2022 Top Five Immediate Threats in Geopolitical Context
2022/12/26 TheHackerNews — 2022年も終わりに近づいているがが、この激動の年に最も懸念された脅威に対するテスト数を見ると、特定の脅威に対する脆弱度について、それぞれのサイバーセキュリティ・チームがチェックした、脅威ベースの視点が得られる。2022年1月1日〜12月1日に、Cymulate Security Posture Management Platform でレジリエンスを検証するために、最も多くテストされた脅威は以下の通りである。
Manjasuka:公開日 2022年8月
Cobalt Strike や Sliver フレームワークを彷彿とさせる、この新興の攻撃フレームワークは、より広く悪意の行為者に使用される可能性を秘めている。このソフトウェアは中国に由来し、Rust と Golang で書かれ、簡単な中国語のユーザーインターフェイス (以下のワークフロー) を持っている。
Manjasuka は、Windows/Linux を対象とする Rust インプラントを実装し、既製の C2 サーバを自由に利用できるようにし、カスタム・インプラントを作成することも可能になっている。
地政学的な背景
当初から、Manjasuka は犯罪利用を想定して設計されており、2023年は犯罪者による利用が増加するかもしれない。無償で配布されるため、Cobalt Strike/ Sliver/ Ninja/ Bruce Ratel C4 などの、市販フレームワークへの依存度を引き下げる可能性がある。
この記事の時点では、Manjasuka の作成者が、国家的な支援を受けていることを示す情報は存在しないが、以下に明示するように、中国における今年のアクティビティは、継続して活発である。
PowerLess Backdoor:公開日 2022年2月
Powerless Backdoor は、今年のイラン関連の脅威の中で最も高い人気を得ているのは、PowerShell の検出を回避するように設計されているからだろう。ブラウザ情報の窃取・キーロガーのダウンロード・データの暗号化と復号化・任意のコマンドの実行・キルプロセスの起動などの、機能を備えている。
<地政学的な背景>
イランに起因するダイレクトな脅威は、2022年は 8件から 17件へと急増し、2021年の2倍以上になっている。しかし、9月14日に、米国財務省の外国資産管理局 (OFAC) が、イランのサイバー・アクターに対して制裁を行ってからは、かなり減速しており、イランに起因する攻撃は1件に減少している。イラン国内における現在の政治的緊張が、2023年の攻撃頻度に影響を与えることは間違いないが、現時点において増加/減少を評価することは困難だ。
APT 41:公開日 2022年3月
2021年の時点において、すでに非常に活発であるとのフラグが立っていた APT41 は、2022年になっても減速の兆しが見えない、中国の国家に支援された攻撃者グループである。APT41 の活動に関する調査により、米国の州政府を標的とした意図的なキャンペーンの証拠が発見されている。
APT41 が使用するて偵察ツールとしては、Acunetix/Nmap/SQLmap/OneForAll/subdomain3/subDomainsBrute/Sublist3r などが挙げられる。また、攻撃タイプに関しては、フィッシング/水飲み場/サプライチェーンなどを持ち、さまざまな脆弱性を突いて、被害者を危険にさらしている。最近では、一般に公開されているツールである SQLmap を、攻撃のイニシャル・ベクターとして使用し、Web サイトに対して SQL インジェクションを仕掛ける状況が確認されている。
2022年11月の時点で、APT 41 に関連する新しいサブグループ Earth Longhi が加わったが、それ以前から ARIUM/Winnti/LEAD/WICKED SPIDER/WICKED PANDA/Blackfly/Suckfly/Winnti Umbrella/Double Dragon なども活動していた。なお、Earth Longhi は、台湾/中国/タイ/マレーシア/インドネシア/パキスタン/ウクライナなどの、複数の分野を標的としてきたことが確認されている。
<地政学的な背景>
Microsoft Digital Defense Report 2022によると、「中国からの攻撃の多くは、ゼロデイ脆弱性を発見/悪用する能力に裏付けられている」とされる。ゼロデイ脆弱性を、中国が収集できるようになったのは、国内企業が発見した脆弱性が他者と共有される前に、政府に報告することを義務付ける、新しい法律が施行されたという背景があるようだ」と述べている。
