はじめに
脅威インテリジェンスは、「敵の意表を突く技術」と考えることができる。サイバー攻撃という不意打ちを予測し、緩和し、防止することが、実用的な脅威インテリジェンス・プログラムの主要な使命である。
その目標を達成するには、次のような重要な質問に答えるプロアクティブなアプローチが必要だ:私の組織に影響を及ぼす可能性が最も高いのはどの脅威者か?彼らの動機、目標、能力は何か?彼らはどのように行動し、どのようなサイバー兵器を使って目標を達成するのか?そして最も重要なことは、組織のサイバー防衛能力を向上させるために、どのような実用的な対抗策を展開できるかということである。
サイバーセキュリティ・グローバル脅威インテリジェンス・レポート(BlackBerry )を発表しました。本レポートの使命は、標的型攻撃、サイバー犯罪を動機とする脅威行為者、および貴社のような組織を標的とするキャンペーンに関する実用的なインテリジェンスを提供することであり、これにより貴社は十分な情報に基づいた意思決定を行い、迅速かつ効果的な行動を取ることができます。
この第1版では、BlackBerry Threat Research and Intelligenceチームに所属するトップクラスの脅威リサーチャーやインテリジェンス・アナリストによるレポートを掲載しています。このチームは、技術的な脅威だけでなく、地域や世界の地政学的な動きや、それらが各地域の組織の脅威モデルに与える影響についても理解している世界トップクラスの専門家です。このレポート(2022年9月1日から11月30日までの90日間をカバー)を作成するために、チームは自社の人工知能(AI)主導の製品と分析能力から得たデータと遠隔測定データを活用し、他の公的および民間の情報源によって補完しました。
本レポートの調査ハイライトは以下の通り:
- 数字で見る90日間 BlackBerry 、お客様への影響を阻止したユニークなマルウェアのサンプル数や、それらの攻撃の地理的な分布など、90日間の報告期間の統計の概要です。プレビュー:当社のテクノロジーは、1時間あたり平均62件、1分あたり約1件の新たな悪意のあるサンプルを阻止しました。
- 最も一般的な武器Emotetのような悪意のあるローダーの復活、サイバー脅威の状況におけるQakbotの広範な存在、GuLoaderのようなダウンローダーの増加など、サイバー攻撃で使用される最も一般的な武器に関する情報。
- リモートアクセスは情報泥棒を増やす パンデミック後のリモートワークやハイブリッドワークの台頭により、外部から社内ネットワークにアクセスする必要性が広まっている。攻撃者は、新たなリモート・アクセスの可能性を利用し、情報窃盗犯(インフォステーラー)を使って企業の認証情報を盗み出し、ブラックマーケットで販売しています。本レポートでは、この時期に私たちが目にした、最も一般的で広く普及しているインフォステーラーについて説明します。
- どのプラットフォームも「安全」ではない。 脅威当事者は、さまざまなサーバ、デスクトップ、モバイルのプラットフォームを標的とする複数の戦略を持っています。例えば、一般的な意見とは裏腹に、macOSは「より安全な」プラットフォームではなく、macOS向けのマルウェアや脆弱性があふれています。その他にも、Linuxプラットフォームに対する攻撃の増加といったトレンド、GoLangのような主流ではないプログラミング言語がクロスプラットフォームのマルウェア開発に使用される方法、AndroidやiOSを実行するモバイルデバイスに影響を与える脅威の詳細な分析などを取り上げています。
- 独自の業界視点。 サイバーセキュリティとモノのインターネット(IoT)の両業界における当社の強力なプレゼンスにより、BlackBerry 、他の脅威レポートではあまり取り上げられない自動車業界などの業界の脅威を明らかにする独自の立場にあります。本号では、自動車業界だけでなく、ヘルスケア業界や金融業界にも影響を及ぼすと思われるサイバーセキュリティのトレンドに関する情報をお届けします。
- トップクラスの脅威行為者と対策私たちの遠隔測定により、様々な脅威行為者の活動も明らかになりました。このレポートには、最も一般的な戦術、技術、手順(TTPs)に関する情報や、MITRE ATT&CK および MITRE D3FEND にマッピングされた適用済み対策の公開リストへのリンクが含まれています。私たちの目標は、この実用的な情報に基づいて組織の防御や脅威モデルを簡単に更新できるようにすることです。
- まとめと展望 最後に、結論と2023年のサイバー脅威予測を示す。
このレポートを作成し、BlackBerry's data- andCylance AI-driven products and servicesを継続的に改善しながら、数多くの「市場初」の調査レポートを作成し続けているBlackBerry Threat Research and Intelligenceチームの精鋭グローバルリサーチャーに感謝したい。
イスマエル・バレンズエラ
脅威リサーチ&インテリジェンス担当バイスプレジデントBlackBerry
ツイッターアバウト・セキュリティ
BlackBerry サイバーセキュリティ脅威インテリジェンス執筆陣
数字で見るこの90日間
攻撃総数
2022 年 9 月 1 日から 11 月 30 日までの 90 日間に、BlackBerry によるCylance®Endpoint Security ソリューションは、1,757,248 件のマルウェア ベースのサイバー攻撃を阻止しました。脅威行為者は、当社のテクノロジーで保護された顧客に対して、1日平均約19,524件の悪意のあるサンプルを展開しました。これらの脅威には、133,695個のユニークなマルウェアサンプルが含まれており、これは1日平均1,485個、1時間あたり62個の新しいマルウェアサンプルに相当します。
次のグラフは、Cylance Endpoint Security ソリューションが2022年9月1日から11月30日の間に防止した潜在的サイバー攻撃のダイナミクスを示しています。第4週(9月29日~10月5日)と第7週(10月20日~10月26日)に急増したのは、脅威行為者がマルウェアサンプルを再利用した結果です。
Cylance エンドポイント・セキュリティ・ソリューションが攻撃を防止した地域
本報告期間における攻撃で使用されたマルウェアの種類
2022年9月1日から11月30日の間に、脅威行為者は、金融、地政学、軍事、および戦術的な目標を達成するために、多種多様なマルウェアを使用しました。確認された最も広範で興味深いマルウェアファミリーを、オペレーティングシステム(OS)別に以下に整理します。
Windows®は依然として最も攻撃されているOSであるが、そのユーザは、他のOSユーザよりもマルウェア攻撃に直面した場合の備えがいくらかできている可能性があり、そのユーザはまだサイバー攻撃とは無縁であると考えている可能性があることに注意することが重要である。しかし、BlackBerry® の遠隔測定データによると、macOS®、Linux®、およびモバイル・ユーザーも頻繁に攻撃を受けており、感染を免れるプラットフォームは存在しない。
ウィンドウズ
ダウンローダー
ダウンローダーは被害者を誘い、マルウェアをダウンロードするファイルを開かせる。このファイルは、正規のデジタル文書や実行ファイルを装うことがよくあります。一般的なダウンローダーには以下のようなものがあります:
- Emotetは現在使用されている脅威の中で最も多発しているものの1つである。2014年に初めて表面化し、2021年4月の法執行機関の取り締まりを生き延び、2021年末に復活しました。この四半期、Emotet は 4 か月ぶりに復活し、悪意のあるMicrosoft®Office 文書を配布するフィッシング・キャンペーンなど、以前にも見られた手法を使用しました。これらの文書は、被害者を説得してマイクロソフトの公式ディレクトリにコピーさせようとし、ユーザーの許可を求めることなくマクロが自動的に実行されます。Emotetは以前から、複数のランサムウェアグループと強いつながりを持つバンキング型トロイの木馬IcedIDを落とすことで知られています。
- Qakbot は通常、ルアーメールを使用したフィッシング手法で配信されます。ルアーには通常、ISO ファイルを含むパスワードで保護された ZIP ファイルを含む悪意のある Web ページにリダイレクトする LNK ハイパーリンクが含まれています。LNKファイルはJavaScriptファイルを実行し、そのJavaScriptファイルが.DAT拡張子を持つQakbotの悪意のあるDLLを実行します。Qakbotの興味深い特徴は、伝播手段として既存の電子メールスレッドを使用することです。受信者に「返信」する機能により、意図した被害者に、既存の電子メールスレッド内のリンクや添付ファイルが信頼できる送信元から送信されていると信じさせることができます。Qakbotは多くのランサムウェアグループに頻繁に使用されており、今期は2022年に米国を拠点とする企業を相次いで標的としたContiのリブランドの可能性があるBlack Bastaに関連していた。
