2022 年の最後の数か月間も、攻撃者は依然として手ごわい敵でした。それに対抗するために、Trellix Advanced Research Center では、数百人の選り抜きのセキュリティ アナリストおよび研究者のチームに、さらに多くの脅威情報リソースを提供しました。
本レポートでは、前四半期に流行した攻撃者、ファミリー、キャンペーン、好まれた手法を業界屈指のラインナップで紹介しています。しかし、それだけではありません。情報源を拡張して、ランサムウェアのリーク サイトやセキュリティ業界のレポートからもデータを取得しています。また、Trellix のリソースの増加に伴い、ネットワーク セキュリティ、クラウド インシデント、エンドポイント インシデント、セキュリティ運用を扱った新しいコンテンツを含む脅威研究のカテゴリも増えています。
前回の脅威レポート以降、Trellix Advanced Research Center は、世界各地で研究と調査を行ってきました。そこでは、第 4 四半期のウクライナを標的としたサイバー攻撃の大幅な増加と Gamaredon との関連性が指摘されています。また、61,000 の脆弱なオープンソース プロジェクトにパッチを適用し、2023 年の脅威予測で、新たな年の過去にない攻撃に関するインサイトを公開しました。
これらの脅威レポートの向上によって得られた以下の概要は、お客様やセキュリティ業界が脅威の結果をより実感できるようにするために、Trellix Advanced Research Center が行っている取り組みを示す例となっています。
ランサムウェア
国民国家
Living off the Land (環境寄生)
脅威の主体
メールのセキュリティに関する傾向
ネットワーク セキュリティ
Trellix XDR を活用したセキュリティ運用テレメトリ
弊社の Advanced Research Center チームは、今年を締めくくる 2022 年第 4 四半期データの最初の脅威レポートを紹介できることを嬉しく思います。本レポートは、流行中のランサムウェアのリークサイトやインフラストラクチャの追跡など、他のデータ ソースから得られたインサイトに加え、弊社の製品センサー アレイからの新しいデータを加えるなど、絶えず進化を続けています。Trellix では、お客様を不正から守るというミッションに粘り強く取り組んでいます。攻撃者とその動機は決して止まることなく、より多面的になっているからです。地政学的および経済から見た先行きが複雑かつ不透明感が増す中で、グローバルな脅威インテリジェンスの必要性が高まっています。
世界的には、ウクライナ紛争による経済不安から、1970 年代以来の大規模なエネルギー価格ショックが発生し、世界経済に大きな打撃を与えています。ヨーロッパでの戦争の再発は、EU の安全保障・防衛に対するアプローチや、特にサイバー空間における自国の利益を守る能力を疑問視する人々への警鐘にもなっています。また、米政権は、地政学的な競争への対応、重要インフラストラクチャの保護、外国による情報操作や干渉への対処の必要性を認識していました。SolarWinds、Hafnium、ウクライナ、その他の出来事により、政権と議会は、国家のコミットメントと過去の米国政府の仕事に大きく立脚した新しいセキュリティ標準と資金調達について、超党派の行動を促しました。では、こうした不確実性は、企業のサイバー セキュリティ、公的・私的機関、民主主義の価値観にどのような影響を及ぼしているのでしょうか。
前四半期に、弊社のチームは、サイバーは政治的、経済的、領土的野心のために積極的に使用されるスパイ活動、戦争、虚偽情報の分野での国家戦略だと考えました。ウクライナにおける戦争では、新しい形態のサイバー攻撃も出現し、ハクティビストは、サイトの改ざん、情報の漏洩、DDoS (分散型サービス拒否) 攻撃の実行に精通し、より大胆になりました。その一方で、従来型のサイバー攻撃は続いています。フィッシング詐欺など、個人を騙し、操って機密情報や個人情報を流出させるソーシャル エンジニアリングの手口は、依然として流行しています。
ランサムウェアは、世界中の多くの組織を悩ませ続けています。COVID-19 のパンデミック時に観察されたように、サイバー犯罪者は危機と不確実性の時期に素早く利益を得ようとします。脅威の状況が進化するにつれて、私たちの研究も進化していきます。私たちの使命は、製品の有効性を常に改善し、実用的な情報をステークホルダーに提供することで、最も重要なものを確実に守ることにあります。本レポートでは、私たちの仕事が Trellix Advanced Research Center のメンバー全員にとっていかに重要であるかをご理解いただけるでしょう。私たちのチームには、ひとつひとつのプロジェクトに丁寧に心をこめて取り組んでいない研究者や専門家はいません。
この拡張レポートに対するご意見や、私たちのチームにもっと掘り下げてほしい分野があれば、私またはチーム @TrellixARC に Twitter でご連絡ください。そして、4 月にサンフランシスコで開催される RSA で多くの皆さんにお会いできることを楽しみにしています。
Trellix のバックエンド システムは、四半期ごとの脅威レポートのデータとして使用するテレメトリを提供しています。私たちは、テレメトリーと、脅威に関するオープンソースのインテリジェンスや、ランサムウェア、国民国家の活動といった流行している脅威に関する独自調査を組み合わせて分析しています。
テレメトリーを話題にするとき、感染ではなく、検出がその焦点になります。検出は、ファイル、URL、IP アドレス、その他の指標を弊社のいずれかの製品が検出し、弊社に報告したときに記録されます。
たとえば、本物のマルウェア サンプルを展開する有効性試験フレームワークを利用する組織が増加しています。この使用法は検出として表示されますが、感染でないことは明らかです。
テレメトリの誤検知を分析し、フィルタリングするプロセスは常に開発中であり、以前のエディションと比較すると、新たな脅威カテゴリが発生する可能性があります。
また、より多くの Trellix 組織チームがこの四半期レポートに貢献することで、新たな脅威カテゴリが追加されるでしょう。
大切なのは、お客様のプライバシーです。それは、テレメトリやお客様のセクターおよび国へのマッピングを行う際に重要です。国によって顧客ベースが異なるため、数字で見ると増えているように見えるかもしれませんが、もっと詳しくデータを調べる必要があります。たとえば、弊社のデータでは、電気通信セクターが常に高いスコアを記録しています。しかし、必ずしもこのセクターが多く狙われているというわけではありません。電気通信セクターには、企業が購入できる IP アドレス空間を所有する ISP プロバイダーも含まれています。それはどういう意味でしょうか?ISP の IP アドレス空間からの送信は電気通信セクターでの検出と見なされますが、異なるセクターで稼働している ISP クライアントからのものである可能性があります。
