Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

四半期レポート:2019 年秋におけるインシデント対応の傾向


2020年2月14日

過去 2 四半期では、Cisco Talos インシデント対応(CTIR)業務の多くに共通パターンが見られてきましたが、この冬は危険な傾向が浮かび上がっています。新たな傾向では、機密データを盗み出し、それをデータ暗号化と組み合わせることで身代金を払わせる手口が拡大しています。

標的の絞り込み

これまでと同じく、報道機関、政府、医療、製造業など、さまざまな業種が狙われています。その中で最も多いのは製造業を狙ったケースです。今期の対応件数は前四半期とほぼ同じでした。

脅威

今四半期は、Web アプリケーションのエクスプロイトが拡大し、Web サイトの書き換えインシデントや新たな検出回避手口が見つかるなど、新展開もありましたが、やはり目立ったのは依然として続く Trickbot の脅威です。Trickbot の脅威が特に顕著なのは、Ryuk などのランサムウェア用のドロッパー(Dropper)として使われている場合です。Trickbot と Ryuk は前記に引き続き今期も最大の脅威でした。一般的なケースでは、悪意のあるリンクやドキュメントが添付されたフィッシングメールを被害者が受信し、そこから Trickbot がダウンロードされます。攻撃者は、PowerShell、Empire、Bloodhound などのオープンソースツールを Trickbot と併用して被害者を絞り込みます。そして最終的には休眠時間を経て Ryuk を取得し、身代金を要求します。ここでの休眠時間がほぼ 1 年に達したケースもありました。

Ryuk を特殊な方法で侵入させるケースも確認されました。最初に Trikbot を潜り込ませた後、通常は PsExec を利用する場面で、Ryuk をグループ ポリシー オブジェクトとして Active Directory 環境全体に展開させたのです。

今四半期に確認された上位の脅威は前期とほぼ同じですが、トロイの木馬「Emotet」は感染件数が大幅に減少しました。前期と異なる別の点として、今期は不正マイニングが確認されませんでした(ただし冬期には再び確認されました)。その一方で、Lokibiot や Avemaria などの情報窃取マルウェア、ASP Web シェル、ツールキット「Frenchy」など、前期には見られなかったマルウェアが確認されました。

初期ベクトル

上位の感染ベクトルは依然としてフィッシングでした。Web アプリケーションのエクスプロイト件数がさらに増えていることも確認されました。これらの中には、Palo Alto Networks 社の GlobalProtect SSL VPN で発見されたバグなど、新しい脆弱性のエクスプロイトも含まれています。また、被害者の GitHub アカウントに侵入され、そこに保存されていた Amazon 管理アカウントのログイン情報が盗まれるなど、サードパーティが侵害されるケースも確認されました。

侵入後のアクティビティ

侵入後のアクティビティは前期からほぼ変わっていません。具体的には、データを暗号化してコマンドアンドコントロール(C2)サーバに接続する、侵入先のネットワーク全体を水平方向に移動する、などです。ただし今期は Web サイトの書き換えインシデントが起きたほか、検出が回避されるケースが増えています。

今後の展望

今回の記事は 2019 年秋に関するものですが、2019 ~ 2020 年の冬シーズンを占う最初の兆候がすでに観察されています。ランサムウェア攻撃で機密情報を盗み出し、身代金を支払わなければ公開すると脅す手口の拡大です。

同じ攻撃者に起因する 2 件の対応業務では、まさにその手口が確認されました。どちらのインシデントでも、攻撃的なセキュリティツール「CobaltStrike」によってネットワークに侵入された後にデータが収集され、PowerShell を使用して FTP サーバに送信されていました。最終的にはランサムウェア「Maze」に感染したのです。

この攻撃者は、他のセキュリティ研究者によっても追跡されてきました。身代金を支払わなければ公開すると脅したうえ、一部のケースでは実際に公開したpopup_iconからです。これは、ランサムウェア攻撃における重大で危険な変化を浮き彫りにしています。データが公開された場合の被害は甚大になるため、重要データのバックアップといった適切な対策が取ってある場合でも、身代金を支払わざるを得なくなるのです。同時に、標的絞り込み精度の向上も裏付けています。身代金を支払う可能性は企業のサイズに比例する、と攻撃者は考えているかもしれません。それを裏付けるインシデントpopup_iconもすでに起きています。

この件に関しては、次の四半期のレポートで詳しくお伝えする予定です。

 

本稿は 2020年2月5日に Talos Grouppopup_icon のブログに投稿された「Quarterly Report: Incident Response trends in fall 2019popup_icon」の抄訳です。

 

Tags:
コメントを書く