冷酷化、大規模化、高度化―― 2021 年、サイバー犯罪はどう進化したか

本ブログ記事は、2022年4月28日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。
 

2021 年、サイバー攻撃の脅威グループは攻撃の範囲を広げつつ高度化も進めました。重要なインフラシステムや民間の標的を特に激しく攻撃し、数々成功をおさめ、世界の注目を集めました。これにより脅威グループの存在感は大きく高まったといえるでしょう。　例えば、HAFNIUM Group による Microsoft® Exchange Server のエクスプロイトや、Kaseya 社と SolarWinds 社に対するサプライチェーン攻撃などの侵害がニュースを賑わせました。一方、米国司法省が Ransomware and Digital Extortion Task Force （ランサムウェアおよびデジタル恐喝に関するタスクフォース）を設立しても、ランサムウェアの猛威は衰えることなく拡大を続けました。
 

Cobalt Strike の誤使用

2021 年、BlackBerry は 7,000 台以上の Cobalt Strike Team Server と 6 万台の Beacon から分析情報とトレンドを収集しました。そこから得られた脅威インテリジェンスは、2022 年版 BlackBerry® 脅威レポートに掲載し、詳細については電子書籍「Finding Beacons in the Dark: A Guide to Cyber Threat Intelligence（サイバー空間の闇に灯るビーコンの見つけ方）」で紹介しています。
 

最近では、次のことが明らかになりました。

• 脅威アクターが Cobalt Strike のホスティングを正規のクラウドプロバイダに移行する傾向が強まっている。
• ポート 80、443、8080 がほとんどの環境で開放されており、コマンドアンドコントロール（C2）トラフィックに最適なポートとなっている。
  
• 2021 年に Cobalt Strike Beacons が使用されて、ドメインフロンティング、DNS リダイレクタ、プロセススポーン、Malleable プロファイルのマスキング、流出した公開鍵による C2 インジェクション攻撃が実行された。
  
  

サプライチェーン攻撃の急増

2021 年、脅威アクターはサプライチェーンに焦点を当て、かなりの成功を収めました。以下の理由から、サプライチェーンは脅威グループにとって魅力的な標的となっています。

• サプライチェーンは、複雑かつ広範囲にわたるため、効果的な保護が困難である。
• サプライチェーンへの攻撃が成功すれば、一度に複数の標的に深刻な影響を与えることが可能となる。
  
• 多くの企業はいまだにサプライチェーンを盲信しているため、このような攻撃にサイバーセキュリティ対策の迂回を許している。
  
• サプライチェーンの可視化が不十分なため、脅威の監視とフォレンジックに対する重大な課題となっている。
  

最近のサプライチェーン攻撃の 50% に関して犯行を認めているのは APT グループです。その成功率は、このような攻撃がさらに増えることを示しているのかもしれません。
 

Log4j/Log4Shell エクスプロイト

Log4jは、無数のフレームワークやアプリケーションで使用されているオープンソースのロギングパッケージです。昨年、これに深刻な脆弱性があることが発見されました。この脆弱性は、影響を受けやすいアプリケーションに特別に細工されたテキストスニペットを送り込むことで悪用でき、リモートでコードを実行することが可能となります。
 

Log4Shell がやっかいなのは次の理由からです。

• 発覚直後から、この脆弱性を標的にする攻撃が1 時間当たり数百万件あった。
• どのアプリケーションやサービスにリスクがあるかがわかりにくい。
  
• 悪意のあるソフトウェアを使用しないため、多くのセキュリティツールが検出できない。
  
• Log4j は広く利用されているため、数年にわたる問題となる可能性がある。
  
  

一般的ではないプログラミング言語

マルウェアファミリーのラッパーやローダーの開発、リライト、作成を行う際に、一般的ではない言語が使用されることが多くあります。この方法は昨年、次のような理由から頻繁に使用されました。

• 性能向上
• セキュリティツールの迂回
  
• シグネチャベースのアンチウイルスの妨害
  
• 複数 OS へのクロスコンパイル
  

BlackBerry は、最近はGo、D、Nim、Rust が採用されていることを確認しています。

初期アクセスブローカー（IAB）

BlackBerry Research and Intelligence チームは、これまで知られていなかったZebra2104という IAB を特定しました。IAB は、組織のネットワークに不正にアクセスし、そのアクセスできる状態をダークウェブで販売します。包括的な調査により、Zebra2104、MountLocker、Phobos、StrongPity （Promethium）の間にある関係を発見しました。
 

2021 年の主な攻撃のタイプ

Ransomware
2021 年に大きな注目を集めたサイバー攻撃の中には、背後に RaaS （Ransomware-as-a-service）プロバイダが存在するものがありました。いくつかのグループは、コロニアルパイプラインの攻撃後に閉鎖されましたが、それらに代わって他のグループが台頭してきました。現代のランサムウェアは、サービスとしてクライアントに提供されることが多く、暗号化したデータを持ち出し、それを公開すると脅すという、二重恐喝のスキームを用いることがあります。

2021 年に特に多かったランサムウェアの系統は、次のものです。

• REvil （別名 Sodin またはSodinokibi）
• Conti
  
• DarkSide（消滅）
  
• Avaddon
  
• Ragnar Locker
• Hive
  
  

インフォスティーラ
インフォスティーラは収集する情報によってさまざまなものがあります。収集する情報には、ウェブデータ、認証データ、クレジットカード情報、暗号ウォレット、FTP データなどがあります。2021 年に特に目立ったインフォスティーラは、次のものです。

• RedLine
• Agent Tesla
  
• Ficker
  
• Hancitor (aka Chanitor)