|
| 4.プロセス注入 |
↓
|
| 5.マスカレード |
=
|
| 6.リモートシステムディスカバリー |
=
|
| 7.アプリケーション層プロトコル |
=
|
| 8.ファイルとディレクトリの検出 |
=
|
| 9.非アプリケーション層プロトコル |
=
|
| 10.プロセス・ディスカバリー |
=
|
| 11.入力キャプチャ |
↑
|
| 12.DLL サイドローディング |
↓
|
| 13.ソフトウェアの梱包 |
↑
|
| 14.コマンドとスクリプトのインタープリター |
↓
|
| 15.レジストリの実行キー/スタートアップフォルダ |
↑
|
| 16.暗号化チャンネル |
↑
|
| 17.ツールの無効化または変更 |
↓
|
| 18.ルンドル32 |
↓
|
| 19.難読化されたファイルまたは情報 |
↓
|
| 20.アプリケーション・ウィンドウの発見 |
=
|
応用対策と修復
検出技術
BlackBerry Threat Research and Intelligenceチームは、この報告期間中にBlackBerry Cybersecurityソリューションによって阻止された224,851のユニークサンプルから、脅威関連の動作を検出した386の公開Sigmaルールを特定しました。図 4 は、最も悪意のある動作を検出した Sigma ルールの上位 10 個を示しています。
| シグマ・ルール | 説明 | MITRE ATT&CK テクニック | MITRE ATT&CK タクティクス | 最終レポート | 変更 |
|---|---|---|---|---|---|
|
1.実行可能ファイルによる実行可能ファイルの作成
|
他の実行ファイルによる実行ファイルの作成を検出する。
|
能力を開発する:マルウェア - T1587.001
|
資源開発
|
1
|
=
|
|
2.Wow6432Node CurrentVersion オートランキーの変更
|
レジストリの自動開始拡張ポイント(ASEP)の変更を検出する。
|
ブートまたはログオン時の自動起動の実行:レジストリの実行キー / スタートアップフォルダ - T1547.001
|
永続性
|
2
|
=
|
|
3.CurrentVersionオートランキーの変更
|
レジストリの自動開始拡張ポイント(ASEP)の変更を検出する。
|
ブートまたはログオン時の自動起動の実行:レジストリの実行キー / スタートアップフォルダ - T1547.001
|
永続性
|
6
|
↑
|
|
4.Sysnativeフォルダを使用したプロセス作成
|
Sysnative フォルダを使用するプロセス作成イベントを検出 (Cobalt Strike のスポーンに共通)
|
プロセス・インジェクション - T1055
|
防御回避
|
3
|
↓
|
|
5.不審なフォルダからプロセスを開始する
|
テンポラリフォルダやフォルダのような、まれな、または一般的でないフォルダからのプロセス開始を検出します。
|
ユーザー実行 - T1204
|
実行
|
5
|
=
|
|
6.レジストリからMicrosoft Defender Firewallを無効にする
|
攻撃者は、ネットワーク利用を制限する制御をバイパスするために、システムのファイアウォールを無効にしたり、変更したりする可能性がある。
|
防御の障害:システムファイアウォールの無効化または変更 - T1562.004
|
防御回避
|
7
|
↑
|
|
7.序数による不審な電話
|
rundll32.dllエクスポート内のDLLの不審な呼び出しを順序値で検出します。
|
システムバイナリのプロキシ実行:Rundll32 - T1218.011
|
防御回避
|
9
|
↑
|
|
8.PowerShell スケジュールタスクの作成
|
Windows タスクスケジューラを悪用して、悪意のあるコードを初回または定期的に実行するタスクスケジューリングを行う可能性がある。
|
スケジュールされたタスク/ジョブスケジュールされたタスク - T1053.005
|
永続性
|
8
|
=
|
|
9.タスクキルの不審な実行
|
攻撃者は、ExchangeやSQL Serverのようなサービスのデータストアに対して、データ破壊やデータ暗号化を行うために、サービスやプロセスを停止させる可能性がある。
|
サービス・ストップ - T1489
|
インパクト
|
NA
|
↑
|
|
10.Net.exeの実行
|
Net.exeのWindowsユーティリティの実行を検出します。
|
複数のテクニック:
権限グループの検出 - T1069 アカウントの検出 - T1087 システム・サービスの検出 - T1007 |
ディスカバリー
|
NA
|
↑
|
| 説明 | |
|---|---|
| 1.実行可能ファイルによる実行可能ファイルの作成 |
他の実行ファイルによる実行ファイルの作成を検出する。
|
| 2.Wow6432Node CurrentVersion オートランキーの変更 |
レジストリの自動開始拡張ポイント(ASEP)の変更を検出する。
|
| 3.CurrentVersionオートランキーの変更 |