- GuLoaderは、リモートロケーションから実行可能ファイルをダウンロードして実装し、RedLineや Raccoonなどの情報窃取ツールをダウンロードして実行するために頻繁に使用されます。GuLoaderは一般的に、Google Cloud™やOneDrive®などのクラウドベースのサービスを悪用してペイロードをホストしますが、Telegramボットを使用していることも検出されています。
ランサムウェア
インフォステア
パンデミック後のリモートワークやハイブリッドワークの台頭により、社内ネットワークへの外部アクセスの必要性がより広まった。攻撃者は、以前はサイバー詐欺によく使用されていたインフォステーラーを使用して企業の認証情報を盗み出し、ブラックマーケットで販売することで、リモートアクセスの権限増加を即座に利用しました。これらの盗まれた認証情報は、しばしば初期アクセス・ブローカー(IAB)やランサムウェア・オペレーションの関連会社によって使用され、元の組織のネットワークを侵害し、ランサムウェアを展開します。
この報告期間中に目撃されたインフォシールは以下の通り:
- Redline 、最も活発かつ広範囲に見られた情報窃取者でした。Redlineは、ブラウザ、暗号ウォレット、FTP、仮想プライベートネットワーク(VPN)ソフトウェアなど、多数のターゲットから認証情報を盗むことができます。
- Raccoonは、マルウェア・アズ・ア・サービス(MaaS)として機能し、意欲的なサイバー犯罪者は、月額わずか100ドルでその強力な機能を利用することができる。Raccoonは、Redlineほど広範囲に展開されてはいないものの、依然として強力な脅威であると考えられています。BlackBerry 、RaccoonがRedlineの初期感染によってドロップされたケースさえ検出されています。Raccoonは、暗号ウォレット、ブラウザ拡張機能、Discord、Telegramから認証情報を盗んだり、スクリーンショットを撮ったり、追加のペイロードを起動するローダーとして動作したりします。
2022年9月、脅威者はUberiの侵害を試みた。この攻撃は、Lapsus$グループの関連会社によるものだと公表されています。Uberのインシデントでは、同社が攻撃をシャットダウンするために迅速に行動したため、ランサムウェアは展開されませんでした。
ファイル・インフェクター
リモート・アクセス・トロイの木馬
リモート・アクセス・トロイの木馬(RAT)は、キー入力を記録したり、ユーザーのウェブカメラにアクセスしたり、ブラウザの認証情報を盗んだり、攻撃者にリモート・シェルのコマンドライン・プログラムを提供したりして、感染したデバイス上だけでなく、ネットワーク内の他のコンピュータ上でもシェル・コマンドを実行することができます。この報告期間中に観測された RAT には、以下のものが含まれます:
- njRATは2015年に登場し、現在も使用されている最も人気のあるRATの1つです。njRATのビルダーは広く利用可能であるため、脅威行為者はどのような攻撃モデルにも容易に適応させることができます。これは中東の脅威行為者によって一般的に使用されており、当社独自の遠隔測定によって、ヨルダンでホストされているコマンド&コントロールサーバー(C2)を持つnjRATのインスタンスが特定されました。
- 2018年に登場したFlawedAmmyyは、有効なリモートアクセスツールAmmyy Adminの流出したソースコードに基づいており、Microsoft Windowsマシンのリモートコントロールと診断を処理するために、企業と消費者の両方で使用されています。FlawedAmmyyは主にサイバー犯罪グループTA505(Cl0pランサムウェアを通じてランサムウェア操作を行うことで知られる)に起因するものですが、複数のサイバー犯罪脅威アクターによって一般的に使用されています。
macOS/OSX
アドウェア/スパイウェア
ブラウザ・ハイジャッカー
プロキシマルウェアとエージェント
プロキシマルウェアはトロイの木馬の一種で、感染したシステムをプロキシサーバーに変え、攻撃者があなたの代わりにアクションを実行できるようにします。プロキシエージェントは、感染したマシン上でローカルコマンドを実行するなど、RATのような機能も追加するプロキシマルウェアです。プロキシマルウェアは通常、他のマルウェアよりもサポートする機能が少ない傾向にあり、必要なライブラリが少ないため、より広範囲の被害者をターゲットにすることができます。Proxitのようなプロキシ・ライブラリをサポートするGoLangプログラミング言語は、初心者のサイバー犯罪者にとって開発が容易であるため、このクラスのマルウェアに多用されています。
BlackBerry は、悪意のあるスパム(malspam)のような日和見的な攻撃のために、複数のプラットフォームに対するより広範なクロスプラットフォーム攻撃の一環として、macOSシステムをターゲットとするGoLangの使用が増加していることに気づきました。複数のプラットフォーム上で効果的に動作させるために、これらの攻撃はすべてのプラットフォームに存在する単純な関数に依存しています。観測されたプロキシマルウェアのサンプルのほとんどは、複数のプラットフォームで利用可能なブラウザを攻撃するプロキシエージェントです。
リナックス
ボットとボットネット
ボットとは、人間の介入なしにコマンドを実行する自律的なプログラムのことで、ボットネットとは、単一の脅威行為者によって制御されるボットのグループのことです。ボットネットは通常、設定ミスやパッチ未適用の脆弱性を利用して形成され、被害者のコンピュータをボットネットに追加する悪意のあるコードのインストールを可能にする。2016年に大規模な分散型サービス拒否(DDoS)攻撃を行った、今となっては有名なMiraiボットネットワークが出現して以来、より多くのLinuxボットネットが出現している。
ShellBotのような著名なインターネット・リレー・チャット(IRC)ボットネットは、設定ミスやデフォルトの認証情報ivを経由してシステムに侵入するブルートフォース戦術を駆使し、2022年末時点でもまだ残っています。さらに、Sysrvボットネットは、CVE-2022-22947viによるリモートコード実行(RCE)の欠陥viを悪用してシステムを侵害し、ボットネットを大規模に拡大しています。
マルウェアとツール
BlackBerry この報告期間中に、他のマルウェアや悪意のあるツーリングが観測され、確認された。SSHツール(リモート・アクセスを可能にするセキュア・シェル・プロトコルに基づく)は、認証情報を総当りしたり、増殖の機会を求めてネットワークをスキャンしたりするために、悪意のあるコードと同時に使用されることがよくあります。90日間の報告期間中、Faster than Lite(FTL)ツールの使用が増加しました。このツールは、脅威グループOutLawviiによって悪用されることが多く、ShellBotとバンドルされていることが指摘されています。
私たちの遠隔測定により、GoLangベースのSSHブルートフォースツールSpiritを展開する同様のキャンペーンが明らかになりました。Spiritは通常、PwnrigやTsunami IRCボットとともに投下され、ハッキング・グループ8220 Gangの犯行である可能性が高い。
例えば、Kinsing トロイの木馬は、Linux プラットフォーム上で RCE を行うために JavaLog4jパッケージの脆弱性viii CVE-2021-44228ixを悪用し、最近では Oracle WebLogic Server の脆弱性x CVE-2020-14882xi を悪用しています。このトロイの木馬は、デバイスのセキュリティとクラウド・サービス・エージェントを無効化し、被害者システム上のライバルのマルウェアや暗号通貨マイナー(クリプト・マイナー)を消滅させてから、自身のクリプト・マイナーを展開しようとします。
暗号マイナーと暗号ジャッキング
クリプトジャッキングとは、脅威者が悪意のある暗号マイニング・ソフトウェアを被害者のデバイスにインストールし、ユーザーの同意なしに暗号通貨コインをマイニングする、広く蔓延しているスキームである。暗号マイナーは、過去10年間、サイバー脅威の状況において根強い疫病神でした。暗号マイナーは、主要なコンピューティング・システムすべてに影響を及ぼし、発見されるまでに長期間を要することもある。
報告期間中に暗号通貨全般の価値が下落したとはいえ、暗号マイ ナーを大規模に導入することで、脅威行為者は目に見える金銭的利益を得ることができます。全体として、市場の変化にもかかわらず、これらのLinuxベースの脅威行為者の多くにとって、暗号は依然として王様です。
今四半期は、Linuxデバイスを標的とした脅威のうち、暗号マイナーが大きな割合を占めた。暗号マイニング行為は、より多くのリソースを必要とするため、よりコストがかかるようになっています。その結果、攻撃者は複数の被害者の環境を侵害し、マイナーを導入して必要なコンピューティングリソースを不正に流用するようになっています。先に紹介したShellBotとSysrvボットは、いずれもシステムに侵入して暗号マイナーを展開し、システムリソースを乗っ取ります。
