Advanced Persistent Threat
脅威の調査

ソフォス脅威レポート 2023 年版:進化を続ける「サービスとしてのサイバー犯罪」

サイバー犯罪のマーケットが進化し、高度なツールや手法を用いた攻撃が増加し続けています。

** 本記事は、Sophos 2023 Threat Report: the continued evolution of “Crime-as-a-Service” の翻訳です。最新の情報は英語記事をご覧ください。**

先日、「ソフォス脅威レポート 2023 年版」が発表されました。今年の脅威レポートでは、テレメトリ、インシデント対応で得られたデータ、他の収集された情報に基づいて現在の脅威の全体図を提示し、サイバー攻撃の傾向を検証しています。正規のソフトウェアやデジタルサービスを悪用した攻撃が進化を続けており、サイバー犯罪のマーケットも進化しています。

ランサムウェアのオペレーターは、「サービスとしてのサイバー犯罪」モデルを積極的に使用しています。2022 年には、サイバー犯罪の XaaS モデルがサイバー犯罪者の世界で広く確認されるようになりました。背景には、サイバー犯罪の地下マーケットで必要なツールキットをほぼすべて入手できるようになったことが挙げられます。購入する意思さえあれば誰でも、標的となる組織のアクセス情報の入手、初期感染、セキュリティ機能による検出回避、そしてマルウェア配信に必要なツールキットを入手できます。

また、高度な攻撃ツールも広く出回っており、改変された正規のソフトウェアが悪用されるケースも増えています。たとえば、Cobalt Strike は本来、高度な攻撃をエミュレーションして分析することで組織のセキュリティを向上するために開発されましたが、現在ではランサムウェアのインシデントで多く悪用されています。また、Brute Ratel は、Cobalt Strike の代替品として宣伝され、現在では広く攻撃に悪用されるようになりました。これまでに数件のランサムウェアインシデントでの使用が確認されています。

さらに、ランサムウェア組織も進化しています。たとえば、LockBit 3.0 は現在、マルウェアの脆弱性の発見に対して報奨金を支払うクラウドソーシングのバグ報奨金制度を提供しているほか、ランサムウェア組織の運営を改善するためにサイバー犯罪者コミュニティで市場調査を行っています。組織から盗み出したデータを定期的に提供する「サブスクリプションモデル」のプログラムを提供するグループも存在します。

上記のようなランサムウェアグループの行動変化は、ウクライナ戦争の長期化によるロシア語圏のサイバー犯罪グループの分裂や離散によって起こった Conti やその他のランサムウェアグループによる「晒し」やデータ漏洩を起因としています。また、ウクライナ政府が呼びかけた寄附をきっかけとして、金融業を装った暗号通貨詐欺などの新たな詐欺が多発しました。

上記以外の正規のソフトウェアや Windows オペレーティングシステム自体のコンポーネントの悪用も、依然として脅威です。
攻撃者は、正規の実行ファイル (リモートアクセスツールを含む商用ソフトウェア製品の試用版など) や、検知を回避してマルウェアを起動する「環境寄生型バイナリ (LOLBin) 」の使用を拡大し続けています。

また、「Bring Your Own Driver (独自のドライバの持ち込み) 」 の手法が再び確認されるようになりました。「独自のドライバの持ち込み」とは、脆弱な正規のソフトウェアのドライバを使用して特権を昇格させ、エンドポイントの検知・対応製品を停止させて検知を回避する手法です。

モバイルデバイスでは、主要なモバイルアプリのマーケットプレイスによる検出を回避する悪意のある不正な偽のアプリが引き続き確認されています。
これらのアプリの中には金融取引詐欺に関連するものがあり、急速に拡大するサイバー犯罪の一つになっています。
昨年来、ソフォスは、「豚の屠殺」スキームなど暗号通貨やその他の取引詐欺の急速な拡大を追跡してきました。これらの詐欺行為は、 Apple の iOS アドホックアプリケーション展開スキームを悪用して、偽アプリを使って被害者からモバイル暗号ウォレットの情報をだまし取ったり、直接資金移動させたりするなどの、新たな手法を採用しています。

上記の内容およびその他の調査結果の詳細は、脅威レポートの全文をご覧ください。※日本語は翻訳され次第、こちらで公開予定。