このセクションでは、ランサムウェア グループの活動に関して収集されたさまざまなインサイトを提供します。この情報は、脅威の状況をよりよく把握し、監視バイアスを減らすために複数のソースから収集されており、2022 年第 4 四半期に最も影響力のあったランサムウェア ファミリーを判断するのに役立ちます。最初のソースは定量的なソースで、ランサムウェアの IOC と Trellix の顧客テレメトリの相関から抽出されたランサムウェア キャンペーンの統計が描かれています。2 つ目は定性的なソースで、セキュリティ業界が発行するさまざまなレポートを Threat Intelligence グループが厳しく吟味・分析・分析した結果が示されています。最後に、3 つ目のソースは新しいカテゴリで、さまざまなランサムウェア グループの「リーク サイト」から集められたランサムウェア被害レポートのセットで構成されます。これらは正規化・強化を経て、最後に分析され、結果が匿名化の上、提供されます。
こうしてさまざまな視点を提供することで、現在の脅威の状況を構成しているパズルの多くのピースを提供することを目的としています。しかし、それぞれに制約があるため、どれも十分とは言えません。インターネットに接続されているすべてのシステムのログにアクセスできる人はいませんし、すべてのセキュリティ インシデントが報告されるわけでもありません。また、すべての被害者が強要されてリーク サイトに掲載されるわけでもありません。しかし、異なる視点を組み合わせることで、さまざまな脅威をよりよく理解し、自らの盲点を減らすことができます。
情報に基づく判断は、潜在的な欠点や盲点を考慮しながら、ソースからの定量的・定性的なデータを組み合わせることで得られます。
2022 年第 4 四半期の LockBit のカテゴリと調査結果をさらに紹介します。
2022 年第 4 四半期に LockBit 3.0 の影響を受けたセクター
29
LockBit 3.0 の被害者リーク サイトによると、2022 年第 4 四半期に LockBit 3.0 の影響を最も多く受けたセクターは、産業財・サービスでした。
2022 年第 4 四半期に LockBit 3.0 の影響を受けた企業の国
49
LockBit 3.0 の被害者リーク サイトによると、2022 年第 4 四半期に LockBit 3.0 の影響を最も多く受けた企業の国は、米国 (49%)、次いで英国となっています。
以下の統計は、弊社のテレメトリと Threat Intelligence ナレッジ ベースとの相関関係に基づいています。分析段階を受けて、選択した時間のデータからキャンペーンを特定し、その特徴を抽出します。表示される統計は、キャンペーンの統計であり、検出そのものではありません。弊社のグローバル テレメトリによると、さまざまなランサムウェア グループによる複数のキャンペーンに属する侵害の痕跡 (IoC) が確認されました。確認されたキャンペーンで最も多く見られたランサムウェア ファミリーと、それぞれのツールや手法は、以下のとおりです。同様に、確認されたキャンペーンによる影響が特に大きかった国とセクターは、以下のとおりです。
2022 年第 4 四半期に最も多く見られたランサムウェア ファミリー
22
2022 年第 4 四半期に最も多く見られたランサムウェア ファミリーは Cuba でした。Zeppelin ランサムウェアは Vice Society によって多用されました。Yanluowang の通信リークについては、こちらをお読みください。
2022 年第 4 四半期にランサムウェア グループによって最も多用された悪意のあるツール
41
2022 年第 4 四半期にランサムウェア グループによって最も多用された悪意のあるツールは、Cobalt Strike でした。
1.
Cobalt Strike
41%
2.
Mimikatz
23%
3.
BURNTCIGAR
13%
4.
VMProtect
12%
5.
POORTRY
11%
2022 年第 4 四半期にランサムウェア グループによって使用されたことが最も多く観察された MITRE-ATT&CK 手法
1.
影響を与えるためのデータ暗号化
17%
2.
System Information Discovery
11%
3.
PowerShell
10%
4.
イングレス ツール転送
10%
5.
Windows Command Shell
9%
2022 年第 4 四半期にランサムウェア グループによって最も多用された悪意のないツール
21
2022 年第 4 四半期にランサムウェア グループによって最も多用された悪意のないツールは、Cmd でした。
1.
Cmd
21%
2.
PowerShell
14%
3.
Net
10%
4.
Reg
8%
5.
PsExec
8%
2022 年第 4 四半期にランサムウェア グループから最も影響を受けた国
29
Trellix テレメトリによると、2022 年第 4 四半期にランサムウェア グループから最も多く影響を受けた国は、米国でした。
2022 年第 4 四半期にランサムウェア ファミリーから最も影響を受けたセクター
29
Trellix テレメトリによると、2022 年第 4 四半期にランサムウェア グループから最も多く影響を受けたセクターは外部委託 & ホスティングでした。これは、ランサムウェアのリーク サイトに記載されている被害者の平均的な組織の規模と関連があります。これらの組織は、多くの場合、独自の割り当てられた IP ブロックを持たず、サード パーティのホスティング プロバイダーに依存しているという特徴があります。
以下の統計は、公的報告書および社内調査に基づいています。なお、すべてのランサムウェア インシデントが報告されるわけではありません。多くのランサムウェア ファミリーはしばらくの期間、活動を続けており、当然ながら特定の四半期における新規ファミリーよりも注目度は低くなります。こうした基準に従って、これらのメトリックスは、セキュリティ業界が四半期に最も影響力があり、関連性があると判断したランサムウェア ファミリーを示しています。
2022 年第 4 四半期に最も多く見られたランサムウェア ファミリー
15
セキュリティ業界のレポートによると、2022 年第 4 四半期に最も報告されたランサムウェア ファミリーは、Black Basta ランサムウェアと Magniber ランサムウェアでした。
2022 年第 4 四半期のランサムウェア ファミリーが使用した上位の攻撃手法
19
セキュリティ業界のレポートによると、2022 年第 4 四半期に最も報告されたランサムウェア ファミリーの攻撃手法は、「影響を与えるためのデータ暗号化」でした。
1.