LoLzarus:公開日 2022年2月
LolZarus と名付けられたフィッシング・キャンペーンは、米国における防衛分野の求職者を騙そうとするものだった。このキャンペーンは、Qualys Threat Research により初めて確認され、北朝鮮の脅威アクターである Lazarus (Dark Seoul/Labyrinth Chollima/Stardust Chollima/BlueNoroff/APT 38)によるものとさた。この、北朝鮮の偵察総局に所属するグループは、政治的/金銭的な動機を持ち、2016年のSondy に対する攻撃や、2017年の WannaCry ランサムウェア攻撃で、注目を集めてきた。
LolZarus フィッシング・キャンペーンは、少なくとも2つの悪意の文書を用いて、エイリアスを用いるマクロにより API の名前を変更し、ActiveX Frame1_Layout により自動的に攻撃を実行するものだ。
Lockheed_Martin_JobOpportunities.docx
salary_Lockheed_Martin_job_opportunities_confidential.doc
このマクロは、WMVCORE.DLL ファイルを読み込み、制御を乗っ取り、Command and Control サーバへの接続を目的とする、第2段階のシェルコード・ペイロードを提供する。
<地政学的な背景>
今年、CISA がフラグを立てた、北朝鮮の別の2つの攻撃には、Maui ランサムウェアと暗号通貨窃盗のアクティビティが含まれる。Lazarus の サブグループ BlueNoroff は、今年は暗号通貨分野から枝分かれして、暗号通貨に接続された SWIFT サーバや銀行などを標的にしたとされる。Cymulate は、2022年1月1日以降において、Lazarus と7つの脅威を関連付けている。
Industroyer2:公開日 2022年4月
ロシアからの侵攻に対抗する、ウクライナにおける高警戒態勢は、高電圧変電所を標的としたサイバーフィジカル攻撃の試みを阻止することで、その有効性を示した。この攻撃は、2016年の Industroyer サイバー攻撃にちなんで、Industroyer2 と名付けられていた。その狙いは、ウクライナの発電所を標的にしたが、キエフの一部を1時間ほど停電させるという、最小限の成功を収めたようだ。
Industroyer2 のカスタマイズされたターゲティングのレベルには、特定の変電所に対する固有のパラメータを、静的に指定する実行可能なファイル・セットが含まれていた。
<地政学的な背景>
残念なことに、ウクライナの重要施設を保護するためのサイバー耐性は、膨大な運動量を持つ (kinetic) 攻撃には無力であり、また、現在のロシアは、発電所などの民間施設を破壊するために、より伝統的な軍事手段を選択しているように見える。ENISA によると、ウクライナとロシアの紛争の副作用として、政府/企業/エネルギー/輸送/銀行/デジタルインフラなどの、重要な分野に対するサイバー脅威が再燃しているとのことだ。
ーーーーー
結論として、今年の最も懸念された5つの脅威のうち4つは、国家がスポンサーとなっている脅威アクターとのダイレクトな関係があり、5番目の脅威の背後にいる脅威アクターは不明である。したがって、サイバーセキュリティ・チームにとっての、最も切実な脅威懸念の根底には、地政学的な緊張があるように思われる。
一般的に、国家を後ろ盾とする攻撃者は、大半の企業がアクセスできないサイバー・リソースを標的としている。したがって、こうした複雑な攻撃に対する先制防御は、セキュリティの検証および、状況に応じたセキュリティ・ギャップの特定/解消に焦点を当てた、継続的なプロセスに集中する必要がある。
Cymulate プラットフォームを用いて、最も多くレジリエンス検証が行われた APT という、とても興味深いレポートがベースになった記事です。2022年5月24日の「ダボス会議のインターポール:国家が開発したサーバー兵器がダークウェブで売られる日も近い」には、「脅威アクターたちは、軍が作成した悪意のコードに対して、リバース・エンジニアリングを行って攻撃に使用する可能性がある。そこには、偽旗作戦も含まれる」と記されています。APT とサイバー・ギャングの境目が、徐々に曖昧になってくのでしょうか。
参考:Gartner : Quick Answer: What Are the Top and Niche Use Cases for Breach and Attack Simulation Technology?
IoT OT Security News 
You must be logged in to post a comment.