通常、クリプトマイナーは、ドロップされたペイロードを通じて、あるいはCVE-2022-26134xii (Atlassian Confluence)やCVE-2019-2725xiii (WebLogic)などの脆弱性を悪用して、被害者の環境に侵入する。暗号マイナーは、cronジョブ(将来の特定の時刻に繰り返し実行されるルーチンタスクをスケジュールする)などの標準的なバックグラウンドリソースに紛れ込み、できるだけ長い間検出されないようにしようとします。
この四半期には、MoneroやWebchainなど一部の暗号通貨でネットワークのセキュリティ確保やトランザクションの検証に使用されるマイニングアルゴリズムであるCryptoNightに関連する検出結果も明らかになっており、これにはWebchainマイナーや複数のXMRigベースのマイナーの使用が急増したことも含まれています。XMRigは、BitcoinやMoneroを含む暗号通貨のマイニングに一般的に使用されているオープンソースのユーティリティで、今日、脅威行為者によって最も悪用されているコインマイナーの1つです。
モバイル機器
アンドロイド
2022年には、世界のモバイル機器の約71%がAndroid™オペレーティングシステムを使用している。報告期間中の脅威は以下の通り:
- Lotoorは、善意と悪意の両方の目的のために使用することができるツールです。Androidの所有者は、Lotoorを使用してデバイスのroot化や追加機能のロックを解除することができますが、このツールは、Googleの組み込みセキュリティ機能をバイパスし、永続的なマルウェアを埋め込むために使用することもできます。
- AdvLibraryはデバイスに感染し、迷惑広告を表示したり、有料広告の発信トラフィックを生成することで、インターネットトラフィックを収益化します。被害者は通常、直接的な金銭的損失を被ることはありませんが、データトラフィックの増加に伴う追加費用が発生する可能性があります。サイバー犯罪者は、広告のクリックや悪意のある広告サイトへのトラフィックを通じて、AdvLibrary による収入を得ます。
iOS
iOS®は一般的に、他のOSよりも安全なモバイルOSであると考えられています。iOSのゼロデイ攻撃は高価であり、無秩序な攻撃で使用されることはほとんどありませんが、iOSは「脱獄」またはiPhone®デバイスのロックを解除する悪用と無縁ではありません。一部の所有者は、不要なデフォルトのアプリケーションを削除するなどの目的で意図的にiPhoneを脱獄していますが、脱獄した携帯電話は攻撃に対して脆弱です。
多くのレベルの脅威行為者は、被害者のデバイスにインプラントを展開するためにiPhoneのジェイルブレイクに依存しています。例えば、VortexはiOSユーザーをターゲットにした潜在的に悪意のあるマルウェアファミリーである。Android向けのLotoorと同様に、VortexはiPhoneを脱獄することができるrooterであり、サイバー犯罪者はマルウェアをインストールするためにiPhoneを脱獄することができます。この手口は、ゼロデイ脅威を仕掛ける技術的能力を持たない中堅レベルの脅威行為者の間で最も一般的です。この四半期に、BlackBerry 、iOSデバイスの脱獄を目的としたVortexの少なくとも2つの異なるバージョンを確認しました。
業界特有の攻撃
自動車
100年以上の歴史を持つ自動車産業は、大きな技術革新の真っただ中にある。画期的な技術の進歩により、新しいタイプの自動車、システム、サービスの開発が可能となっている。このデジタル・トランスフォーメーションは、多くのメリットをもたらす一方で、サイバーセキュリティに関する新たな課題ももたらしている。
自動車がより接続され、自律的に動くようになるにつれ、サイバー脅威や脅威要因に対してより脆弱になる可能性がある。さらに、自動車を製造する複雑化した製造システムもサイバー攻撃のリスクにさらされている。
過去数年間、自動車業界は大規模な脅威の影響を比較的受けなかった。しかし、自動車メーカーだけでなく、自動車業界全体を標的とする悪意あるエンティティが、業務の妨害、機密データの窃取、サプライチェーンの侵害を試みるようになっています。2022年には、自動車業界を標的とする悪意ある事業者の数と、それらが引き起こす混乱が増加していることが確認された。
こうした脅威から身を守るために、自動車業界の企業は、よりコネクテッドな自動車の未来に内在する潜在的なリスクを認識し、自動車とドライバーを守るための強力なサイバーセキュリティ対策を実施しなければならない。
最近の脅威の傾向
自動車産業はそのグローバルな規模ゆえに、監視・保護すべきエンドポイントの数は膨大である。その中には、原材料を調達する企業から自動車ディーラーや自動車所有者に至るまで、バリューチェーンのあらゆる組織が含まれる。この複雑なサプライチェーンの膨大なデジタル攻撃対象領域は、この重要なグローバル・ビジネスの運営を維持するために保護されなければならない。
2022年9月1日から11月30日にかけての攻撃は、高度なスピアフィッシングから一般的なマルスパムまで様々であり、自動車業界が常に高度なサイバー敵対者と初心者の両方から攻撃を受けていることを示している。
ダウンローダー
マルウェア・ダウンローダは、ほとんどすべてのタイプのサイバー攻撃で蔓延しており、その外観、ファイル・タイプ、システムに侵入するために使用するテクニックの相対的な洗練度はさまざまです。欺瞞的な脅威行為者は、サイバー攻撃の最初の部分として、何も知らない被害者にダウンローダーをインストールするように仕向けます。コードが実行されると、ダウンローダーはさらに悪意のあるコードとペイロードをインストールし、より広範囲に及ぶサイバー攻撃を実行します。
GuLoaderは、この報告期間中に自動車業界を標的としたダウンローダーの代表例である。このマルウェアは2019年に初めて確認され、現在も進化を続けています。GuLoaderは、他のコモディティマルウェアをダウンロードする前に、正規のデジタル文書や実行ファイルを装うことがよくあります。
インフォステア
自動車業界は、貴重でしばしば独自のデータを保有しているため、サイバー窃盗の格好の標的となっている。このデータは、しばしば自動車そのものよりも価値のある商品です。
マルウェアのインフォステーラーは、被害者のシステムからデータを探し出し、不正に流出させる悪意のあるコードの一種です。インフォステーラーは、RemcosのようなRATと組み合わせて、被害者システムへの悪意のあるアクセスや制御を得るために、他の脅威行為者にサービスとして販売されることが多いコモディティマルウェアとして使用されることがあります。
ランサムウェア
ランサムウェアはすべてのセキュリティチームの悪夢であり、脅威行為者は業界のサプライチェーンを標的とするランサムウェアが壊滅的な被害をもたらすことを知っています。自動車業界では、サプライチェーンのどの段階でもランサムウェア攻撃を受けると、生産や流通が停止し、業界のエコシステム全体で収益や評判が失われる可能性がある。
BlackCatランサムウェアは、2022年を通して、より悪名高いランサムウェア攻撃のいくつかで観測された。中小企業を食い物にすることが多いこの特定のRaaSを使用するサイバー犯罪グループは、主に金銭的な動機があり、主に製造業を標的にしているようです。BlackCatランサムウェアは、環境に侵入し、貴重なデータを流出させ、接続されたシステムを暗号化します。
ALPVH(BlackCatランサムウェアの背後にいる脅威グループ)は、しばしば二重の恐喝策略を用い、侵害された被害者のデータをリークサイト(盗まれた個人情報や潜在的な機密文書をホストするウェブサイト)を通じて公表する。彼らの目的は、標的となった組織に身代金の支払いを迫ることであり、より貴重なデータが公開されたり、競合他社に売却されたりするのではないかという不安につけ込むことであるxvi。
兼用ツール
デュアルユースアプリケーションとは、一般的に、脅威行為者が悪用や濫用する可能性のある特徴や機能を提供する 合法的なツールやソフトウェアのことです。Living off the Land」(LotL)という用語は、セキュリティシステムを迂回し、検知を回避するために、正規のツール を悪用する脅威行為者の行動を表しています。
脅威者は、環境内で増殖したり、貴重なデータを流出させたり、あるいはマルウェアを「許可された」ツールとして展開したりするために、悪意のあるコードではなく、デュアルユースツールに依存することが増えています。システム管理者は、有効なユースケースやビジネス上の正当性がないデュアルユースツールをすべて削除すべきである。
自動車業界を取り巻く脅威
