Mandiant Managed Defense によるサイバーセキュリティ最前線での 1 年間
Google Cloud Japan Team
※この投稿は米国時間 2024 年 2 月 23 日に、Google Cloud blog に投稿されたものの抄訳です。
サイバー脅威調査の最前線から、Mandiant Managed Defense チームは、サイバー犯罪者がどのように防御策を回避し、弱点を突き、検知されることなく攻撃活動を行おうとしているのかを観察しています。Managed Defense はお客様のために、攻撃を特定し、侵害を阻止するための新しい技術の開発に 24 時間体制で常に取り組んでいます。
Managed Defense の目的は、お客様の組織が現在、そして将来のセキュリティ課題に対して、より適切に対応し、自身を保護できるよう支援することです。インシデントの影響を最小限に抑えるために、組織は堅牢な検知態勢と綿密に構築された対応計画を、優先して準備する必要があります。このブログ記事では、Managed Defense が 2023 年に行った多くの取り組みから得られた、重要な所見を取り上げています。
インフォスティーラー(情報窃取型マルウェア): 2023 年に最も蔓延したマルウェア
インフォスティーラー、つまり情報窃取型マルウェアは、2023 年に Managed Defense が観察した中で最も蔓延したタイプのマルウェアでした。このトレンドは、アンダーグラウンドのフォーラムやマーケット内で観察された盗難データの需要と供給に一致しています。情報窃取型マルウェアは、盗んだデータをネタに恐喝したり、複数段階ある侵入の進行を促進するために、サイバー犯罪者に利用されています。
たとえば情報窃取型マルウェアは、初期アクセスや水平方向の移動のための認証情報を取得でき、環境に関する情報も収集します。この偵察データはその後の攻撃の調整目的に使用できるため、侵害の深刻度と影響度が大幅に増すことになります。
情報窃取型マルウェアは、クラックされたソフトウェアや海賊版ソフトウェアを通じて、おとりとして配布されることがよくあります。サイバー犯罪者は、ソーシャル エンジニアリングと検索エンジン最適化(SEO)戦術を使用して、マルウェアをより効果的に配布しています。7 月、Managed Defense は、偽の Zotero および Notion インストーラ(無料のオープンソース リファレンス管理ツール)を使用して、標的のマシンに不正アクセスする活動を発見しました。これらのテーマに則ったおとりは、サイバー犯罪者がいかに簡単に自分たちの攻撃を、特定の業界や組織に合わせて調整できるかを示しています。
図 1: UNC4864 感染ライフサイクル: 偽のインストーラの利用 - この研究資料は Managed Defense から入手できます。
組織が情報窃取型マルウェアのリスクを軽減する効果的な方法は、アプリケーションの許可リストを実装することです。これは、従業員が承認されたソースから許可されたソフトウェアのみをインストールするように制限するものです。
リムーバブル ストレージ デバイスは、脅威アクターにとって有用な媒体です
中国(PRC-nexus)に関連する脅威アクターは、標的システムへの最初の侵入において、リムーバブル ストレージ デバイスを多用しています。Managed Defense は、この初期アクセス方法から発生する数多くの侵入に対応してきました。これらのインシデントの調査より、広範囲に及ぶ異なるマルウェア ファミリーが使用されていることが明らかになりました。
PRC-nexus のサイバー エスピオナージ アクター である TEMP.HEX は、リムーバブル ドライブを使用して SOGU(PlugX としても知られています)を拡散し、機密情報を盗み出しました。この特定の脅威グループが世界中の公共機関と民間企業を標的にした方法と、このグループからの攻撃を防ぐために推奨される緩和戦略を参照してください。
ロシアのグループも、マルウェアにリムーバブル ドライブでの拡散を組み込んでいます。QUICKGAME は、TEMP.Armageddon が被害組織の環境への初期アクセスを獲得し、さらにアクセスを進めるために利用してきた最新の USB 駆動型マルウェアです。
戦略的エスピオナージのためのマルウェア配布ツールとしてのリムーバブル ドライブの有効性は実証されており、それはユーザーにとっての潜在的な不便性を上回ります。Managed Defense は、リムーバブル ストレージ デバイスへのアクセスが必須ではないワークステーションに対して、組織がアクセスを制限することを推奨しています。
サイバー犯罪者による新たな脆弱性の悪用
検出されない攻撃を促進するゼロデイ エクスプロイトは、重大なセキュリティ リスクとなります。これらのゼロデイ脆弱性は多くの場合、脅威ハンティングまたはインシデント対応活動を通じて発見されました。
ゼロデイ攻撃は危険ですが、脅威活動が実際に急増するのは、脆弱性が公開され、エクスプロイトの概念実証が可能になったときです。これらの「オープンドア」は、金融犯罪とサイバー エスピオナージに関与する脅威アクターに、少ない労力で高い報酬を得る機会を提供しています。こうした状況は、既知の脆弱性の影響を軽減するために迅速なパッチ適用が非常に重要であることを示しています。
次の表は、2023 年に Managed Defense が対応したエクスプロイトの一部を一覧化したもので、サイバー犯罪者やエスピオナージ アクターが初期アクセスに脆弱性を悪用している継続的なトレンドが浮き彫りになっています。
パッチを適用するための「猶予期間」は存在せず、攻撃者の先手を打つには、ソフトウェアを直ちに更新することが不可欠です。
