Attackers Moving Faster Inside Target Networks
2021/09/09 DarkReading — セキュリティ研究者たちの報告によると、金銭的な動機を持った攻撃者や国家に支援されたグループは、標的となるネットワークに侵入し、足場を確保した後に、横方向へと移動する能力を高めている。CrowdStrike の Falcon OverWatch チームは、「2021 Threat Hunting Report」の中で、平均ブレイクアウト・タイム (攻撃者が最初のアクセスポイントからターゲット・ネットワーク内の他システムへ横方向に移動し始めるまでの時間) を、大幅にスピードアップしたと指摘している。
2020年7月1日〜2021年6月30日の平均は1時間32分だが、前年と比較すると3分の1に減少し、また、攻撃者の 36% は 30分以内に移動しているという。OverWatch の VP である Param Singh は、平均ブレイクアウト時間を下げる要因として、RaaS (ransomware-as-a-service) の存在を挙げている。私たちは、「RaaS が重要な役割を果たしていると考える。脅威アクターたちは、自動化ツールを開発し、ダークウェブで販売している。それらは、誰でも簡単に購入できるため、横方向への移動も自動化され、ブレイクアウト・タイムの短縮が実現される」と述べている。
価値の高いデータや資産を狙う、大物狩りランサムウェア運用者の多くは、被害者から金銭を引き出す手段として、摂取したデータを公開するという脅しを行っている。それらのギャングの中には、データ流出専用の Web サイトを構築し、支払いに応じない被害者のデータを公開するものも少なくない。
このところ、頻繁に発生している、警察や州政府など標的とする攻撃は、脅威アクターたちが如何に大胆で狡猾になっているかを物語っている、と Param Singh は指摘する。暗号通貨による匿名性と、RaaS プラットフォームの手軽さが、攻撃者に大きな自信を与えているのだ。
彼は、「RaaS が大きな役割を果たしているのは、参入障壁を取り払ってくれるからだ。技術者でなくても、悪意のコードをプログラミングしていなくても、このビジネス・モデルを利用できる。盗まれた認証情報をダークウェブで簡単に購入し、ターゲットの環境にアクセスし、既製の RaaS サービスを利用して攻撃を仕掛けられる」と付け加えている。
また、これらのサービスには、優れたドキュメントが用意されているため、ネットワーク上を攻撃者が素早く移動する能力が、さらに高まったと指摘している。RaaS の運営者は、医療機関や金融機関などの、潜在的な被害者をターゲットにするための、ステップバイステップの手順を提供している。これまでは、攻撃の際に必要だった偵察のプロセスが、それにより自動化されることになった。
また、金銭的な動機を持った攻撃者は、標的とするネットワークで、より多くの時間を過ごすようになってきたが、これは歴史的に見ても、国家支援グループによく見られる手法である、と Param Singh は付け加えている。ランサムウェアの攻撃者は、侵入に成功した後に拠点を維持し、マルウェアをスリーパーセルとして配置し、攻撃のタイミングを待つ。最初のキャンペーンから数カ月後に、再びプログラムを実行するのだ。
研究者たちは、CrowdStrikes が Spider として追跡している、eCrime という名の 13 のグループの活動を観察してきた。その中でも、最も活発に活動しているのが Wizard Spider と呼ばれるグループであり、他の犯罪グループと比べて2倍の侵入回数を記録している。Wizard Spider は 2016年から活動しており、東欧/ロシアに由来すると、CrowdStrike は指摘している。
Wizard Spider は、この1年間の攻撃の半分以上で Cobalt Strike Beacon を展開しているが、その他にも、Ryuk ランサムウェアおよび、Windows バックドア・アクセス の BazarLoader、Active Directory 検索の AdFind といったツールも使用している。その手法に大きな変化はないが、長期的なアクセスを維持する能力が向上していると、Param Singh は指摘している。また、標的となるネットワークを感染させた後に、ログの削除やシステムの清掃など、痕跡を消すことに長けているため、その活動を追跡することが困難になってきている。
国々に対する追跡
2021年6月30日までの1年間に、中国を拠点とする攻撃者は高頻度の活動を維持し、知的財産の盗用や情報収集を目的とした、持続的かつ広範囲なキャンペーンを繰り返していると、研究者は報告書で説明している。北朝鮮を拠点とするグループは、一貫した活動レベルを示し、ツールセットの改善を続けている。
電気通信業界は、国策攻撃の主要な標的となっており、過去1年間の標的型攻撃の 40% を占め、その他の分野であるテクノロジー/ヘルスケア/政府/学術界上回っていることが判明した。Param Singh は、「この種の攻撃には地政学的な要素が絡んでいる。また、それらの攻撃者たちは、組織を標的にすることで、そのサービスを利用する潜在的被害者を増やしていく」と述べている。
研究者たちによると、中国/北朝鮮/イランの攻撃グループは、ほとんどの APT (Advanced Persistent Threat) 活動の源となっているという。しかし、この1年の間で、国家が関与していると疑われるが、攻撃グループを特定できないケースが増加しているという。つまり、攻撃者が使用する一次ツールセットが既製品になったことで、その木属性を調査することが難しくなっているのだ。
脅威を検知した後に、OverWatch が対応する方法について、「二次ツールはユニークなものだが、当社の場合は、キルチェーンの初期段階で攻撃を阻止したいので、最初のアクセス後にブロックする」と、Param Singh は述べている。つまり、攻撃者が最初のアクセスに使用する、プライマリ・ツールセットは追跡するが、セカンダリ・ペイロードは侵入者の特定を容易にすることになる。
脅威アクターたちは、万全の準備を整えてから、攻撃を開始するというわけですね。文中にもあるように、その準備が、最適化された RaaS により簡単に整うようになったことが、脅威の破壊力を高めています。先日に「REvil ランサムウェアの謎:だれがオンラインに戻したのか?」をポストしましたが、この週末から活動を再開したそうです。現時点において、REvil は最強だと思います。気を付けていきましょう。
IoT OT Security News 