影響を与えるためのデータ暗号化
19%
2.
Windows Command Shell
11%
3.
System Information Discovery
10%
4.
イングレス ツール転送
10%
5.
PowerShell
10%
2022 年第 4 四半期のランサムウェア ファミリーの標的となった上位セクター
16
セキュリティ業界のレポートによると、2022 年第 4 四半期に最も多くランサムウェア ファミリーの標的となったセクターは、医療でした。
2022 年第 4 四半期に最も多くランサムウェア ファミリーの標的となった国
19
セキュリティ業界のレポートによると、2022 年第 4 四半期に最も多くランサムウェア ファミリーの標的となった国は、米国でした。
第 4 四半期にランサムウェア グループによって使用されたことが最も多く観察された MITRE-ATT&CK 手法 2022
1.
CVE-2021-31207
CVE-2021-34474
CVE-2021-34523
16%
16%
16%
2.
CVE-2021-34527
13%
3.
CVE-2021-26855
CVE-2021-27065
9%
9%
2022 年第 4 四半期に報告されたランサムウェア ファミリーにより使用された悪意のあるツール
44
セキュリティ業界のレポートによると、2022 年第 4 四半期に報告されたランサムウェア ファミリーによって最も多く使用された悪意のあるツールは、Cobalt Strike でした。
1.
Cobalt Strike
44%
2.
QakBot
13%
3.
IcedID
9%
4.
BURNTCIGAR
7%
5.
Carbanak
SystemBC
7%
7%
2022 年第 4 四半期に報告されたランサムウェア ファミリーにより使用された悪意のないツール
21
セキュリティ業界のレポートによると、2022 年第 4 四半期に報告されたランサムウェア ファミリーによって最も多く使用された悪意のないツールは、PowerShell でした。
1.
PowerShell
21%
2.
Cmd
18%
3.
Rund1132
11%
4.
VSSAdmin
10%
5.
WMIC
9%
このセクションのデータは、さまざまなランサムウェア グループの「リーク サイト」を収集して作成されたものです。ランサムウェア グループは、これらの Web サイトに被害者の情報を公開することで、被害者を脅迫します。交渉が難航したり、被害者がランサムウェア グループの期限までに身代金の支払いを拒んだ場合、ランサムウェア グループは被害者から盗んだ情報を公開します。弊社では、オープンソース ツールの RansomLook を使用してさまざまな投稿を収集し、そのデータを内部処理して正規化・補強し、被害者分析結果を匿名で提供しています。
なお、各リーク サイトでは、すべてのランサムウェア被害者が報告されているわけではありません。多くの被害者が身代金を支払っており、その場合は報告されていません。これらのメトリックスは、ランサムウェア グループが脅迫や報復を行った被害者の指標であり、被害者の合計と混同しないようにする必要があります。
2022 年第 4 四半期に最も多くの被害者を報告したランサムウェア グループ
26
2022 年第 4 四半期にそれぞれのリーク サイトで最も多くの被害者を報告したランサムウェア グループ上位 10 個のうち、LockBit 3.0 が 26% を占めました。
2022 年第 4 四半期のリーク サイトごとにランサムウェア グループの影響を受けたセクター
32
2022 年第 4 四半期にリーク サイトごとにランサムウェア グループの影響を最も多く受けた業界は、産業財・サービスでした。産業財・サービスとは、主に建設や製造に使用されるすべての物質的製品と無形サービスを指します。
2022 年第 4 四半期のリーク サイトごとにランサムウェア グループの影響を受けた企業の国
63
2022 年第 4 四半期に各種ランサムウェア グループが対応するリーク サイトで報告した企業の上位 10 社は米国、次いで英国 (8%)、カナダとなっています。
このセクションでは、国民国家グループの活動に関して収集したインサイトを提供します。この情報は、脅威の状況をよりよく把握し、監視バイアスを減らすために複数のソースから収集されています。まず、国民国家グループの IOC と Trellix の顧客テレメトリの相関から抽出された統計を描いています。2 つ目に、セキュリティ業界が発行し、Threat Intelligence グループが厳しく吟味・解析・分析したさまざまなレポートから得られたインサイトを提供します。
これらの統計は、弊社のテレメトリと Threat Intelligence ナレッジ ベースとの相関関係に基づいています。分析段階を受けて、選択した期間のデータからキャンペーンを特定し、その特徴を抽出します。表示される統計は、キャンペーンの統計であり、検出そのものではありません。さまざまなログの集約、お客様による脅威シミュレーション フレームワークの使用、Threat Intelligence サポート情報との高度な相関により、データは必要な基準を満たすように手動でフィルタリングされます。
弊社のグローバル テレメトリによると、APT (Advanced Persistent Threat) グループによる複数のキャンペーンに関連する侵害の痕跡 (IoC) が確認されました。確認されたキャンペーンで最も多く見られた攻撃者の国と攻撃者、およびそれぞれのツールや手法は、以下のとおりです。同様に、確認されたキャンペーンによる影響が特に大きかった国とセクターに関するデータは、以下のとおりです。
2022 年第 4 四半期の国民国家の活動の背後にある攻撃者の最も多い国
71
2022 年第 4 四半期の国民国家の活動の背後にある攻撃者の最も多い国は、中国でした。
2022 年第 4 四半期に最も多く見られた攻撃者グループ
37
国民国家テレメトリによると、2022 年第 4 四半期に最も多く見られた攻撃者グループは、Mustang Panda でした。
2022 年第 4 四半期の国民国家の活動で最も多用された MITRE ATT&CK 手法
1.
DLL Side-Loading
14%
2.
Rundll32
13%
3.
Obfuscated Files or Information
12%
4.
Windows Command Shell
11%
5.
レジストリ Run キー / スタートアップ フォルダー
10%
2022 年第 4 四半期に国民国家の活動で最も多用された悪意のあるツール 2022
1.
PlugX
24%
2.
BLUEHAZE
23%
3.
DARKDEW
23%
4.
MISTCLOAK
23%
5.
ISX リモート アクセス型トロイの木馬
2%
2022 年第 4 四半期に国民国家の活動で最も多用された悪意のないツール
1.