最近の自動車には「スマート」かつインターネットに接続された機能が普及しており、ソフトウェア更新によって新機能を受信・管理するソフトウェア定義型自動車(SDV)が登場しているため、脅威行為者にとって自動車はますます魅力的な攻撃対象になっている。実際、2023年までに7億7,500万台ものコネクテッド・カーが道路を走るようになると推定されているxvii。敵対者は、生産、製造、出荷、販売において、いかなる種類の混乱も許されないことを知っているため、サイバー攻撃を試みる数は増加すると思われる。
ここ数年、自動車に対するさまざまな種類の直接攻撃が発生しているが、キーレス・エントリー対応車は特に脆弱であることが示されている。実際、英国を拠点とする保険会社LV= General Insuranceのデータによると、自動車盗難の48%がキーレス技術を搭載した車両であったxviii。ユーロポールは2022年10月、キーレス・エントリーおよびキーレス・スタート車両を標的とし、物理的なキー・フォブがない車両を盗むために不正なソフトウェアを使用していた欧州の自動車盗難組織を解体したと発表したxix(悪用が報告され、パッチが適用された後に公表された)。
全体として、自動車業界は過去5年間、データ漏洩、ランサムウェア、高度持続的脅威(APT)グループによる攻撃など、ほぼ継続的にサイバー攻撃を受けてきた。脅威の数は2022年に急増し、新車に組み込み技術が普及しているため、今後も続く可能性が高い。例えば、2017年には、ある自動車メーカーがWannaCryランサムウェアの被害に遭いxxx、短期間の生産停止を余儀なくされた。2019年には、APT32(OceanLotusとしても知られる)というグループが出現しxxi、ベトナムの自動車部門に支援を提供しているとの情報もあるxxii。同グループは他の自動車メーカーのネットワークも標的にし、侵害したxxiii。2020年から2022年にかけて、攻撃(主にランサムウェア)の件数は増加した。2022年には、欧州最大級の自動車ディーラーxxiv、オランダの専門自動車メーカーxxv、米国のタイヤメーカーxxviがランサムウェアによる攻撃を受けた。
下図は、2022年に自動車業界で報告された大規模な攻撃の一例を時系列で示したものである。
サプライチェーン攻撃
パンデミックもロシアのウクライナ侵攻も、サプライチェーンが脆弱であることを明らかにした。自動車産業は、他の産業が直面する遅延、欠品、混乱と無縁ではない。
業界の複雑性を考慮すると、多くの企業はベンダー、部品、製造業者の膨大なエコシステムを維持するために、ジャスト・イン・タイム(JIT)サプライチェーン戦略に依存している。JIT戦略の特徴は、必要になるまで製品を製造しないことである。その結果、必要な部品や材料がすぐに入手できない場合、製造が遅れたり、停止したりする可能性がある。その結果、サプライチェーン内でサイバー攻撃を受けると、自動車の生産が事実上停止する可能性がある。
悪意のある敵対者は、侵入に対して厳重に防御されている自動車メーカーを直接標的にする代わりに、その様々なベンダー、特にサイバーセキュリティが脆弱なベンダーを攻撃する可能性がある。例えば、2022年3月、プラスチックや電子部品サプライヤーのファイルシステムが侵害され、日本の自動車会社で推定1万3000台の生産遅れが発生した。オートモーティブ・ニュース・ヨーロッパが引用した広報担当者によると、この自動車会社のサプライ・チェーンには、4つの階層にわたって60,000社の企業が含まれているxxvii。この規模のサプライチェーンのどこかでサイバー攻撃が発生すれば、他の企業が必要な部品や材料を受け取る能力に影響を与える可能性がある。
将来のトレンド
ヘルスケア
医療業界は、脅威者が医療機関の機密性の高いデータや貴重な情報を狙っているため、ますます多くのサイバー脅威に直面しています。これは医療提供者にとって重大な問題であり、サイバー攻撃が成功すれば、患者の機密データの紛失や公開、金銭的損失、さらには患者への直接的な身体的被害など、深刻な結果をもたらす可能性があるからです。医療は、耐用年数の長い医療技術が広く使用されていること、医療システムが複雑で相互接続されていることが多いこと、日常的に収集・保存されるデータが膨大な量の機密データであることなど、さまざまな要因が重なり、こうした脅威に対して特に脆弱です。医療従事者は、現在のサイバー脅威の危険性を理解し、潜在的な被害から自分自身と患者を積極的に守ることが不可欠です。
全体として、ランサムウェアは依然として医療業界にとって最大の脅威であり、ランサムウェアに依存する脅威グループは、10月にコモンスピリット・ヘルスに対するランサムウェア攻撃で60万人以上の患者のデータが漏洩したことからもわかるように、依然として非常に積極的に医療業界を狙っているxxix。過去には、Mazeのような一部のRaaSグループは病院を攻撃しないと表明していたが、そのような約束は保証できない。複数のRaaSグループが多様化し、アフィリエイト・モデルも普及しているため、攻撃を実行したグループがマルウェアを開発したグループと同じとは限らない。
当社の遠隔測定によると、Cylance Endpoint Security ソリューションは、この報告期間中に医療業界を標的とする 7,748 個のユニークなマルウェア・サンプルを阻止し、1 日あたり平均 80 個以上のユニークなマルウェア・サンプルを阻止しました。最も人気の高いトロイの木馬はQakbotで、少なくとも2012年以降サイバー犯罪者によって使用されており、医療業界に高いリスクをもたらしています。2022年、Qakbotは主にBlack Bastaランサムウェアを展開するアフィリエイトによって使用されていました。Emotetは、最近4ヶ月間のシャットダウン後、多くのキャンペーンを実施しておらず、TrickBotは、Bumblebeeマルウェアの改良により集中しているようであるため、Qakbotは、RaaSアフィリエイトやIABにとって、医療ネットワークへのアクセスを容易にする最もアクティブなトロイの木馬であり続けていると考えられます。
Meterpreter(攻撃者に対話型シェルを提供するMetasploitペイロード)とBloodHoundもこの時間帯にアクティブでした。私たちは、Meterpreterを使用する攻撃と同時に、攻撃が行われた後にネットワーク内部で横方向に移動するために一般的に使用されるBloodHoundのコレクターであるSharpHoundの実行を検出しました。Cybersecurity and Infrastructure Security Agency (CISA)は、ネットワーク管理者やシステム管理者自身が意図的にBloodHoundを実行し、自分の環境xxx上で可能性のある攻撃経路を把握することを推奨しています。
また、TinyNukeがNetwire RATをドロップすることも確認された。元々はZeuSと同様の機能を持つバンキング型トロイの木馬でしたが、TinyNukeはVNCサーバ・デバイス・コントローラとリバースSOCKS機能を含む、完全な機能を備えたトロイの木馬です。TinyNuke はまた、KimsukyGroupxxxiによって使用されており、朝鮮民主主義人民共和国(DPRK)のものとされています。この攻撃を調べていたところ、TinyNukeがNetwire RATをダウンロードして実行し、RATがよく使用するDuckDNSでホストされているドメインに接続していることがわかりました。
BlackBerry このRATは、Mustang Pandaを含む複数の国家的脅威アクターによって一般的に使用されており(詳細は公開レポートで)、サイバー犯罪者と国家的脅威アクターの両方が医療業界への攻撃に関心を持っていることを示しています。また、RedlineやRaccoonのような情報窃取者が特にヘルスケアを標的としていることは確認されていませんが、サイバー犯罪者が情報窃取者を配置するために一般的に使用するダウンローダーであるGuLoaderのインスタンスに遭遇しました。
金融業界
金融業界は歴史的に、金融制裁の影響を受ける地域に居住するサイバー犯罪者や国家的脅威行為者に狙われてきました。この90日間の報告期間中、Cylance Endpoint Security ソリューションは、金融業界のターゲットに対して起動された9,721のユニークなマルウェアサンプルを阻止し、1日平均約108のユニークな悪意のあるサンプルが確認されました。
国家行為者を含むさまざまな脅威行為者は、Cobalt Strikeなどの商用侵入テスト(ペンテスト)ツールに依存し、サイバー犯罪者と合法的なテスト活動の帰属ラインを曖昧にしています。この混乱は、サイバー犯罪者がアクセス権を獲得した後、ネットワーク内で活動する時間を増やすことになる。2022年には、Cobalt StrikeやペンテストソフトウェアMetasploit、Mimikatz、Brute Ratelを含む市販の敵対者模擬ソフトウェアが金融機関内で使用される事件が複数発生しました。Brute Ratelは敵対的攻撃シミュレーション・ツールであり、攻撃者とセキュリティ専門家は、システムのメモリからパスワードや認証情報などの機密情報を抜き取るためにMimikatzを一般的に使用しています。現時点では、MimikatzとBrute Ratelの存在が、合法的なペンテスト活動の一部であったのか、実際の攻撃であったのかは不明である。
