原文のブログはこちらからご覧いただけます。
昨今の脅威アクターは、組織に攻撃を仕掛ける際、どのサイバー兵器を最も多く使用しているのでしょうか?その内訳はマルウェア、バックドア、インフォスティーラなどさまざまです。また、これらのツールの一部を使用することで、金銭目的のサイバー犯罪者と国家的な脅威アクターとの境界線が曖昧になっています。
たとえばインフォスティーラは、サイバー犯罪に特化した初期アクセスブローカー(IAB)がネットワーク内に足場を確保するために長年利用されてきました。しかし現在では、国家とつながりのある脅威アクターがこのアプローチを採用することも増えています。
こうした事実は、BlackBerry の Threat Research & Intelligence チームが作成した新しいグローバル脅威インテリジェンスレポートから得られる洞察のごく一部です。このレポートは、2022 年 12 月から 2023 年 2 月までの 90 日間を対象とした同チームの分析に基づいています。
BlackBerry のチームは、CylanceENDPOINT™ でブロックし、オープンソースインテリジェンス(OSINT)によって監視してきた 150 万件以上のサイバー攻撃の分析結果から、使用頻度の高いいくつかのサイバー兵器を明らかにしました。以下では、さまざまな脅威アクターが採用している最新のサイバー兵器について解説します。
APT28(別名 Sofacy)は、高度な技術と豊富な資金を持つサイバー諜報活動グループであり、ロシア政府の意向を受けて活動していると考えられています。少なくとも 2007 年から活動しており、政府、軍事、防衛関連企業、エネルギー企業など幅広い業界を標的としています。APT28 は、Operation Pawn Storm や Operation Sofacy といった複数の APT キャンペーンに関連しています。同グループは Sednit(別名 Sofacy、X-Agent)、Komplex、Zebrocy など、さまざまなカスタムメイドのマルウェアや一般公開されたマルウェアを使用しており、スピアフィッシングやソーシャルエンジニアリングの手口で標的への初期アクセスを獲得することで知られています。
Linux を対象とするバックドア型マルウェア Tsunami は、侵害済みマシンへのリモートアクセスを確保するために広く用いられています。いくつかの特定グループ(TeamTNT など)が Tsunami に関連付けられていますが、このマルウェアはその他のサイバー犯罪者にも使用されています。マルウェアのインストール後には、攻撃者が感染システム上で任意のコマンドを実行し、ファイルをアップロードおよびダウンロードして、各種のシェルスクリプトを実行することが可能となります。
Linux を対象とするトロイの木馬型マルウェア XOR DDoS は、2014 年の発見以来、高度なマルチベクトル型 DDoS(分散型サービス妨害)攻撃を行うことで知られています。XOR DDoS は、脆弱なログイン認証情報、デフォルトのログイン認証情報、または古いソフトウェアの脆弱性を悪用し、システムに感染します。インストール後には C2(コマンドアンドコントロール)インフラを介して感染済みマシンのボットネットと通信し、DDoS 攻撃を開始します。これまでに多くサイバー犯罪者が XOR DDoS を採用し、サーバーや Web サイトに対する標的型攻撃を編成しています。このマルウェアは、特に Linux® を搭載した IoT デバイスへの攻撃が増加していることの一因となっています。
PlugX は RAT(リモートアクセス型トロイの木馬)の一種であり、攻撃者が感染システムを制御し、機密データの抜き出しやユーザーアクティビティの監視といった種々の悪意ある活動を実施できるようにします。感染システム上でのこうした活動を円滑に行うため、攻撃者は多くの場合、キーロガーやランサムウェアなど他のマルウェアと PlugX を組み合わせて使用します。PlugX はステルス機能を持つことでも知られており、システム上での検知と駆除が困難です。その拡散手段は、フィッシングメール、ドライブバイダウンロード(同意を得ずプログラムをインストールさせる手法)、ソフトウェア脆弱性の悪用などさまざまです。マルウェアがシステムに感染すると、リモートの C2 サーバーへの接続が確立され、攻撃者による感染システムの遠隔制御が可能となります。
PlugX は、国家支援型のハッキンググループとの見方が強い APT10、APT17、APT27 など複数の脅威アクターに長年使用されているほか、Emissary Panda、Deep Panda、KHRAT といったサイバー犯罪組織でも採用されています。これまでに、政府機関や防衛関連企業のほか、医療、金融、テクノロジーなどさまざまな業界の企業への標的型攻撃に使用されています。
BlackBerry の Threat Research & Intelligence チームは、Meterpreter ペイロードを用いた侵入の試みを複数発見しています。Meterpreter は強力なポストエクスプロイトツールであり、攻撃者が侵害済みのシステムを制御し、任意のコマンドを実行するために使用されています。Meterpreter ペイロードはしばしばサイバー犯罪や敵対者シミュレーションアプリケーションに関連しており、国家支援型の攻撃でも確認されています。Cobalt Strike や Meterpreter は、サイバー犯罪関連の攻撃と国家支援型の攻撃の境界線を曖昧にする目的で使用されることがよくあります。Meterpreter は APT41、FIN6、FIN7、FIN10、FIN11、GCMAN、MuddyWater、Silence、Turla など、さまざまな脅威グループに幅広く採用されています。
サイバー犯罪者は、侵害済みのシステムから重要情報を収集する目的で RedLine インフォスティーラを頻繁に展開しています。このマルウェアは調査期間中の多くの攻撃で確認されており、特定の脅威アクターとの直接的な関連はありません。RedLine はデータの窃取だけでなく、ネットワーク侵入の初期アクセスを促進する目的でも広く用いられています。これらのアクセス権は、後に IAB サービスや地下市場を介して販売される可能性があります。RedLine による侵害が成功すると、多くの場合はさらなる攻撃(ランサムウェアなど)が後に続き、初期の侵入の影響が拡大します。
新たな攻撃やツールが開発され、脅威アクターに採用されるにつれて、脅威環境は拡大し続けています。このように流動的で変化が激しい状況は、文脈に沿ったサイバー脅威インテリジェンス(CTI)が防御側にとって極めて重要になりつつある理由を浮き彫りにしています。
BlackBerry のチームによる分析の詳細については、グローバル脅威インテリジェンスレポートをご覧ください。併せて、文脈に沿った実用的な CTI サブスクリプションサービス CylanceINTELLIGENCE™ もご検討ください。このサービスは、高度な脅威に対する予防、ハンティング、対応でお客様の組織を支援します。
.png)