Rundll32
22%
2.
Cmd
19%
3.
Reg
17%
4.
Ncat
12%
5.
Regsv132
6%
2022 年第 4 四半期のリーク サイトごとにランサムウェア グループの影響を受けた企業の国
55
2022 年第 4 四半期に国民国家の活動から最も多く影響を受けた国は、米国でした。
2022 年第 4 四半期のリーク サイトごとにランサムウェア グループの影響を受けた企業の国
69
2022 年第 4 四半期の国民国家の活動から最も多く影響を受けたセクターは、運輸業でした。
これらの統計は、公的報告書および社内調査に基づいており、顧客ログからのテレメトリに基づくものではありません。なお、すべての国民国家インシデントが報告されるわけではありません。多くのキャンペーンは、既知の同じ TTP に従っているため、あまり興味深い報告ではありません。業界では、攻撃者が新しいことを試したり、失敗したりするような新しいキャンペーンが選ばれる傾向があります。これらのメトリックスは、2022 年第 4 四半期に業界が有意義で関連性があると判断したものを示しています。
2022 年第 4 四半期に国民国家のキャンペーンの報告で最も多かった攻撃者の国
37
2022 年第 4 四半期に公に報告された国民国家のキャンペーンのうち、中国を起源とするものの割合
1.
中国
37%
2.
北朝鮮
24%
3.
イラン
1%
4.
ロシア / Россия
1%
5.
インド
1%
2022 年第 4 四半期に国民国家の活動の報告で最も多く見られた攻撃者
33
2022 年第 4 四半期の国民国家の活動の報告で最も多く見られた攻撃者は、Lazarus でした。
1.
Lazarus
14%
2.
Mustang Panda
13%
3.
APT34
АРТ37
APT41
COLDRIVER
Patchwork
Polonium
Side Winder
Winnti Group
各 1%
2022 年第 4 四半期に国民国家の活動で最も多用された悪意のないツール
1.
Rund1132
22%
2.
Cmd
19%
3.
Reg
17%
4.
Ncat
12%
5.
Regsv132
6%
2022 年第 4 四半期に報告された国民国家のキャンペーンで最も標的となった国
16
2022 年第 4 四半期に報告された国民国家のキャンペーンで最も標的となった国は、米国でした
2022 年第 4 四半期に報告された国民国家のキャンペーンで最も標的となったセクター
33
2022 年第 4 四半期に報告された国民国家のキャンペーンで最も標的となったセクターは政府機関で、次いで軍機関 (11%)、通信 (11%) となっています。
2022 年第 4 四半期に報告された国民国家のキャンペーンで使用された最も一般的な悪意のあるツール
1.
PlugX
22%
2.
Cobalt Strike Korea
17%
3.
Metasploit
13%
4.
BlindingCan
9%
5.
Scanbox
ShadowPad
ZeroCleare
各 9%
2022 年第 4 四半期に国民国家のキャンペーンで使用された最も一般的な悪意のないツール
1.
Cmd
32%
2.
Rund1132
20%
3.
PowerShell
14%
4.
Reg
8%
5.
Schtasks.exe
7%
2022 年第 4 四半期に報告された国民国家のキャンペーンで使用された最も一般的な MITRE ATT&CK 手法
1.
イングレス ツール転送
13%
2.
System Information Discovery
13%
3.
Obfuscated Files or Information
12%
4.
Web Protocols
11%
5.
ファイル/情報の難読化解除/デコード
11%
CVE-2017-11882
CVE-2020-17143
CVE-2021-44228
CVE-2021-21551
CVE-2018-0802
CVE-2021-26606
CVE-2021-26855
CVE-2021-26857
CVE-2021-27065
CVE-2021-26858
CVE-2021-34473
CVE-2021-28480
CVE-2021-34523
CVE-2021-28481
CVE-2015-2545
CVE-2021-28482
CVE-2017-0144
CVE-2021-28483
CVE-2018-0798
CVE-2021-31196
CVE-2018-8581
CVE-2021-31207
CVE-2019-0604
CVE-2021-40444
CVE-2019-0708
CVE-2021-45046
CVE-2019-16098
CVE-2021-45105
CVE-2020-0688
CVE-2022-1040
CVE-2020-1380
CVE-2022-30190
CVE-2020-1472
CVE-2022-41128
CVE-2020-17141
弊社 Insights プラットフォームによる監視と追跡により、2022 年第 4 四半期の脅威の状況について、以下の情報が収集および可視化されました。
また、脅威の状況で偶然出くわす新参者、一発屋、スクリプト キディなども、人気のある悪用フレームワークに組み込まれた既存のバイナリを利用し、気づかれないようにして、スーパーコンピュータ「ギブソン」をハッキングしたり、脆弱性を悪用したりしようとしています。
Living off the Land (環境寄生) の技術は、最初のアクセス、実行、検出、持続、そして影響まで、一貫して悪意のあるタスクを実行するために利用 (悪用) されています。2022 年第 4 四半期を通じて収集されたデータによると、Windows Command Shell を介してコマンドおよびスクリプト手法が実行される傾向が続いており、PowerShell が最もよく利用 (悪用) される手法であることがわかります。
2022 年第 4 四半期に最も多く見られた OS バイナリ
47
2022 年第 4 四半期に最も多く見られた 10 個の OS バイナリのうち、Windows Command Shell が 47% とほぼ半数を占め、PowerShell (32%)、Rundl32 (27%) がそれに続きます。
1.
Windows Command Shell
47%
2.
PowerShell
32%
3.
Rund132
27%
4.
Schtasks
23%
5.
WMI
21%
2022 年第 4 四半期の上位サードパーティ ツール
1.
リモート アクセス ツール
58%
2.
ファイル転送
22%
3.
エクスプロイト後のツール
20%
4.
ネットワーク検出
16%
5.