初期アクセスツールは、被害者のネットワークにアクセスし、それを販売することができるため、高い需要があることはよく知られている。Lapsus$グループを含む多くの脅威アクターは、企業へのアクセスを得るために情報窃取ツールを利用しています。(Lapsus$グループは、企業や政府機関に対する数多くのサイバー攻撃で知られる、恐喝に特化した国際的な脅威グループである)。
Cylance エンドポイント・セキュリティ・ソリューションは、暗号マイニングに関連する雑多な攻撃や、Windows の世界と比較して相対的に可視性が低いため魅力的なターゲットである Linux のエコシステムに対する攻撃も阻止している。その一例が、少なくとも 7 年間にわたり世界中の被害者を積極的に標的としてきた Linux トロイの木馬、バックドア Rekoobe であるxxxii。
最も活発な脅威行為者
TA505は、金銭的な動機によるサイバー脅威の世界で大きな影響力を持つ、活発で影響力のあるサイバー犯罪グループである。グループの標的は、世界中の教育、金融、ヘルスケア、ホスピタリティ、小売業などである。
彼らは大量の悪意のある電子メールを送信することで知られており、地下のマルウェア・ネットワークと強いつながりがあることを示している。現在、このグループはLockyランサムウェアを攻撃の主要ツールとして使い続けていますが、他のタイプのマルウェアを実験的に使用することも知られています。
TA505のツールセットには、Cl0pランサムウェア、FlawedAmmyy RAT(正規ツールAmmyy Adminのバージョンの流出したソースコードに基づくもの)、Dridexのようなバンキング型トロイの木馬などが含まれる。
ALPHV
ALPHVは比較的新しく、急速に成長しているサイバー犯罪グループで、革新的な恐喝戦術と型破りな攻撃手法で注目を集めている。比較的歴史が浅いにもかかわらず、このグループはサイバー犯罪界に大きな影響を与えており、今後も進化を続け、その活動を拡大していく可能性が高いxxxiii。
ALPHV は Rust という強力なプログラミング言語を使用していることでよく知られています。このグループは、目的を達成するために複数のLotLバイナリ、スクリプト、ライブラリ(LOLBins)を使用しています。
BlackCat RaaSは、ALPHVのハッキング・キャンペーンの最終段階の一部として、グループが特定のホスト内で横方向の動きを完了し、彼らが求めていたすべての情報を収集した後に展開されます。その後、ALPHVは金銭的な恐喝を開始し、被害者に身代金の支払いを強要するためにDDoS攻撃を実行すると脅迫したことさえある。BlackCatランサムウェアをRaaSとしてリリースしたことで、このハッキング・グループは、データの流出と身代金要求のためのデータ暗号化の両方を行う二重の恐喝攻撃という、急速に拡大するマルウェアのトレンドに加わった。
ALPHVグループは特定のセクターや国をターゲットにしているようには見えません。ALPHVは他の脅威行為者がBlackCatランサムウェアを使用することを許可しているため、このマルウェアの存在は必ずしもALPHVによる直接的な攻撃を示しているわけではない。現在までに、BlackCatランサムウェアは、米国、オーストラリア、日本、イタリア、インドネシア、インド、ドイツを含む国々で、小売、金融、製造、政府、テクノロジー、教育、運輸を攻撃していますxxxiv。
APT32はベトナムを拠点とし、少なくとも2014年以降、悪質なサイバー活動を行っていると考えられている。その標的は、様々な民間企業、外国政府、反体制派やジャーナリストなどの個人であり、特にベトナム、フィリピン、ラオス、カンボジアなどの東南アジア諸国に焦点を当てている。APT32は、被害者のシステムにアクセスするために、戦略的なウェブ侵害などの手口を頻繁に用いています。この洗練されたグループは、防衛組織、ハイテク企業、ヘルスケア、製造業も攻撃しています。
BlackBerry Threat Research and Intelligence チームは、複数の APT32 による侵入を分析しました。このグループは、Ratsnifと名付けられたRATのスイートを使用して、新しいネットワーク攻撃能力を活用しています。また、同グループがステガノグラフィ(秘密ではない通常のファイルやメッセージの中に秘密データを隠す技術)を利用して、PNG画像に悪意のあるペイロードを埋め込んでいることも確認しました。
Dukesとしても知られるAPT29は、資金力があり、高度に組織化されたグループで、少なくとも2008年以降、ロシア政府に代わってサイバースパイ活動を行っている疑いがある。このグループは特に北米と欧州の政府や非政府組織を標的としているが、アジア、アフリカ、中東全域の組織も攻撃を受けている。
グループは、Cobalt Strike、Mimikatz、AdFind(Active Directoryから情報を収集するために使用できる無料のコマンドラインクエリーツール)を頻繁に使用している。同グループはまた、CloudDuke、CozyDuke、FatDukeなどを含む一連のカスタムツールも開発しています。さらにAPT29は、いくつかの製品に影響する脆弱性を悪用して被害者のシステムにアクセスすることが知られています。
Mustang Pandaは中国を拠点とするAPTグループで、サイバースパイ脅威行為者として特定されている。このグループは2017年に初めて検知され、2014年から活動していた可能性があるxxxv。Mustang Pandaは、米国、欧州、モンゴル、ミャンマー、パキスタン、ベトナムを含む世界各国の政府機関、非営利団体、宗教団体、非政府組織(NGO)を含む幅広い組織を標的としてきた。
同グループは、China ChopperとPlugXを頻繁に使用している。PlugXはモジュール式のRATで、コマンド&コントロール(C2)活動にHTTPとDNSの両方を使用するように設定できます。China Chopperは、組織のネットワークへの不正アクセスを可能にするウェブサーバ上でホストされる悪意のあるソフトウェアで、感染したデバイスがリモートのC2サーバと通信する必要はありません。
BlackBerry Threat Research and Intelligenceチームは、Mustang Pandaがロシアとウクライナの戦争に対する世界的な関心を利用して、ヨーロッパとアジア太平洋地域の標的を攻撃する最近の活動も発見している。
TA542
MITREの共通テクニック
| MITREテクニック | テクニックID | 戦術 |
|---|---|---|
|
システム情報の発見
|
T1082
|
ディスカバリー
|
|
プロセス・インジェクション
|
T1055
|
防御回避
|
|
仮想化/サンドボックス回避
|
T1497
|
防御回避
|
|
リモート・システム・ディスカバリー
|
T1018
|
ディスカバリー
|
|
マスカレード
|
T1036
|
防御回避
|
|
アプリケーション層プロトコル
|
T1071
|
コマンド&コントロール
|
|
ソフトウェア梱包
|
T1027.002
|
防御回避
|
|
セキュリティ・ソフトウェアの発見
|
T1518.001
|
ディスカバリー
|
|
プロセス・ディスカバリー
|
T1057
|
ディスカバリー
|
|
ツールの無効化または変更
|
T1562.001
|
防御回避
|
|
アプリケーション・ウィンドウの発見
|
T1010
|
ディスカバリー
|
|
Windows管理インストルメンテーション
|
T1047
|
実行
|
|
クエリ・レジストリ
|
T1012
|
ディスカバリー
|
|
難読化されたファイルまたは情報
|
T1027
|
防御回避
|
|
レジストリの変更
|
T1112
|
防御回避
|
|
ファイルとディレクトリの検出
|
T1083
|
ディスカバリー
|
|
暗号化チャンネル
|
T1573
|
コマンド&コントロール
|
|
コマンドとスクリプトのインタープリター
|
T1059
|
実行
|
|
ルンドル32
|
T1218.011
|
防御回避
|
|
Regsvr32
|
T1218.010
|
防御回避
|
| テクニックID | |
|---|---|
| システム情報の発見 |
T1082
|
| プロセス・インジェクション |
T1055
|
| 仮想化/サンドボックス回避 |
T1497
|
| リモート・システム・ディスカバリー |
T1018
|
| マスカレード |
T1036
|
| アプリケーション層プロトコル |
T1071
|
| ソフトウェア梱包 |
T1027.002
|
| セキュリティ・ソフトウェアの発見 |
T1518.001
|
| プロセス・ディスカバリー |
T1057
|
| ツールの無効化または変更 |
T1562.001
|
| アプリケーション・ウィンドウの発見 |
T1010
|
| Windows管理インストルメンテーション |
T1047
|
| クエリ・レジストリ |
