Trellix、2021年第3四半期 脅威レポートを発表

高度で持続的な攻撃者とランサムウェアグループによる金融サービスへの“狙い撃ち”が明らかに

ニュースハイライト 

・最大の標的は金融業界で、検出されたランサムウェアの22％、APTの37％ 

・金融業界で公開されたサイバーインシデントは2021年第2四半期比21%増。 

・モニターされたAPT活動の約半数は、ロシアや中国が支援するグループ由来 

・国家の攻撃者とみられる脅威の攻撃者によって悪用されたCobalt Strike攻撃スイートは、APT活動の3分の1以上で検出 

・Living off the Land （LotL）攻撃は、PowerShellとWindows Command Shell（CMD）を悪用して被害者のシステムにアクセス 

・Formbook、Remcos RAT、LokiBotがマルウェア検出数の8割近くに 

Trellix（トレリックス）は、「Advanced Threat Research Report：2022年1月版」を発表しました。Trellixは、McAfee EnterpriseとFireEyeの統合会社の社名およびブランド名称です。本レポートでは、2021年第3四半期におけるサイバー脅威に関連する、サイバー犯罪者の振る舞いとサイバー脅威の動向を調査した内容をまとめ、お伝えしています。オンラインフォーラムでのランサムウェア活動を禁止する罰則を科されたにもかかわらず、ハッカーグループは別のペルソナを使って、ますます多くのセクターに対してランサムウェアの実行を拡大させていたことが明らかになりました。最も頻繁に攻撃を受けた業界は、金融、公益事業、小売で、ランサムウェア検出数の60%近くを占めたと報告されています。 

Trellixのチーフサイエンティスト兼フェローであるラージ・サマニ（Raj Samani）は、次のように述べています。「2021年はパンデミックの再燃やLog4jの脆弱性の発見に注目が集まりましたが、当社の第3四半期のサイバー脅威の活動に関する詳細な調査では、ランサムウェアグループや世界の高度な攻撃者の間で、注目すべき新しいツールや戦術を明らかにしています。このレポートでは、ランサムウェアグループのペルソナの使用と悪用、国家的なAPT攻撃が金融などの重要産業に深く入り込もうとする方法、ネイティブのMicrosoftのシステムツールを新しい手段で悪用する新手の環境寄生型（living off the land）攻撃について可視化しています。 

ランサムウェアグループの再登場 

2021年第3四半期、活動を停止したと主張するDarkSideランサムウェアグループがBlackMatterとして復活したことをTrellixは確認しました。BlackMatterは、DarkSideが米コロニアル・パイプラインに対する攻撃で使用したのと同じ手口を多用しており、身代金を支払わなければ被害者のデータを公開すると脅す、二重脅迫の手法を引き続き利用していました。 

同四半期には、数日間にわたって数百店舗のスーパーマーケットを休業に追い込んだKaseya VSAに対するランサムウェア攻撃を実行したと主張するランサムウェアファミリーのREvil/Sodinokibiが、第2四半期同様にランサムウェアのまん延を主導しており、Trellixが検出したランサムウェアの半分近くを占めていました。日常生活に欠かせない燃料、穀物、食糧供給などのシステムに対するランサムウェアの影響が拡大する中、米国政府は、サイバー課題の推進と影響の軽減に向けた一歩として、国内の重要インフラに対するサイバー活動に関与する攻撃者を特定・追跡することを目的にStopRansomware.govを立ち上げました。 

成熟する高度なパターン技術 

Trellixは、攻撃の実行に使用されるツールを明らかにするための、侵害の指標の特定を通じて、熟練のAPT攻撃グループがセキュリティ制御を回避して攻撃を実行する際に用いる技術の成熟度を観察しています。2021年第3四半期には、Cobalt Strikeのようなセキュリティ実行ツールが国家の攻撃者によって悪用され、被害者のネットワークへのアクセス権を獲得していたことが明らかになりました。Cobalt Strikeは、エシカルハッカーが攻撃手法の研究やインシデント対応の向上のために一般的に使用する敵対者シミュレーションツールで、追跡したAPT攻撃の3分の1以上で検出されました。Mimikatzは、被害者のネットワークにさらにアクセスしたり、被害者のデバイスにアクセスした後にユーザー権限を昇格させてタスクを実行したりするためのポストエクスプロイトツールで、これも攻撃の4分の1以上で検出されました。 

また、Trellixでは、2021年第3四半期に以下のようなAPT攻撃を確認しました。 

・2021年第3四半期には、ロシアと中国が支援するグループによるものとみられる脅威活動が、確認されたすべてのAPT攻撃の半分近く（合計46％）を占めていました。これは、利用可能な技術的指標の分析に基づくものです。 

・Trellixが追跡したAPT攻撃のうち、40%近くが金融業界を標的としており、次いで公益事業、小売、政府機関でした。 

環境寄生型の拡散 

2021年第3四半期は、膨大な悪意ある攻撃者がターゲットシステム上に既にあるソフトウェアを利用して攻撃を実行していました。ターゲットのシステムにもともと備わっているソフトウェアや機能を利用する環境寄生型（Living off the Land、LotL）は、国家の攻撃者や大規模犯罪組織が高度なツールの開発を回避するために頻繁に利用されています。 

Trellixは、検出されたLotLのうち、コマンドを実行してアクセスする際にPowerShellを使用したケースが42％、Windows Command Shell（CMD）を使用したのが40％だったことを確認しました。その他、一般的なネイティブなオペレーティングツールではRundll32、WMIC、Excel、管理用リモートサービスツールではAnyDesk、ConnectWise Control、RDP、WinSCPが使用されていました。 

2021年第3四半期の脅威動向 

身代金の支払い：REvil/Sodinokibiは、100万件超の感染に成功し、7,000万米ドルを要求したと主張しています。これは、これまでに公表された身代金では最高額です。 

APT MITRE ATT&CK テクニック：スピアフィッシングの添付ファイル、難読化されたファイルまたは情報、PowerShellは、最も一般的なAPT MITRE ATT&CK手法で、2021年第3四半期の検出数の半分近くに達しました。 

産業別動向：公開されている中で、金融サービスでのサイバーインシデントは第3四半期に21%増加し、セクターのトップとなりました。また、検出されたランサムウェアのサンプルとAPTグループの攻撃においても、全業界の中でトップでした。 

マルウェアファミリー：2021年第3四半期に検出されたマルウェアのうち、Formbook、Remcos RAT、LokiBotが約80%となり、Formbookは3分の1以上で検出されました。2021年第3四半期に報告されたインシデントでは、マルウェアが最も多く使用された手法でしたが、2021年第2四半期と比較して24%減少しています。 

地域別動向：第3四半期を地域別で見ると、ロシアでは検出されたインシデントが79%減少した一方、フランスでは400%の増加となるなど、重点が置かれる地域に振れがありました。2021年第3四半期に最も多くのインシデントが報告されたのは米国でしたが、インシデント数は2021年第2四半期から9%減少しました。 

参考情報： 

Advanced Threat Research Report: 2021年10月版 

Trellix Threat Center（英語） 

Log4Jとメモリ： スキャン機能と検知の解説 

Trellixについて 

Trellixは、サイバーセキュリティの未来を再定義するグローバル企業です。オープンかつネイティブなTrellixのXDR（Extended Detection and Response）プラットフォームは、現在最も高度な脅威に直面するお客様が業務の保護や回復に確信を持って対応するための支えとなります。Trellixのセキュリティ専門家は、広範なパートナーエコシステムとともに、データサイエンスと自動化によりテクノロジーイノベーションを加速させ、4万を超える企業や政府機関のお客様の力となっています。