AD 検出
10%
サイバー犯罪者による利用は、熟練した APT (Advanced Persistent Threat)、金銭目的のグループ、油断のないハクティビストなどの攻撃者の間で広まっています。また、脅威の状況で偶然出くわす新参者、一発屋、スクリプト キディなども、既存のバイナリを利用し、気づかれないようにして、スーパーコンピュータ「ギブソン」をハッキングしたり、既知または未知の脆弱性を悪用したりしようとしています。
Insights プラットフォームで処理された、攻撃者が Windows バイナリを利用したイベントは、情報窃取、リモート アクセス型トロイの木馬、ランサムウェアなどの追加のマルウェアを展開することにつながりました。MSHTA、WMI、WScript などのバイナリが実行され、攻撃者が管理するリソースから追加ペイロードを取得した可能性があります。
リモート アクセスや管理などのツールは、常に攻撃者が悪用するツールの上位に挙がりますが、セキュリティ実務者が使用するツールも悪意のある目的のために悪用され続けています。攻撃者は、キープアライブ ビーコンを開始したり、漏えいを自動化したり、標的の情報を収集・圧縮したりするためにこれらを使用することがあります。
無料のオープンソースのツールの中では、ソフトウェア パッカーが攻撃者によって悪用されています。これは、悪意あるコンテンツを含むように正規のソフトウェアを再パッケージ化したり、検出を回避しようとしてマルウェアをパックしたり、分析を妨げたりするために利用されています。
Advanced Research Center の Threat Intelligence グループは、ペイロードとインフラストラクチャのハンティング手法を組み合わせることで、流行中の Cobalt Strike Team サーバー (Cobalt Strike C2) の利用状況をモニターしています。収集された Cobalt Strike ビーコンを分析する中で明らかになった注目すべきインサイトは、以下のとおりです。
15
トライアル Cobalt Strike ライセンス
流行が確認された Cobalt Strike ビーコンのうち、トライアル Cobalt Strike ライセンスを持つものは 15% に過ぎません。このバージョンの Cobalt Strike には、このポスト エクスプロイト フレームワークの既知の機能のほとんどが含まれています。しかし、"tell" を追加し、転送中の暗号化を解除することで、セキュリティ製品でペイロードを容易に検出できるようにしています。
5
ホスト Http ヘッダー
観測された Cobalt Strike ビーコンの少なくとも 5% は、ホスト Http ヘッダーを使用しており、Cobalt Strike でドメイン フロンティングを容易にするオプションとなっています。ドメイン フロンティングとは、複数のドメインをホストするコンテンツ デリバリー ネットワーク (CDN) を悪用する手法です。攻撃者は、悪意のある Web サイトへの HTTPS リクエストを、正規の Web サイトへの TLS 接続の下に隠します。
87
Rundll32.exe
Rundll32.exe は、セッションを生成し、エクスプロイト後のジョブを実行するために使用されるデフォルトのプロセスで、確認されたビーコンの 87% で検出されました。
22
DNS ビーコン
DNS ビーコンは、確認された Cobalt Strike ビーコンの 22% を占めています。このペイロード タイプは、DNS クエリを介して、ドメインの権威サーバーである攻撃者の Cobalt Strike チーム サーバーに通信を戻し、その活動を隠蔽します。
2022 年第 4 四半期の Cobalt Strike Team サーバーをホストしている上位の国
50
2022 年第 4 四半期に検出された Cobalt Strike Team サーバーの半数は中国でホストされています。これは、中国で利用可能なクラウド ホスティングの規模に大きく起因しています。
GootLoader はモジュール型のマルウェアで、「GootKit」または「GootKit Loader」として識別される別のマルウェアと同じ意味で言及されることがあります。GootLoader マルウェアの現在のモジュール型機能は、REvil、Kronos、Cobalt Strike、Icedid などの追加のマルウェア ペイロードを配布するために使用されています。
最近のイベントでは、GootLoader は、検索エンジン最適化 (SEO) を利用して、JS (JavaScript) ファイルのペイロードを含むアーカイブ ファイルをホストするために使用される危険なサイトや偽サイトに、無防備なユーザーを誘導していたことが確認されています。しかし、この手法では、無防備なユーザーがアーカイブを開いてコンテンツを実行し、Windows Scripting Host 経由で悪意のある JS コードを実行することが必要です。それが成功すると、GootLoader は C2 通信を開始し、追加のマルウェアを取得します。
GootLoader は、登録者に提供される疑わしい Malware as a Service (MaaS) として、攻撃者が複数の追加ペイロードをロードできるようにするため、GootLoader は企業環境に重大な脅威をもたらします。
弊社は、GootLoader の内部トラッカーを使用して、2022 年 11 月 18 日に流行していることが発見された最新の亜種を確認し、2022 年 11 月 13 日時点で休止している古い亜種を目撃しました。最新の亜種に対する修正は以下のとおりです。
Gootloader の新しい亜種は、複数の難読化層を使用して進化しています。解凍後に入れ子状になった各ステージは、その前のステージからロードされた変数を使用するため、分析が困難になります。YARA ハンティング作業によって収集されたサンプルは、静的な JavaScript および PowerShell アナライザに供給され、リモート Command and Control (C&C、C2) サーバーや固有の ID 署名などの IOC を抽出します。これらの IOC を使用して、流行中の Gootloader の特定のインスタンスを特定し、追跡することができます。
抽出された Gootloader IOC の処理として、Trellix の URL レピュテーション チームのデータベースに照会が行われ、悪意のあるドメイン、侵害されている可能性がある正規のドメイン、分析を阻害するためのおとりとして使用されている正規のドメインが特定されます。
表示される統計情報は、抽出された IOC とお客様のログの相関から特定されたキャンペーンの統計であり、検出そのものではありません。Gootloader の場合、検出のほとんどがドメインのヒットに基づくものです。Gootloader はおとりのドメインを使用するため、表示された統計情報は、中レベルの信頼度で悪意があると解釈されるべきです。
2022 年第 4 四半期に Gootloader による被害が最も多かった国
37
2022 年第 4 四半期に Gootloader による被害が最も多かった国は、米国でした。
1.
米国 / United States
37%
2.
イタリア
19%
3.
インド
11%
4.
インドネシア
9%
5.
フランス
5%
2022 年第 4 四半期に Gootloader によって使用された最も一般的な MITRE ATT&CK 手法
1.
Deobfuscate/Decode Files or Information
2.
JavaScript
3.
Obfuscated Files or Information
4.
PowerShell
5.