ワイパー防御: 堅牢なデータ保護戦略を立てる
金銭的利益を最終目標とする新たなランサムウェア マルウェア ファミリーが出現し続けています。これらの攻撃を受けると、支払いが行われるまでビジネスとサービスが中断されてしまいます。
ランサムウェアは依然として組織にとって一般的な脅威ですが、最近のワイパー マルウェアの動向は、高度化と普及拡大という憂慮すべきトレンドを示しています。
2023 年、Managed Defense は、特に戦時中や紛争中に、新たなワイパー マルウェア ファミリーが継続的に展開されていることを確認しました。ワイパー マルウェアは、電力網から通信ネットワークに至るまで、重要インフラストラクチャを破壊するための最適な武器となっています。マルウェアの高度化は、脅威アクターがマルウェアの開発に多大な時間と労力を費やしていることを示しています。
また、その使用方法にもパターンの変化が見られています。当初は標的を絞った破壊ツールとして導入されたワイパー マルウェアですが、意見の相違や対立を動機とする独立した組織が使用する武器へと進化しています。
図 2: 2023 年 12 月に確認された偽のアップデートを装ったワイパー マルウェア。企業や政府を標的とした進化する脅威環境において、ワイパー マルウェアが着実に出現してきていることが浮き彫りになっています。
図 3: コードを分析すると、「ワイパー」、つまりファイル削除の機能を持っていることがわかります。
ランサムウェアの脅威に加えてワイパー マルウェアの使用が増加しているため、組織がデータを失うリスクが増大しています。組織に堅牢なデータ保護戦略を導入することをおすすめします。
生成 AI と敵対者
ソーシャル メディア、詐欺電話、メール フィッシング詐欺を通じたマルウェアの蔓延は、衰えることなく続いています。これらの手法は、ユーザーを誘導してマルウェアをダウンロードさせたり、フィッシング ページで認証情報を入力させたりするように設計されており、企業と個人の両方に金銭的損失をもたらす可能性があり、依然として懸念すべき現実として存在します。
UNC3944(Scattered Spider とも呼ばれます)のような脅威アクターは、電話ベースのソーシャル エンジニアリングとスミッシングを使用して、被害組織に侵入し、機密データを引き出し、ランサムウェアで被害組織を恐喝する戦術を熟知しています。Managed Defense は、この特定の脅威グループからの脅威を軽減する方法に関するガイドを公開しました。
他の脅威グループも、次のような目的を達成するためにソーシャル エンジニアリングを使用しています:
- FIN6 や UNC4962 は、履歴書をテーマにしたファイルや、捏造した個人ウェブサイト上の偽の求人情報などを利用して、ユーザーを悪意のあるソフトウェアのダウンロードに誘導しました。
- UNC3753 が開始した BazarCall キャンペーンは、フィッシング詐欺の一環として偽の企業への電話を使用し、最終的には被害者をだましてリモート アクセス ツールをダウンロードさせ、攻撃者に最初の足がかりを与えた、という点で際立っています。
- UNC4214 は、ソーシャル メディア、メッセージング プラットフォーム、悪意のあるソーシャル メディア広告を使用して、認証情報を盗むマルウェアを配布しています。彼らの最終的な目標は、組織に侵入して、ソーシャル メディアのビジネス アカウントを制御し、それらのアカウントを金銭的利益のために使用することです。
脅威アクターは、新しいテクノロジーを使用するために常に戦術を進化させています。そのため、サイバー犯罪者がツールキットに AI をさらに深く統合すると予想されます。AI 生成のリアルなコンテンツは、こうしたソーシャル メディアの説得力を高め、特定や回避をより困難にすることができます。脅威アクターはこのテクノロジーに対して関心を持っていますが、これまでのところ導入は限定的です。
組織は、最小権限の原則(PoLP)やゼロトラスト セキュリティなどのセキュリティ フレームワークの実装を検討する必要があります。PoLP は、厳密に必要なものにのみユーザー アクセスを許可することに重点を置いています。また、ゼロトラストは継続的な検証とアクセス制御に重点を置いています。組織にとっては、Chronicle などの最新のセキュリティ オペレーション ツールに支えられた高度な検出および対応プログラムに投資することが有効です。迅速かつ効果的なインシデント対応を通じて回復力を示すことは、コミュニティの信頼を促進し、組織のプロダクトとサービスに対する信頼を構築することにつながります。
未来と次のステップを見据えて
Managed Defense チームは、お客様を支援する継続的なイノベーションに取り組んでいます。この取り組みにより、最近リリースされた Mandiant Hunt for Chronicle など、Chronicle データに対して直接プロアクティブな脅威ハンティングを提供できる、堅牢かつ有用なソリューションの継続的な開発が推進されています。また、Mandiant の取り組みによって、Microsoft Defender for Endpoint、CrowdStrike、SentinelOne などの業界リーダーとのパートナーシップが推進されており、お客様のセキュリティ スタック内で柔軟性と選択肢を提供できるようになっています。
Mandiant は、セキュリティ運用を再構築し、影響力のあるサイバー攻撃からお客様を徹底的に保護する新しい方法を見つけるべく、将来に向けて活動しています。
-Mandiant SOC シニア マネージャー Ng Choon Kiat
-Mandiant SOC シニア マネージャー Yash Gupta