レジストリの自動開始拡張ポイント(ASEP)の変更を検出する。
|
| 4.Sysnativeフォルダを使用したプロセス作成 |
Sysnative フォルダを使用するプロセス作成イベントを検出 (Cobalt Strike のスポーンに共通)
|
| 5.不審なフォルダからプロセスを開始する |
テンポラリフォルダやフォルダのような、まれな、または一般的でないフォルダからのプロセス開始を検出します。
|
| 6.レジストリからMicrosoft Defender Firewallを無効にする |
攻撃者は、ネットワーク利用を制限する制御をバイパスするために、システムのファイアウォールを無効にしたり、変更したりする可能性がある。
|
| 7.序数による不審な電話 |
rundll32.dllエクスポート内のDLLの不審な呼び出しを順序値で検出します。
|
| 8.PowerShell スケジュールタスクの作成 |
Windows タスクスケジューラを悪用して、悪意のあるコードを初回または定期的に実行するタスクスケジューリングを行う可能性がある。
|
| 9.タスクキルの不審な実行 |
攻撃者は、ExchangeやSQL Serverのようなサービスのデータストアに対して、データ破壊やデータ暗号化を行うために、サービスやプロセスを停止させる可能性がある。
|
| 10.Net.exeの実行 |
Net.exeのWindowsユーティリティの実行を検出します。
|
| MITRE ATT&CK テクニック | |
|---|---|
| 1.実行可能ファイルによる実行可能ファイルの作成 |
能力を開発する:マルウェア - T1587.001
|
| 2.Wow6432Node CurrentVersion オートランキーの変更 |
ブートまたはログオン時の自動起動の実行:レジストリの実行キー / スタートアップフォルダ - T1547.001
|
| 3.CurrentVersionオートランキーの変更 |
ブートまたはログオン時の自動起動の実行:レジストリの実行キー / スタートアップフォルダ - T1547.001
|
| 4.Sysnativeフォルダを使用したプロセス作成 |
プロセス・インジェクション - T1055
|
| 5.不審なフォルダからプロセスを開始する |
ユーザー実行 - T1204
|
| 6.レジストリからMicrosoft Defender Firewallを無効にする |
防御の障害:システムファイアウォールの無効化または変更 - T1562.004
|
| 7.序数による不審な電話 |
システムバイナリのプロキシ実行:Rundll32 - T1218.011
|
| 8.PowerShell スケジュールタスクの作成 |
スケジュールされたタスク/ジョブスケジュールされたタスク - T1053.005
|
| 9.タスクキルの不審な実行 |
サービス・ストップ - T1489
|
| 10.Net.exeの実行 |
複数のテクニック:
権限グループの検出 - T1069 アカウントの検出 - T1087 システム・サービスの検出 - T1007 |
| MITRE ATT&CK タクティクス | |
|---|---|
| 1.実行可能ファイルによる実行可能ファイルの作成 |
資源開発
|
| 2.Wow6432Node CurrentVersion オートランキーの変更 |
永続性
|
| 3.CurrentVersionオートランキーの変更 |
永続性
|
| 4.Sysnativeフォルダを使用したプロセス作成 |
防御回避
|
| 5.不審なフォルダからプロセスを開始する |
実行
|
| 6.レジストリからMicrosoft Defender Firewallを無効にする |
防御回避
|
| 7.序数による不審な電話 |
防御回避
|
| 8.PowerShell スケジュールタスクの作成 |
永続性
|
| 9.タスクキルの不審な実行 |
インパクト
|
| 10.Net.exeの実行 |
ディスカバリー
|
| 最終レポート | |
|---|---|
| 1.実行可能ファイルによる実行可能ファイルの作成 |
1
|
| 2.Wow6432Node CurrentVersion オートランキーの変更 |
2
|
| 3.CurrentVersionオートランキーの変更 |
6
|
| 4.Sysnativeフォルダを使用したプロセス作成 |
3
|
| 5.不審なフォルダからプロセスを開始する |
5
|
| 6.レジストリからMicrosoft Defender Firewallを無効にする |
7
|
| 7.序数による不審な電話 |
9
|
| 8.PowerShell スケジュールタスクの作成 |
8
|
| 9.タスクキルの不審な実行 |
NA
|
| 10.Net.exeの実行 |
NA
|
| 変更 | |
|---|---|
| 1.実行可能ファイルによる実行可能ファイルの作成 |
=
|
| 2.Wow6432Node CurrentVersion オートランキーの変更 |
=
|
| 3.CurrentVersionオートランキーの変更 |
↑
|