T1012
|
| 難読化されたファイルまたは情報 |
T1027
|
| レジストリの変更 |
T1112
|
| ファイルとディレクトリの検出 |
T1083
|
| 暗号化チャンネル |
T1573
|
| コマンドとスクリプトのインタープリター |
T1059
|
| ルンドル32 |
T1218.011
|
| Regsvr32 |
T1218.010
|
| 戦術 | |
|---|---|
| システム情報の発見 |
ディスカバリー
|
| プロセス・インジェクション |
防御回避
|
| 仮想化/サンドボックス回避 |
防御回避
|
| リモート・システム・ディスカバリー |
ディスカバリー
|
| マスカレード |
防御回避
|
| アプリケーション層プロトコル |
コマンド&コントロール
|
| ソフトウェア梱包 |
防御回避
|
| セキュリティ・ソフトウェアの発見 |
ディスカバリー
|
| プロセス・ディスカバリー |
ディスカバリー
|
| ツールの無効化または変更 |
防御回避
|
| アプリケーション・ウィンドウの発見 |
ディスカバリー
|
| Windows管理インストルメンテーション |
実行
|
| クエリ・レジストリ |
ディスカバリー
|
| 難読化されたファイルまたは情報 |
防御回避
|
| レジストリの変更 |
防御回避
|
| ファイルとディレクトリの検出 |
ディスカバリー
|
| 暗号化チャンネル |
コマンド&コントロール
|
| コマンドとスクリプトのインタープリター |
実行
|
| ルンドル32 |
防御回避
|
| Regsvr32 |
防御回避
|
一般的なテクニックの行動例
| テクニック | 行動 |
|---|---|
|
システム情報ディスカバリー - T1082
|
> wmic csproduct get UUID
> query user > tasklist | findstr "dll" > systeminfo >> output > date /t |
|
プロセス・インジェクション - T1055
|
> dllhost.exe
> rundll32.exe > explorer.exe > MSBuild.exe |
|
仮想化/サンドボックス回避 - T1497
|
> timeout 5000
> Start-Sleep -s 100 > VMWareとVirtualBoxのレジストリをチェックする。 |
|
リモート・システム・ディスカバリー - T1018
|
> net group /domain admins
> nltest /domain_trusts /alltrusts > net view /all |
|
マスカレード - T1036
|
> マルウェアのファイル名を正規のファイル名に変更する
> バイナリの拡張子を.jpgにする > win32timesなどの正規の名前のスケジュールタスクを使用する |
| 行動 | |
|---|---|
| システム情報ディスカバリー - T1082 |
> wmic csproduct get UUID
> query user > tasklist | findstr "dll" > systeminfo >> output > date /t |
| プロセス・インジェクション - T1055 |
> dllhost.exe
> rundll32.exe > explorer.exe > MSBuild.exe |
| 仮想化/サンドボックス回避 - T1497 |
> timeout 5000
> Start-Sleep -s 100 > VMWareとVirtualBoxのレジストリをチェックする。 |
| リモート・システム・ディスカバリー - T1018 |
> net group /domain admins
> nltest /domain_trusts /alltrusts > net view /all |
| マスカレード - T1036 |
> マルウェアのファイル名を正規のファイル名に変更する
> バイナリの拡張子を.jpgにする > win32timesなどの正規の名前のスケジュールタスクを使用する |
MITRE D3FEND 対策
一般的な対抗策を理解することは、組織が防御戦略を改善し、適切な可視化および/または検知技術が導入されているかどうかを判断するのに役立つ。対策は、OS イベント(システムで発生するプロセスイベントなど)またはファイルイベント(ファイルの作成、変更、削除など)に基づいて行うことができる。
攻撃手法と関連する対策の完全なリストは、私たちのGitHubリポジトリにあります。私たちは、あなたが完全に実装でき、あなたの組織のニーズに最適な対策だけを選択することをお勧めします。
最も効果的な攻撃
2022年9月1日から11月30日の間、BlackBerry Threat Research and Intelligenceチームは、世界中のサイバー脅威の状況に関する最新情報を追跡、発見、調査、発表した。世界経済はCOVID-19パンデミックの余波から回復途上にあり、現在の東欧の地政学的な出来事や東西関係は不透明な状況が続いています。これらの要因は、政治的な動機と金銭的な搾取の両方を試みる脅威行為者にとって肥沃な土壌を作り出すことに集約される。
今四半期は、国家に関連するAPTグループ、金銭的な動機に基づくランサムウェアのギャング、その他あらゆる規模、能力、動機の脅威アクターが複数のキャンペーンを実施しました。以下は、世界各地で発生した最も重大な攻撃の一部と、当四半期中に当社が発見した最も重要な攻撃の一部です。
DJVU:奇妙に見慣れたランサムウェア
DJVU ランサムウェアは合法的なサービスやアプリケーションを装い、良性に見えるようにおとりファイルをバンドルすることがよくあります。悪名高いSTOPランサムウェアの進化版であるDJVUは、2018年に誕生して以来、多くの変遷を経てきました。このランサムウェアは暗号化ルーチンに暗号ストリーム暗号Salsa20を使用しています。実際のシステム上で実行されていることを確認するために、多数のアンチ解析とアンチサンドボックス・チェックを実行した後、このマルウェアは複数のファイルタイプを暗号化してから、被害者がファイルを回復するための指示が書かれたランサムノートを生成します。この脅威は最近、脅威行為者がランサムウェアに暗号化前のダウンローダー機能を追加したことで、さらに被害が拡大しました。
今四半期、DJVUは、Arkeiの亜種であるVidar StealerおよびRedline Stealerの背後にいる脅威グループとの明らかな協力の下、情報窃取マルウェアをダウンロードし、展開し、脅威行為者が被害者の犠牲の上に利益を得るための新たな経路を作りました。
ムスタング・パンダが合法アプリを悪用してミャンマーの被害者を狙う
10月上旬、我々は数ヶ月に及ぶMustang Panda APTグループの追跡結果を発表した。Bronze President、Red Delta、Honeymyteとしても知られるこのグループは、公に中国に起因するとされています。
調査の結果、ミャンマーを標的にしたキャンペーンが発覚しました。このキャンペーンは、ミャンマーの人気報道機関になりすまし、政府のVPNポータルを含む複数のエンティティを標的としていました。このキャンペーンにおける感染経路は、悪意のある添付ファイルを使用したフィッシング詐欺で、ユーザーを騙して実行させることで、攻撃者がシステムの足がかりを得るというものでした。
この実行チェーンには、DLLの検索順序ハイジャックの影響を受けやすい正規のユーティリティに加え、悪意のあるDLLローダーや暗号化されたDATペイロードなど、複数のコンポーネントが含まれていました。悪意のあるDLLローダーがサイドロードされた後、PlugXペイロードがメモリにロードされます。感染ベクター、実行チェーン、PlugXの使用、そして全体的なTTPは、Mustang Pandaの試行錯誤を重ねたキャンペーン手法に準拠しています。
BianLian ランサムウェア、瞬く間にファイルを暗号化
BianLianは、Goプログラミング言語(GoLang)で記述された、極めて即効性の高いランサムウェアです。このホワイトペーパーでは、GoLang のようなあまり一般的に使用されていない言語の悪意のある使用が現在増加していることを予測しています。脅威当事者は、これらの言語がマルウェア、特に特注のランサムウェアを作成する可能性があることを認識しています。GoLangは特に強力な並行処理をサポートしており、複数の悪意のある関数を同時に独立して実行することで、攻撃を高速化することができます。
BianLianは比較的新しい脅威で、幅広い業界を標的にしている。このマルウェアの背後にいるグループは、純粋に金銭的な動機に基づくものと見られ、BianLianに関連する攻撃は2022年末まで続いていた。このグループは、アクセスしたシステムやネットワークを徹底的に悪用するようです。彼らの典型的な展開方法は、手動でシステムに侵入して最初のアクセスを獲得し、その後、LOLBinsを悪用してネットワークとシステムを探索するというものです。これらの情報を収集した後、金銭的利益を得るためにランサムウェアを展開する。
