Cisco Talos インシデント対応(CTIR)チームによる IR 業務の大部分を占めているのは、これまでと同様に、ランサムウェアおよび商用化されたトロイの木馬です。前回の四半期レポートで言及したとおり、ランサムウェアを利用する攻撃者は、機密情報を公開すると脅して、身代金の支払いを強いる手口に乗り出しています。また、前四半期には鳴りを潜めていた DDoS および暗号通貨マイナーの脅威が、2020 年の春に再び活発化しています。2019 年 11 月から 2020 年 1 月までの情報を見ると、最上位の脅威は今でもランサムウェアです。最も蔓延している Ryuk については、いくつかの変化が見受けられます。
被害者の内訳
エネルギーおよび公益事業、卸売および流通、スポーツくじ、運輸、医療、政府機関、製造、不動産、金融サービス、電気通信、教育、小売など、多種多様な業種が再び標的となっています。狙われることが最も多い業種は、前四半期の製造業から、金融サービスおよび政府機関へと変化しています。
脅威
今四半期については、新たな傾向がいくつか浮かび上がっています。たとえば、ランサムウェアを利用する攻撃者が新たな恐喝手法を試みていること、レッドチーム用のツールである Cobalt Strike の利用拡大が認められること、Citrix Application Delivery Controller の脆弱性(CVE-2019-19781)のエクスプロイトが増えていることなどです。その一方で、ランサムウェア(特に Ryuk)や、Emotet、Trickbot といった商用化されたトロイの木馬が脅威をもたらしている状況は今四半期も変わっていません。
たとえば、ある製造業の企業は、電子メールを媒介として Emotet に感染した可能性があります。Emotet に感染すると Trickbot がダウンロードされます。攻撃者は Trickbot を利用してネットワーク全体を水平方向に移動し、権限を昇格させます。そしてさらに、オープンソースのツールである Meterpreter を利用して Ryuk を潜入させます。CTIR は、攻撃者が Ryuk をグループ ポリシー オブジェクト(GPO)として Active Directory(AD)環境にプッシュしていたことも把握しています。
ランサムウェアを利用した恐喝
ランサムウェアを利用する攻撃者は、身代金の支払いを強いるもうひとつの手法として、機密データの漏えいを始めています。この手口は、ランサムウェア「Maze」を利用する攻撃者が関与した 2 つの事案への IR 業務で確認されたものです。攻撃者は機密情報を FTP サーバに秘密裏に転送し、身代金を支払わなければ公開すると脅します。Maze を利用している集団は、標的組織の情報を公開するためパブリックの Web サイトを構築するなど、この戦術を継続的に用いています。
また、政府機関が標的となった別のランサムウェアインシデントでは、身代金要求の文書と感染した重要システムのスクリーンショットが、Active Directory(AD)の構造を含め攻撃者によって Twitter 上で公開されていました。攻撃者は、身代金が支払われない場合、機密情報をさらに公開すると脅したのです。
Sodinokibi、Nemty、DoppelPaymer、Nefilim、CLOP、Sekhmet といったランサムウェアによって追随する攻撃者も現れ始めています。支払いへの圧力がさらに強まるだけでなく、バックアップの維持といったこれまでのランサムウェア攻撃対策も通用しなくなるため、きわめて危険な傾向です。
初期ベクトル
ロギングの量が十分ではないため、ほとんどの IR 業務では初期ベクトルを明確に特定することが困難でした。ただし、初期ベクトルを特定できた事例や合理的に推測できた事例に基づく限り、最多の感染ベクトルは依然としてフィッシングです。CTIR では、Web アプリケーション、特に Citrix Application Delivery Controller(CVE-2019-19781)のエクスプロイトが引き続き発生していることも認識しています。
今後の展望
ランサムウェアの流行は第 3 四半期も続いています。最も蔓延している亜種が Ryuk であることも変わりません。ただし CTIR の認識では、今四半期、いくつかの点で Ryuk に変化が表れました。前四半期とは対照的に、Emotet および Trickbot が Ryuk の初期ドロッパーとなっている IR 業務は減少しています。Ryuk による攻撃で利用されているのは、初期ペイロードをダウンロードするためのエンコードされた PowerShell コマンドです。非表示の管理共有に GPO 経由でバッチファイルを配布して、PowerShell でセキュリティツールやウイルス対策ツールを無効化し、バックアップを阻止するという手口です。CTIR では、ネットワーク検出用の一般的な PowerShell スクリプト(「Get-DataInfo.ps1」)を攻撃者が利用して、ネットワーク全体をスキャンし、オンラインホストとオフラインホストを識別するスキャン出力を得ていることも把握しています。
また、PSExec を利用して Ryuk を展開する手法から、Windows Management Instrumentation(WMI)、BITSAdmin、レッドチーム用のフレームワークである Cobalt Strike を利用する手法へと Ryuk 攻撃者が切り替えていることもわかっています。
本稿は 2020年4月13日に Talos Group のブログに投稿された「 Quarterly Report: Incident Response trends in Spring 2020」の抄訳です。