| 4.Sysnativeフォルダを使用したプロセス作成 |
↓
|
| 5.不審なフォルダからプロセスを開始する |
=
|
| 6.レジストリからMicrosoft Defender Firewallを無効にする |
↑
|
| 7.序数による不審な電話 |
↑
|
| 8.PowerShell スケジュールタスクの作成 |
=
|
| 9.タスクキルの不審な実行 |
↑
|
| 10.Net.exeの実行 |
↑
|
シグマ・ルールNet.exeの実行
Sysmon イベント ID 1 プロセス作成に関連します。このシグマ・ルールは、特定のコマンド行を持つ実行を識別する。観察された興味深い動作は以下のとおりです:
親プロセス from \AppData Replica Executing
> C:³³³³.exe view
親プロセス from \AppData Replica Executing
> net stop "TeamViewer"
親プロセスC:˶WindowsSysWOW64˶cmd.exe executing
> ネットユーザー
親プロセス from \AppData Replica Executing
> net group "ドメイン管理者" /ドメイン
シグマ・ルールタスクキルの不審な実行
Sysmon Event ID 1 Process Creationにも関連するこのシグマ・ルールの目的は、システム内の「kill」プロセスに関連する動作を特定することです。
> タスクキル /F /IM chrome.exe /T> taskkill /f /t /im <FILENAME>.exe> タスクキル /im google* /f /t
観測された動作の多くには/Fフラグが含まれており、これはプロセスが強制終了されることを意味する。Tフラグは、子プロセスも終了させることを意味する。最後に、/IM パラメーターで終了させるプロセスのイメージ名を指定し、ワイルドカード (*) を使用することができる。
シグマのルール不審なフォルダからのプロセス開始
このシグマ・ルールは、OS内の一般的でないフォルダから開始されるプロセスを示す。以下は一般的なフォルダの例である:
> C:\Users\<USER>\AppData\Local\Temp\> C:¦WindowsTemp
このシグマ・ルールに合致する一般的でないフォルダには、以下のようなものがある:
> C:¥Users¥Public¥Libraries(ロムコムをはじめとする脅威の俳優が使用)。> C:¥Users¥Public> C:\Users\<USER>\AppData\Local\Temp\~[a-zA-Z]+\.tmp\ (Regular Expression ~[a-zA-Z]+\.tmp)
シグマからMITREへ
シグマは、ログイベントとログパターンを記述できるテキストベースのオープンなシグネチャフォーマットである。シグマ・ルールは通常、MITREの技術にマッピングされ、複数のMITRE技術を個々のシグマ・ルールにマッピングすることができます。この報告期間中、386のシグマ・ルールが、220,000以上の新しいユニークなマルウェア・サンプルから悪意のある動作を検出しました。
これらをMITREの技法にマッピングしても、今報告期間の「MITREの共通技法」との直接的な相関関係は見られない。
シグマ・ルールで観察されたMITREのテクニック上位5つを以下に示す。
| テクニック | シグマ・ルールの数 |
|---|---|
|
ブートまたはログオン時の自動起動の実行:レジストリの実行キー / スタートアップフォルダ - T1547.001
|
14
|
|
防御を損なう:ツールの無効化または変更 - T1562.001
|
11
|
|
コマンドとスクリプトのインタープリタ:PowerShell - T1059.001
|
10
|
|
コマンドおよびスクリプト・インタープリタ - T1059
|
9
|
|
スケジュールされたタスク/ジョブスケジュールされたタスク - T1053.005
|
9
|
| シグマ・ルールの数 | |
|---|---|
| ブートまたはログオン時の自動起動の実行:レジストリの実行キー / スタートアップフォルダ - T1547.001 |
14
|
| 防御を損なう:ツールの無効化または変更 - T1562.001 |
11
|
| コマンドとスクリプトのインタープリタ:PowerShell - T1059.001 |
10
|
| コマンドおよびスクリプト・インタープリタ - T1059 |
9
|
| スケジュールされたタスク/ジョブスケジュールされたタスク - T1053.005 |
9
|
結論
当社のお客様を標的としたユニークな悪意のあるサンプルが13%増加したことは、脅威行為者がコンパイルにおけるツールの多様化を図っていることを示しています。このプロセスは、従来のセキュリティオペレーションセンター(SOC)が使用する単純なフィードやフィルタを回避するために使用される可能性のある類似したサンプルに対して、異なるハッシュを生成します。