人気アプリになりすました無許可のロムコム・スレットアクターがウクライナ軍を襲う
10月、BlackBerry は、ウクライナの軍事機関を標的にした、これまで知られていなかったRomCom RATを発見しました。同じ脅威アクターは、人気の高いAdvanced IP Scannerソフトウェアのスプーフィングバージョンを展開する前に、PDF Filler(もう1つの人気の高いアプリケーション)に取り組みを切り替えたことが知られており、これらのエクスプロイトを自ら開発した可能性があります。
RomCom RAT は、感染したデバイスを悪意を持ってコントロールしようとします。私たちが観測した最初の感染経路は、Наказ_309.pdf(英語ではOrder_309.pdf)と呼ばれる偽のウクライナ語文書へのリンクが埋め込まれた電子メールであり、次の段階のダウンローダーをドロップするものでした。
この報告期間中、この脅威者は世界中の被害者を標的とした新たな手法を積極的に開発していることが確認された。
ロムコムの脅威者が人気ソフトウェア・ブランドを悪用し、ウクライナと英国を標的にする可能性
ウクライナに対する一連の攻撃の後、同じグループが人気のあるソフトウェアブランドを利用した新たな攻撃キャンペーンを開始しました。BlackBerry Threat Research and Intelligence チームは、RomCom RAT に関する以前の調査で特定されたネットワークアーティファクトを分析する中で、このキャンペーンを発見しました。
私たちのリサーチャーは、脅威行為者がキャンペーンにおいてSolarWinds Network Performance Monitor、KeePass Open-Source Password Manager、PDF Reader Proになりすましていることを発見しました。キャンペーンでは、これらの合法的な企業を隠れ蓑として使用し、本物を模倣した偽のウェブサイトを設計して、被害者をRemcos RATマルウェアのダウンロードに誘導していました。RomComは、ウクライナの被害者を標的とした新たなキャンペーンを積極的に展開し続けており、最新の一連の攻撃では世界中の英語圏のターゲットに拡大している可能性があります。
ランサムウェア「ARCrypter」がラテンアメリカから世界へと活動を拡大
BlackBerry 脅威調査チームは2022年を通してARCrypterランサムウェアファミリーを監視していました。8月には、BlackBerry ARCrypterと名付けられた未知の亜種がラテンアメリカの機関を標的としていることが判明しました。INVIMA(コロンビアの国立食品医薬品監視研究所)は10月、報告されたサイバー攻撃により一時的にシャットダウンされたxxxvi。
当社の脅威ハンティングの取り組みを通じて、BlackBerry 、このランサムウェアに関心のある追加のサンプルを特定しました。攻撃の時間枠とINVIMAに言及したランサムノートの内容を考慮すると、ARCrypterランサムウェアがINVIMAサイバー攻撃で使用されたことは確実性が高いと結論づけられました。追加の調査により、追加のマルウェアドロッパーとファイル暗号化ツールという2つのファイルセットが発見されました。
マスタング・パンダがロシアとウクライナの戦争を利用してヨーロッパとアジア太平洋の標的を攻撃する
12月、マスタング・パンダの継続的な監視により、複数の国や大陸の事業体を標的にしたキャンペーンが発覚しました。
このキャンペーンは、現在の地政学的な出来事に関連するテーマのルアー(「ロシアに対する新しいEUアプローチのための政治的ガイダンス.rar」というタイトルのファイルなど)に依存していた。このルアーには、おとり文書と、ルアーのRARファイルと同じ命名規則に従ったLNKファイルが含まれていました。その他のコンポーネントには、DLL検索順序ハイジャックの影響を受けやすい正規のユーティリティ、悪意のあるDLLローダー、およびグループが過去に使用したコンポーネントと同様のDATペイロードが含まれていました。
実行チェーンの目的は、PlugXペイロードをホスト・システムのメモリに送り込み、侵害されたホストに完全なリモート・アクセス機能を提供することです。
このキャンペーンの核となる実行チェーンと TTP は以前にも見られたものですが、今回の攻撃では、EnumThreadWindows の代わりに EnumSystemCodePagesW 関数をシェルコードの実行に使用するなど、実行フローに若干の変更が加えられています。このささやかな変更は、最も効果的な防御を確実にするために、防御意識と対策を調整する必要があった。
このIPアドレスのうち5つは、Mustang PandaグループのC2サーバーであり、同じ攻撃チェーンとTTPに準拠した類似のファイルを、さらに別の場所や被害者に提供していました。
キャンペーンの世界的な範囲は、グループが強力なリソースと能力を持っていることを示している。これが彼らの最後の攻撃になるとは思っていない。
追加攻撃
Emotetは精巧かつ継続的に進化するマルウェア・ファミリーで、2022年11月に再び脚光を浴びた。犯罪組織TA542に帰属し、HeodoまたはGeodoとしても知られるこのマルウェアは、2014年に誕生して以来、多くの変遷を遂げてきましたxxxvii。
電子メールを介して配信されるEmotetの最初の段階は、多くの場合、トロイの木馬化されたMicrosoft®Excel®ドキュメントです。このトロイの木馬は、添付ファイルを開き、ポップアップのセキュリティ警告を無視するよう被害者を説得します。Emotetの標的は多岐にわたり、そのおびき寄せ文書は、複数の言語や地域にまたがるさまざまなトピックを装います。被害者が警告を無視して偽の文書の実行を許可すると、マルウェアの意図したペイロードがダウンロードされようとします。マルウェアがインストールされると、追加のマルウェアのドロップやデプロイを含む幅広い機能を実行することができます。
12月初旬、新たなマルウェア・ワイパー「CryWiper」の詳細が明らかになった。CryWiperがユニークなのは、裁判所や市長の事務所など、ロシアのエンティティをターゲットに特別に設計・配備されている点だxxxviii。
一見したところ、CryWiperは典型的なランサムウェアのように振る舞い、影響を受けたファイルの復元を防ぐためにシステムのシャドウコピーを削除したり、影響を受けたファイルを暗号化して拡張子.CRYを付加したり、ファイルを復元するために身代金を支払う指示を含むREADME.txtランサムノートをドロップしたりする。しかし、CryWiperはランサムウェアではなく、ワイパーである。他のワイパーと同様、CryWiperの目的は、ターゲットシステム上のファイルを破壊して破壊し、たとえ身代金を支払ったとしても、いかなる手段によっても復元できないようにすることである。
CryWiperは、擬似乱数生成器(PRNG)アルゴリズムであるMersenne Vortexを使用することで、このレベルのファイル破壊を実現し、回復の見込みのないファイルの元のコンテンツを上書きして破壊する。
結論と2023年第1四半期の見通し
前四半期(および2022年全般)は、2023年以降も続くと思われるサイバーセキュリティの重要なトレンドを明らかにした。フェイクニュースサイトを通じた誤報や偽情報の配信、ジャーナリストや反体制派の行動や言動の追跡、政府や軍事組織への直接攻撃の試みなど、政治的な動機に基づく脅威の数は増加の一途をたどっています。
その中には、新たに確認されたツールやテクニック、検知を回避するための既存ツールの改良も含まれています。自動車業界、医療業界、金融業界における標的型攻撃の増加は、これらの業界の拡大し脆弱な脅威表面を保護する必要性に厳しい光を投げかけています。
マルウェアやサイバー攻撃から組織を守るには、脅威行為者がどのようにあなたの業界を標的にしているか、彼らが使用するツール、そして彼らの考えられる動機について深い知識が必要です。この詳細な知識は、組織への脅威の影響を軽減することができる、文脈的、予測的、実行可能なサイバー脅威インテリジェンスを提供します。
教訓/収穫
- 金銭的な動機に加え、経済、地政学、社会情勢に基づいて個人や組織の被害者を標的にする脅威行為者が増加している。防御者は、経済的・政治的な発展がサイバーセキュリティに及ぼし得る影響を積極的に考慮する必要があります。
- 脅威行為者は、新しいマルウェアを開発するために、GoLangやRustのような一般的ではない、あるいはエキゾチックなプログラミング言語を使用することが増えています。脅威ハンターは常に警戒を怠らず、斬新なプログラミング言語の使用が攻撃にどのように現れるかを学ぶ必要があります。GoLangはクロスプラットフォームコーディングをサポートしているため、将来的にはLinuxやmacOSに対する攻撃が増える可能性があります。