Process Hollowing
2022 年第 4 四半期に最も多く Gootloader の標的となったセクター
56
2022 年第 4 四半期に最も Gootloader の標的となったセクターは、電気通信でした。
2022 年第 4 四半期に Gootloader によって使用された最も一般的な MITRE ATT&CK 手法
脆弱性ダッシュボードは、最新の影響度の高い脆弱性の分析を照合したものです。分析とトリアージは、Trellix Advanced Research Center の脆弱性に関する業界専門家によって行われます。これらの研究者はリバース エンジニアリングや脆弱性分析を専門とし、最新の脆弱性と、攻撃者がそれをどのように攻撃に利用しているかを継続的にモニターし、修復策を指導しています。この簡潔で高度な専門的アドバイスにより、ノイズからシグナルをフィルタリングし、組織に影響を及ぼす可能性のある最も重要な脆弱性に焦点を当て、迅速に対応することが可能になります。
41
2022 年第 4 四半期にユニークな CVE によって影響を受けた脆弱な製品およびベンダーの 41% を Lanner が占めています。
29
IAC-AST2500A ファームウェア バージョン 1.10.0 は、2022 年第 4 四半期に製品で使用された CVE として最も多く報告されています。
2022 年第 4 四半期の最も影響力のある脆弱性を含む製品、ベンダー、CVE
1.
Lanner
41%
2.
Microsoft
19%
3.
BOA
15%
4.
Oracle
8%
5.
Apple
Chrome
Citrix
Fortinet
Linux
各 4%
2022 年第 4 四半期に報告された製品別の CVE
29
IAC-AST2500A ファームウェア バージョン 1.10.0 は、2022年第 4 四半期に製品で使用された CVE として最も多く報告されており、次いで BOA サーバー (10%)、IAC-AST2500A (6%)、Exchange (6%) となっています。
IAC-AST2500A、ファームウェア バージョン 1.10.0
9
BOA サーバー
3
交換
3
IAC-AST2500A
1
tvOS
1
iPadOS
1
iOS
1
Windows
1
Safari
1
SQLite 3.40.0 まで
1
Oracle Access Manager、11.1.2.3.0、12.2.1.3.0、12.2.1.4.0
1
MacOS
1
Linux Kernel 5.15.61 以前
1
Internet Explorer
1
FortiOS (sslvpn)
1
Citrix ADC/Citrix Gateway
1
Chrome、108.0.5359.94/.95 以前のバージョン
1
BOA サーバー、Boa 0.94.13
1
CVE-2022-1786
CVE-2022-41040
CVE-2022-26134
CVE-2022-41080
CVE-2022-27510
CVE-2022-41082
CVE-2022-27518
CVE-2022-41128
CVE-2022-31685
CVE-2022-41352
CVE-2022-32917
CVE-2022-42468
CVE-2022-32932
CVE-2022-42475
CVE-2022-33679
CVE-2022-4262
CVE-2022-34718
CVE-2022-42856
CVE-2022-35737
CVE-2022-42889
CVE-2022-3602
CVE-2022-43995
CVE-2022-3786
CVE-2022-46908
CVE-2022-37958
CVE-2022-47939
CVE-2022-40684
メールのセキュリティの統計は、全世界のお客様のネットワークに展開されている複数のメール セキュリティ アプライアンスから生成されたテレメトリに基づいています。検出ログを集計して分析し、以下の調査結果が作成されました。
2022 年第 4 四半期には世界的なサッカー大会が開催されましたが、サイバー犯罪者はこの世界最大のサッカー イベントへいち早く便乗し、大会を主催したカタール近隣にあるアラブ諸国の組織に対し、サッカーをテーマにしたさまざまなフィッシング詐欺キャンペーンを仕掛けました。
100
アラブ諸国における悪意のあるメールの量は、8 月と 9 月に比べ、10 月は 100% 増加していることが観察されました。
40
最も多く利用されたマルウェア戦術は Qakbot で、アラブ諸国を標的としたキャンペーンの 40% を占めました。
42
2022年第 4 四半期に悪意あるメールの影響を最も多く受けたセクターは電気通信で、業界を標的とした悪意のあるメール キャンペーンの 42% を占めました。
87
2022 年第 4 四半期に最も多く見られた攻撃方法の中で、悪意のある URL を使用したフィッシング詐欺メールが群を抜いていました。
64
なりすましのヒット数は、2022 年第 3 四半期から第 4 四半期にかけて 64% 増加しました。
82
CEO へのすべての詐欺メールのうち、無料メール サービスを利用して送信されたものの割合。
78
すべてのビジネス メール詐欺 (BEC) 攻撃のうち、一般的な CEO のフレーズが使われていたものの割合。
142
2022 年第 4 四半期はビッシング攻撃が目立ち、2022 年第 3 四半期から 142% 増加しました。
2022 年第 4 四半期に最も多く見られたメール マルウェアの戦術
40
2022 年第 4 四半期に最も多く見られたメール マルウェアの戦術は、Qakbot でした。
1.
Qakbot
40%
2.
Emotet
26%
3.
Formbook
26%
4.
Remcos
4%
5.
QuadAgent
4%
2022 年第 4 四半期に最もメール フィッシング詐欺の標的となった製品およびブランド
1.
汎用
62%
2.
Outlook
13%
3.
Microsoft
11%
4.
Ekinet
8%
5.
Cloudfare
3%
2022 年第 4 四半期に悪意のあるメールの影響を最も受けたセクター
42
2022 年第 4 四半期に悪意のあるメールの影響を最も受けたセクターは、電気通信でした。
100
アラブ諸国における悪意のあるメールの量は、8 月と 9 月に比べ、10 月は 100% 増加していることが観察されました。
40
最も多く利用されたマルウェア戦術は Qakbot で、アラブ諸国を標的としたキャンペーンの 40% を占めました。
42
2022年第 4 四半期に悪意あるメールの影響を最も多く受けたセクターは電気通信で、業界を標的とした悪意のあるメール キャンペーンの 42% を占めました。
「急ぎの仕事があります。」
「仕事の指示を口頭で伝えたいので、今すぐ携帯電話の番号を教えてください。」
「電話番号を送ってください。すぐに済ませてほしい仕事があります。」
「携帯電話の番号を送ってください。テキストメッセージで指示を送ります。急ぎの仕事です。」
「携帯電話の番号を見直して確認し、私からのテキストメッセージを読んでください。」
「私からのメールは届きましたか?耳寄りな案件があります」
2022 年第 4 四半期のなりすましの比較
64
なりすましのヒット数は、2022 年第 3 四半期から第 4 四半期にかけて 64% 増加しました。
フィッシング詐欺メールで最も多く使われた攻撃方法
87
2022 年第 4 四半期に最も多く見られた攻撃方法の中で、悪意のある URL を使用したフィッシング詐欺メールが群を抜いていました。
1.