APT28とLazarus Groupは、この報告期間中に当社の顧客を標的とした最も活発な2つの脅威行為者であった。APT28はロシアに、Lazarusは北朝鮮に関連しており、両者とも国家がスポンサーとなっていると考えられています。これら2つのグループは、米国、欧州、韓国に特に焦点を当てた西側諸国を標的としてきた長い歴史を持っています。彼らの標的には、政府機関、軍事組織、企業、金融機関などが含まれる。両グループは、国家の安全保障と経済的繁栄に深刻な脅威をもたらしている。これらのグループは、防衛をより困難にするために、そのテクニックを常に進化させているため、組織はこれらの脅威行為者の最新のTTPを認識し、防衛戦略を強化し、対策を適用するために、紫色のチーム演習に含める必要がある。
この報告期間中、最も標的とされたのは医療機関と金融機関であった。金融とヘルスケアの両業界では、窃取したクレデンシャルを盗み売買するインフォステーラーが最も一般的に悪用されました。しかし、ウクライナの救済活動に関連した病院や金融機関に対する注目度の高い攻撃も見られました。例えば、RomComのようなサイバー脅威グループは、ウクライナからの難民に人道支援を行っている米国に拠点を置く医療機関を標的としていた。
ランサムウェアは、金融機関と医療機関の双方にとって、依然として継続的な脅威である。今回と前回の報告期間からの遠隔測定によると、この2つの業界は今後も大きな標的として狙われる可能性が高い。
この報告期間のサンプルを扱う中で、最も頻繁に使用される手口は発見と防御回避であることを確認した。ネットワークにおけるこれらの戦術の検出に優先順位をつけることは非常に重要です。サイバーセキュリティチームは、これらのTTPと脅威行為者のプロファイルを学習することで、攻撃の影響を大幅に軽減し、脅威の発見、インシデント対応、復旧作業を支援することができます。
予想
- この脆弱性(CVE-2023-3436279)はSQLインジェクションによって悪用され、特権の昇格やシステム侵害につながる可能性がある。この脆弱性は、パッチが適用されていないシステムで悪用されており、特に、この脆弱性を悪用して数百の組織に侵入したとされるClopランサムウェア集団によって悪用されています。私たちは、すべての脆弱なシステムにパッチが適用されるまで、脅威行為者がこの脆弱性を悪用しようとし続けることを予測しています81。
- 最近の調査82によると、世界のモバイル・バンキング市場規模は2026年に18億2,000万ドルに達すると推定されており、ネオバンク83の台頭などのトレンドから、デジタル・バンキングおよびモバイル・バンキング・サービスの利用は、今後10年間で増加し続ける可能性が高い。残念なことに、このような成長には、モバイル・バンキングを悪用する不正プログラムの増加が伴う可能性が高い。過去数カ月には、約450の金融アプリケーションを標的とした新たなAndroidボットネットなど、憂慮すべき事態84が複数発生しています85。オンラインバンキングのヘビーユーザーである消費者を悪用しようとする脅威行為により、スマートフォン中心のマルウェアが増加する可能性が高いと考えられます。
- フィッシング・キャンペーン 、検知を回避するための努力はますます巧妙になっている。ここ数ヶ月の間に、悪意のあるコンテンツを配信する前にプロキシとして機能する新しいウェブドメインの登録数が増加している。特定の国や地域の被害者をターゲットにしたプロキシやジオフェンシングの利用により、不正なウェブサイトを早期に発見することが難しくなっています。このようなタイプのフィッシング・キャンペーンは今後増加し、フィッシング詐欺師が被害者から情報を得るための作戦時間が増えることになります。
- ChatGPTのようなジェネレーティブAIは、組織にサイバーセキュリティ上の潜在的な問題を提示している。例えば、HYAS Labsの研究者は、ChatGPTのベースとなっている技術である大規模言語モデル(LLM)を悪用して、検出を回避するためにその場で自動的にコードを変更するポリモーフィック・キーロガー「BlackMamba」86を作成しました。また、ChatGPTに対する世界的な関心を悪用して、一般ユーザをマルウェアのインストールに誘い込むことも行われています。例えば、1日に約2,000人が「Quick access toChatGPT87」という悪意のあるブラウザ拡張機能をインストールし、Facebook Businessのアカウントから情報を取得しています。ChatGPTは、2023年が進むにつれて、革新的な脅威をますます増加させていくと予測しています。
BlackBerry 、組織の安全性を確保する方法について詳しくは、https://www。blackberry.com。
免責事項
2023 BlackBerry Global Threat Intelligence Reportに含まれる情報は、教育目的のみを目的としています。ブラックベリーは、本レポートで言及されている第三者の記述や調査の正確性、完全性、信頼性について保証するものではなく、責任を負うものでもありません。本レポートに記載された分析は、当社のリサーチアナリストによる入手可能な情報の現在の理解を反映したものであり、追加情報が当社 に知らされた場合には変更される可能性があります。読者は、本情報を私生活および職業生活に適用する際には、各自で十分な注意を払う責任があります。BlackBerry は、本レポートに掲載された情報の悪意ある使用または誤用を容認するものではありません。