- 初期アクセスツールへのアクセスが拡大した結果、2022年には大規模なインシデントが発生しました。また、マルウェアを独自に作成する十分な技術的スキルを持たないグループでも、マネージドサービスとしてランサムウェアを利用できるようになりました。その結果、国家レベルの脅威によるランサムウェアの利用が増加しました。
- 2022年、自動車業界はさまざまなサイバー攻撃によって大きな影響を受けた。大規模メーカーや業界のサプライヤーが侵害され、多くの生産ラインが停止した。こうした一連の攻撃は2023年も続くとみられる。
- 正規のアプリケーションを悪用して悪意のあるペイロードを配信するサプライチェーン攻撃は、ネットワークやアプリケーションへのアクセスに継続的な認証と承認を必要とするゼロトラストポリシーを導入することで、軽減、さらには防止することができる。
2023年第1四半期予想
- これまでのところ、ロシアのウクライナ侵攻の主な特徴は、ウクライナの軍事・民間インフラに対するサイバー攻撃である。敵対行為が続けば、このような標的型サイバー攻撃のパターンが繰り返される可能性が高い。
- 病院や医療機関を標的にしたランサムウェア作戦は、特にウクライナを支援したり資金を提供したりしている国々では今後も続くだろう。
- 重要インフラへのサイバー攻撃は今後も続くだろう。AIは攻撃の自動化だけでなく、高度なディープフェイク攻撃の開発にもますます利用されるようになるかもしれない。
- 2022年9月に英国を拠点とするRevolut(人気のフィンテック企業およびアプリ)が攻撃され、5万件以上の顧客記録が漏洩したように、欧州の金融機関への攻撃も続く可能性がある。
- アメリカ大陸では、商用モバイル・スパイウェアによる攻撃が爆発的に増加すると予測しています。ブラジルの脅威行為者は、トロイの木馬によるバンキング攻撃をデスクトップ・システムからモバイル・デバイスへとさらに拡大し、ラテンアメリカの被害者を引き続きターゲットにすると予想されます。実際、2022年12月には、米国のZelleに類似した決済システムであるPIXを含むブラジルのバンキングを特に標的とするマルウェア・ファミリー「BrasDex」xxxixが明らかになりました。
- Linuxシステムに対する攻撃は、特にシステムを仮想化し、ランサムウェアを投下し、標的システムにバックドアをインストールするような攻撃は、レーダーの下を飛び続けるかもしれない。
- 脅威行為者は、弱体化させたり利益を引き出そうとしたりする組織をさらに可視化しようとするため、あらゆる業界でクラウドインフラストラクチャに対する標的型攻撃が増えると予想される。
リソース
妥協の公開指標(IoC)
パブリックルール
MITREの共通テクニック
MITRE D3FEND 対策
©2023BlackBerry Limited.BLACKBERRY, EMBLEM Design およびCYLANCE を含むがこれに限定されない商標は、ライセンスに基づき使用されるBlackBerry Limited、その子会社および/または関連会社の商標または登録商標であり、かかる商標の独占的権利は明示的に留保されています。その他すべての商標は、各所有者の財産です。BlackBerry は、いかなる第三者の製品またはサービスについても責任を負いません。BlackBerry Limitedの書面による明示的な許可なく、本書の一部または全部を修正、複製、送信、コピーすることはできません。
免責事項:本レポートに含まれる情報は、教育目的のみを目的としています。BlackBerry は、本レポートで言及されている第三者の記述や調査の正確性、完全性、信頼性について保証するものではなく、責任を負うものでもありません。本レポートに記載された分析は、当社のリサーチアナリストによる入手可能な情報の現時点での理解を反映したものであり、追加情報が当社 に知らされた場合、変更される可能性があります。読者は、本情報を私生活および職業生活に適用する際には、各自で十分な注意を払う責任があります。BlackBerry は、本レポートに掲載された情報の悪意ある使用や誤用を容認するものではありません。
参考文献
i https://www.uber.com/newsroom/security-update/
iii https://www.developer.com/news/90-of-the-public-cloud-runs-on-linux/
iv https://sysdig.com/blog/malware-analysis-shellbot-sysdig/
v https://threatpost.com/sysrv-k-botnet-targets-windows-linux/179646/
vi https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22947
vii https://yoroi.company/research/outlaw-is-back-a-new-crypto-botnet-targets-european-organizations/
viii https://sandflysecurity.com/blog/log4j-kinsing-linux-malware-in-the-wild/
ix https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-44228
xi https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14882
xii https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26134
xiii https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2725
xiv https://twitter.com/MsftSecIntel/status/1542281836742729733
xvii https://www.juniperresearch.com/press/in-vehicle-commerce-opportunities-exceed-775mn
xviii https://www.lv.com/insurance/press/keyless-technology-drives-rise-in-theft-over-past-four-years
xx https://www.bbc.com/news/uk-england-39906534
xxi https://attack.mitre.org/groups/G0050/
xxii https://resources.infosecinstitute.com/topic/biggest-data-breaches-of-2019-so-far/
xxiii https://www.zdnet.com/article/bmw-and-hyundai-hacked-by-vietnamese-hackers-report-claims/
xxiv https://www.zdnet.com/article/europes-biggest-car-dealer-hit-with-ransomware-attack/
xxv https://www.broshuis.com/news/ransomware-attack
xxvii https://europe.autonews.com/automakers/toyota-suspend-output-japan-after-supplier-hit-cyberattack
xxviii https://www.nhtsa.gov/press-releases/nhtsa-updates-cybersecurity-best-practices-new-vehicles
xxx https://www.cisa.gov/emergency-directive-21-02
xxxi https://asec.ahnlab.com/en/27346/
xxxii https://malpedia.caad.fkie.fraunhofer.de/details/elf.rekoobe
xxxiv https://www.securitymagazine.com/articles/97489-blackcat-alphv-ransomware-breaches-60-organizations
xxxv https://attack.mitre.org/groups/G0129/
xxxvi https://twitter.com/invimacolombia/status/1577455552954712064?s=20&t=JYJsQ6PFhxBv3YHim_PQrw
xxxvii https://malpedia.caad.fkie.fraunhofer.de/actor/mummy_spider
xxxix https://thehackernews.com/2022/12/beware-cybercriminals-launch-new.html