URL
87%
2.
添付ファイル
7%
3.
ヘッダー
6%
第 4 四半期には、正規の Web ホスティング プロバイダーを利用した詐欺行為や認証情報の窃取が増加していることが観察されました。主に悪用されたサービス プロバイダーは 3 つあります。それは、dweb.link、ipfs.link、translate.goog です。また、ekinet、storageapi_fleek、selcdn.ru といった他のサービス プロバイダー ドメインからの量も増えていることがわかりました。Apart from these there were a couple of other service provider domains like ekinet, storageapi_fleek, selcdn.ru. 攻撃者は、フィッシング詐欺ページをホストし、フィッシング対策エンジンをバイパスするために、新しい人気のあるホスティング サービスを継続的に使用しています。攻撃者が正規の Web ホスティング プロバイダーを利用することに関心を持つようになった理由の 1 つは、これらのサービスが正規のファイルをホストしてコンテンツを共有することを主な目的としているため、どの検出システムによってもブラックリスト化されないからです。
2022 年第 4 四半期の悪用度の高い Web ホスティング プロバイダー
154
2022 年第 4 四半期に最も悪用された Web ホスティング プロバイダーは Dweb でしたが、第 3 四半期から第 4 四半期にかけて最も大きな増加を示したのは、Google Translate でした (154%)。
1.
Dweb
81%
2.
Ipfs
17%
3.
Google Translate
10%
2022 年第 4 四半期にフィッシング攻撃で最も多く使われた回避手法
63
ビッシングはフィッシング詐欺の一種で、主にメール、テキスト メッセージ、電話、ダイレクト チャット メッセージを使用して、被害者が攻撃者とつながるように誘導するように設計されています。
142
2022 年第 4 四半期はビッシング攻撃が目立ち、2022 年第 3 四半期から 142% 増加しました。
85
無料メール サービスは、ビッシングを利用する悪質な攻撃者がよく利用する手段となっています。弊社が検出した 2022 年第 4 四半期のビッシング攻撃の大部分 (85%) は、無料メール サービスを利用して送信されていました。
第 4 四半期にビッシング キャンペーンで使用されたテーマとしては、Norton、McAfee、Geek Squad、Amazon、PayPal が最も一般的でした。
Trellix ARC のネットワーク研究チームは、お客様を脅かすネットワーク ベースの攻撃の検出とブロックに焦点を当てています。偵察、初期侵害、C2 通信、横移動の TTP など、キルチェーンのさまざまな領域を検証します。いくつかのテクノロジーを組み合わせた強みを利用して、未知の脅威をより的確に検出するための可視性を実現しています。
顧客環境に対する潜在的なしきい値を見つけるために外部向けマシンを探査するネットワーク スキャンが、日常的に数多く行われています。古いエクスプロイトは、パッチが適用されていないシステムを常に探しています。
2022 年第 4 四半期にネットワークの最初の足掛かりとして使用された最も重要な WebShell
脆弱な Web サーバーの制御を試みるために、以下のWebShell が使用されることが一般的に確認されています。
SCShell や PSExec のような古い脆弱性やツールの使用など、攻撃者が横移動の際に使用する TTP が大量に確認されています。
この統計は、弊社の顧客ベースのさまざまな Helix インスタンスから生成されたテレメトリに基づいています。検知ログを集計して分析し、以下のセクションを作成しました。
以下のセクションは、2022 年第 4 四半期に最も多く発生したセキュリティ アラートを示しています。
EXPLOIT - LOG4J [CVE-2021-44228]
OFFICE 365 ANALYTICS [異常ログオン]
OFFICE 365 [許可されたフィッシング詐欺]
EXPLOIT - FORTINET [CVE-2022-40684]
EXPLOIT - APACHE SERVER [CVE-2021-41773 - 試行]
WINDOWS ANALYTICS [ブルートフォース成功]
EXPLOIT - ATLASSIAN CONFLUENCE [CVE-2022-26134]
EXPLOIT - F5 BIG-IP [CVE-2022-1388 試行]
2022 年第 4 四半期に最も多く使用された MITRE ATT&CK 手法
1.
公開アプリケーション エクスプロイト (T1190)
29%
2.
アプリケーション層プロトコル: DNS (T1071.004)
フィッシング詐欺 (T1566)
14%
14%
3.
アカウント操作 (T1098.001)
ブルートフォース (T1110)
Web 閲覧による感染 (T1189)
ユーザー実行: 悪意のあるファイル (T1204.002)
有効なアカウント: ローカル アカウント (T1078.003)
各 7%
2022 年第 4 四半期の上位のログ ソース分布
1.
ネットワーク
40%
2.
メール
27%
3.
エンドポイント
27%
4.
ファイアウォール
6%
2022 年第 4 四半期に国民国家の活動の報告で最も多く見られた攻撃者
30
2022 年第 4 四半期に最も多く観察されたエクスプロイトは、Log4j でした。
1.
Log4j (CVE-2021-44228)
14%
2.
Fortinet (CVE-2022-40684)
13%
3.
Apache Server (CVE-2021-41773)
13%
4.
Atlassian Confluence (CVE-2022-26134)
13%
5.
F5 Big-IP (CVE-2022-1388 試行)
13%
6.
Microsoft Exchange (ProxyShell エクスプロイト試行)
13%
多くの企業がオンプレミスのインフラから移行する中で、クラウド インフラへの攻撃は常に増加しています。Gartner のアナリストは、2025 年までに 85% 以上の組織がクラウドファーストの原則を採用すると予測しています。
2022 年第 4 四半期のテレメトリを分析する際に、以下のことが観察されました。
以下のセクションでは、弊社の顧客ベースにおけるクラウドベースの攻撃テレメトリ データの内訳を、さまざまなクラウド プロバイダー別に簡単に説明します。
2022 年第 4 四半期の AWS に関する MITRE ATT&CK 手法の分布
1.