© 2023BlackBerry Limited.BLACKBERRY 、EMBLEM DesignおよびCylance を含むがこれに限定されない商標は、BlackBerry Limitedの商標または登録商標であり、かかる商標の独占的権利は明示的に留保される。その他の商標は各所有者に帰属します。
謝辞
2023 年版BlackBerry グローバル脅威インテリジェンス・レポートは、当社の優秀なチームと個人の共同作業によるものです。特に、以下の方々に敬意を表します:
参考文献
2 https://nvd.nist.gov/vuln/detail/CVE-2023-0669
4 https://www.reuters.com/world/europe/poland-says-russian-hackers-attacked-tax-website-2023-03-01/
5 https://www.thefirstnews.com/article/cyber-attacks-have-become-commonplace-says-govt-official-36902
6 https://www.reuters.com/world/africa/senegalese-government-websites-hit-with-cyberattack-2023-05-27/
7 https://www.ic3.gov/Media/PDF/AnnualReport/2022_IC3Report.pdf
8 https://www.fraudsmart.ie/personal/fraud-scams/phone-fraud/identity-theft/
9 https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf
10 https://www.clinicbarcelona.org/en/news/computer-attack-on-the-frcb-idibaps
14 https://twitter.com/vxunderground/status/1632464810863390721
16 https://nvd.nist.gov/vuln/detail/CVE-2023-0669
24 https://darktrace.com/blog/living-off-the-land-how-hackers-blend-into-your-environment
25 https://techcrunch.com/2023/04/20/3cx-supply-chain-xtrader-mandiant
26 https://www.ncsc.gov.uk/news/heightened-threat-of-state-aligned-groups
27 https://www.cyber.gc.ca/en/guidance/national-cyber-threat-assessment-2023-2024
28 https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf
29 https://www.cyber.gc.ca/sites/default/files/cyber-threat-oil-gas-e.pdf
30 https://www.cisa.gov/news-events/cybersecurity-advisories?page=0
37 https://attack.mitre.org/groups/G0032/
38 https://www.usna.edu/CyberCenter/_files/documents/Operation-Blockbuster-Report.pdf
39 https://www.cisa.gov/news-events/analysis-reports/ar20-133a
40 https://attack.mitre.org/software/S0154/
42 https://archive.f-secure.com/weblog/archives/00002356.html
44 https://www.theverge.com/2021/5/18/22440813/android-devices-active-number-smartphones-google-2021
46 https://cyware.com/news/spynote-infections-on-the-rise-after-source-code-leak-c5d36dce
47 https://www.threatfabric.com/blogs/spynote-rat-targeting-financial-institutions
48 https://github.com/DoctorWebLtd/malware-iocs/blob/master/Android.Spy.SpinOk/README.adoc