有効なアカウント (T1078)
18%
2.
クラウド コンピューティング インフラストラクチャ変更 (T1578)
12%
3.
アカウント操作 (T1098)
9%
4.
クラウド アカウント (T1078.004)
8%
5.
ブルートフォース (T1110)
防衛策阻害 (T1562)
6%
6%
アカウント操作 (T1098)
IAM アイデンティティに添付された AWS 特権ポリシー
AWS S3 - バケット ポリシーの削除
有効なアカウント (T1078)
AWS Analytics コンソールへの異常なログイン
AWS Analytics API キーの異常な使用状況
AWS GuardDuty 異常なユーザー行動
AWS GuardDuty 匿名アクセス権付与
防衛策阻害 (T1562)
AWS CloudTrail ポリシーの CloudTrail への変更
AWS CloudTrail 証跡の削除
ファイル内の認証情報 (T1552.001)
AWS 秘密鍵が盗まれる可能性があることをアラートで通知
クラウドアカウントへのデータ転送 (T1527)
AWS CloudTrail S3 バケットの削除
AWS CloudTrail S3 バケット ACL の配置
AWS CloudTrail オブジェクト ACL の配置
2022 年第 4 四半期の Azure に関する上位 MITRE ATT&CK 手法
1.
有効なアカウント (T1078)
23%
2.
多要素認証 (T1111)
19%
3.
ブルートフォース (T1110)
14%
4.
プロキシ (T1090)
14%
5.
アカウント操作 (T1098)
5%
有効なアカウント (T1078)
Azure AD 危険なサインイン
いつもと違う場所からの Azure ログイン
アカウントによる Azure ログインが 60 日間見られない
ブルートフォース (T1110)
Azure 多要素認証の失敗
Azure ポータルに対するブルートフォース攻撃をグラフで表示
分散型パスワード クラックの試行をグラフで表示
多要素認証 (T1111)
Azure MFA は詐欺アラートのため拒否
Azure MFA はユーザーがブロックされたため拒否
Azure MFA は詐欺コードのため拒否
Azure MFA は詐欺アプリのため拒否
外部リモート サービス (T1133)
Tor ネットワークから Azure にサインイン
アカウント操作 (T1098)
Azure 異常ユーザーのパスワードリセット
2022 年第 4 四半期の GCP に関する MITRE ATT&CK 手法の分布
1.
有効なアカウント (T1078)
36%
2.
API による実行 (T0871)
18%
3.
アカウント検出 (T1087.001)
アカウント操作 (T1098)
防衛策阻害 (T1562)
クラウド コンピューティング インフラストラクチャ変更 (T1578)
リモート サービス (T1021.004)
各 9%
有効なアカウント (T1078)
GCP サービス アカウントの作成
GCP Analytics 異常なアクティビティ
GCP サービス アカウント キーの作成
リモート サービス (T1021.004)
GCP ファイアウォール ルールは、ssh ポートのすべてのトラフィックを許可
アカウント操作 (T1098)
GCP 組織の IAM ポリシー変更
アカウント検出 (T1087.001)
Alert ["gps ネット ユーザー"]
クラウドアカウントへのデータ転送 (T1527)
GCP ロギング シンクの変更
クラウド コンピューティング インフラストラクチャ変更 (T1578)
GCP 削除からの保護の無効化
Alfred Alvarado
Henry Bernabe
Adithya Chandra
Dr. Phuc Duy Pham
Sarah Erman
John Fokker
Lennard Galang
Sparsh Jain
Daksh Kapoor
Maulik Maheta
João Marques
Tim Polzer
Srini Seethapathy
Rohan Shah
Vihar Shah
Swapnil Shashikantpa
Shyava Tripathi
Leandro Velasco
Alfred Alvarado
Henry Bernabe
Adithya Chandra
Dr. Phuc Duy Pham
Sarah Erman
John Fokker
Lennard Galang
Sparsh Jain
Daksh Kapoor
Maulik Maheta
João Marques
Tim Polzer
Srini Seethapathy
Rohan Shah
Vihar Shah
Swapnil Shashikantpa
Shyava Tripathi
Leandro Velasco
Trellix Advanced Research Center によって特定された最も影響力のある最新の脅威を追跡するには、以下のリソースをご覧ください。
Trellix Advanced Research Center は、サイバーセキュリティ業界で最も包括的な憲章を掲げ、脅威を取り巻く環境全体の中で、新たな手法、トレンド、攻撃者の最前線に立っています。全世界のセキュリティ運用チームの主要なパートナーであるTrellix Advanced Research Center は、セキュリティ アナリストにインテリジェンスと最先端のコンテンツを提供することで、弊社の最新 XDR プラットフォームを支えています。さらに、Trellix Advanced Research Center の Threat Intelligence グループは、世界中のお客様にインテリジェンス製品やサービスを提供します。
Trellix は、サイバー セキュリティの将来と気持ちのこもった業務を再定義するグローバル企業です。今日の最も高度な脅威に直面している組織は、弊社のオープンでネイティブな eXtended Detection and Response (XDR) プラットフォームを使用することにより、業務の保護と耐久性に自信を持つことができます。Trellix は、広範なパートナー エコシステムとともに、機械学習と自動化を通じて技術革新を加速させ、生きたセキュリティによって 40,000 以上の企業や政府機関のお客様を支援しています。
この文書およびそこに記載されている情報は、教育上の目的および Trellix 顧客の利便性のみを目的としたコンピューター セキュリティ リサーチについて記述したものです。Trellix は脆弱性の適切な開示に関するポリシー | Trellix に従ってリサーチを進めています。記載されている行為の一部または全部を再現する試みは、ユーザーの責任において行われるものとし、Trellix およびその関連会社はいかなる責任も負わないものとします。
Trellix は、Musarubra US LLC または米国その他の国における関連会社の商標または登録商標です。その他の名前およびブランドは、他社の所有物である場合があります。