50 https://news.drweb.com/show/?i=14705&lng=en
51 https://www.scamwatch.gov.au/types-of-scams/buying-or-selling/mobile-premium-services
52 https://threatpost.com/gafgyt-botnet-ddos-mirai/165424/
54 https://blog.talosintelligence.com/prometei-botnet-improves/
55 https://unit42.paloaltonetworks.com/trigona-ransomware-update/
56 https://blog.cyble.com/2023/04/06/demystifying-money-message-ransomware/
57 https://www.rsaconference.com/library/presentation/usa/2023/macOS
58 https://blog.cyble.com/2023/04/26/threat-actor-selling-new-atomic-macos-amos-stealer-on-telegram/
59 https://attack.mitre.org/groups/G0121/
60 https://nvd.nist.gov/vuln/detail/cve-2017-0199
61 https://nakedsecurity.sophos.com/2012/07/31/server-side-polymorphism-malware/
63 https://www.3cx.com/blog/news/desktopapp-security-alert/
65 https://www.3cx.com/blog/news/desktopapp-security-alert/
66 https://www.3cx.com/blog/news/mandiant-initial-results/
67 https://attack.mitre.org/software/S0634/
68 https://support.microsoft.com/en-当社/topic/what-is-typosquatting-54a18872-8459-4d47-b3e3-d84d9a362eb0
69 https://www.cisecurity.org/insights/blog/malvertising
70 https://www.papercut.com/blog/news/rce-security-exploit-in-papercut-servers/
71 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27350
72 https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-131a
74 https://twitter.com/MsftSecIntel/status/1654610012457648129
76 https://www.cronup.com/ejercito-de-chile-es-atacado-por-la-nueva-banda-de-ransomware-rhysida/
77 https://izoologic.com/2023/06/19/rhysida-ransomware-exposes-stolen-data-from-the-chilean-army/
78 https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
79 https://nvd.nist.gov/vuln/detail/CVE-2023-34362
81 https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
82 https://www.alliedmarketresearch.com/mobile-banking-market
83 https://www.bankrate.com/banking/what-is-a-neobank/
84 https://blog.cyble.com/2022/12/20/godfather-malware-returns-targeting-banking-users/
85 https://www.cleafy.com/cleafy-labs/nexus-a-new-android-botnet#3
86 https://www.darkreading.com/endpoint/ai-blackmamba-keylogging-edr-security
*5月31日の脆弱性については、発見から48時間以内に修正プログラムが公開された。詳細は https://www.ipswitch.com/blog/update-steps-we-are-taking-protect-moveit-customers。