Insiktレポート

2022年アドバーサリーインフラストラクチャレポート

投稿: 2022年12月15日
作成者 : Insikt Group®

insikt-group-logo-updated-3-300x48.png

編集者注:レポートをPDFとしてダウンロードするには 、ここをクリックしてください

Recorded FutureのInsikt Group®は、2022年を通じて、プロアクティブなスキャンおよび収集方法を使用して特定された悪意のあるコマンドアンドコントロール(C2)インフラストラクチャの調査を実施しました。 すべてのデータはRecorded Future® Platformから提供され、2022年9月1日現在のものです。

Executive Summary

Recorded Futureは、多数のエクスプロイト後のツールキット、カスタムマルウェア、オープンソースのリモートアクセストロイの木馬(RAT)のための新しい悪意のあるインフラストラクチャの作成と変更を追跡します。 2017 年以降、RAT、APT(Advanced Persistent Threat)マルウェア、ボットネットファミリー、その他のコモディティツールを含む 108 のファミリーに対する検出を作成しています。2022年には、17,000台以上のユニークなC2サーバーを観測し、これは昨年から30%増加しました。 2021年と同様に、2022年のコレクションは、Cobalt Strikeチームのサーバー、IcedIDやQakBotなどのボットネットファミリー、PlugXなどの人気RATが占めていました。

主な判断

  • 検出されたサーバーの32%(5,481台のサーバー)は、Recorded Futureの コマンド&コントロール ソースによってのみ識別されました。
  • スキャンの取り組みによってC2サーバーが検出されてから、他のソースで報告されるまでに、平均33日間のリードタイムが観測されました。
  • 検出されたC2サーバーの総数は、2021年の13,629台から2022年の17,233台へと30%増加しました。
  • PlugXは、ShadowPadが「後継者」として宣伝されているにもかかわらず、依然として頻繁に使用されています。
  • 2021年と同様に、EmotetとQakBotを中心としたボットネットマルウェアは、C2インフラストラクチャを拡大し続け、年間を通じて蔓延しています。
  • ロシアの国家が支援するC2インフラの変化により、特定の業務の追跡が他の国家主導の事業体よりも困難になる可能性があります。
  • 予想通り、最大手のホスティングプロバイダーは、引き続き最も多くのC2サーバー観測を行っています。 しかし、C2サーバーに使用されるプロバイダーには変化があり、Shenzhen Tencent Computer Systemsでのホスティングが300%以上増加し、調査ではC2で最も人気があり、中国がC2サーバーホスティングの量で米国を抜いてトップの国になりました。
  • 2021年には、C2環境がより多様化し、新しいツールによる検出が増加すると予測しました。 しかし、私たちが観察した多様性は、新しいツールの使用によるものではなく、確立されたツールの広範な普及から来ています。

背景

間もなくアクティブ化される悪意のあるC2(C2)サーバーを特定する際の通知リードタイムを長くすることで、防御側はより積極的に脅威を中和することができます。 C2サーバーを稼働させるには、図1に示すように、脅威アクターがいくつかの手順を実行する必要があります。 まず、サーバーインフラストラクチャは、侵害または合法的な購入によって取得する必要があります。 次に、C2通信にドメイン名が必要な場合は、取得して登録する必要があります。 次に、ソフトウェアをインストールし、構成を調整し、トランスポート層セキュリティ (TLS) 証明書を登録し (該当する場合)、ファイルをサーバーに追加する必要があります。 攻撃者は、パネルログイン、セキュアシェル(SSH)、またはリモートデスクトッププロトコル(RDP)を介してアクセスし、マルウェアコントローラをポートに公開して、被害者からデータを転送し、感染にコマンドを管理できるようにする必要があります。 (操作によっては、追加のアクションも必要になる場合があります。 これらの手順が完了した後にのみ、サーバーを悪意を持って使用できます。

2022_adversary_infrastructure_report_figure_1.png

図1:C2兵器化のライフサイクル(出典:Recorded Future)

ただし、サーバーを立ち上げ、構成し、アクセスする際に、攻撃者は、フィッシングキャンペーンや悪意のあるツールでサーバーを使用する前に観察可能なアーティファクトを残します。 これらのアーティファクトは、防御者にとって検出の機会を生み出し、サーバーにデプロイされたソフトウェアバージョン、ログインパネル、TLS証明書パターン、または単純なプローブによって返されるデフォルトのメッセージが含まれます。

C2サーバーの作成から武器化までを検出することで、敵対者が悪意のあるキャンペーンをどのように行うかについての洞察を得ることができます。 これには以下が含まれます。

  • C2検出をこれらのファミリに関連する侵入のレポートと比較することで、捕捉された侵入の数と、パブリックドメインで不明なままのイベントの数を特定できます。
  • サーバー作成のテンポを測定することで、今後のアクティビティの急増またはドローダウンに関する洞察を得ることができます。
  • パブリックドメインでは利用できない指標とインテリジェンスをキャプチャします。
コレクションバイアスに関する注意

Recorded Futureは、主に既知のマルウェアファミリーとそのサーバー側ソフトウェアの特性に基づいて、C2サーバーに関する情報を収集します。 このコレクションの性質は、既知のコマンド&コントロールフレームワークとその派生物またはサポートインフラストラクチャの特定に焦点を当てており、パッシブおよびアクティブのインターネットスキャンデータが含まれています。 IPアドレスがC2サーバーであることは、C2からの悪意のある活動の証拠がある場合にのみ検証されます。 そのため、既知の脅威のサーバーを報告する際には偏りがあり、それらのサーバーに対して収集バイアスがかかります。 この方法論は、異常の特定やネットワーク内の奇妙なトラフィックの検出に代わるものではありません。

脅威分析

C2ファミリーの上位5つの観測結果は、1つのマルウェアカテゴリに支配されているわけではなく、エクスプロイト後のフレームワーク(Cobalt Strike)、リモートアクセスツール/バックドア(PlugX、DarkComet)、ボットネット(Emotet)が混在しています。

2022_adversary_infrastructure_report_figure_2.png

図2:Recorded Futureが観測した上位5つのC2の3年間の傾向(出典:Recorded Future)

過去3年間の上位5つのファミリーを詳しく見ると、Cobalt Strike、Meterpreter、PlugXのサーバーの数が、これらのツールの古さにもかかわらず、継続的に増加していることがわかります。 Emotetの検出は約1年前から行われており、観測された検出数に基づくと、Emotetは確かに完全に動作 しています 。 DarkCometは、前年比で~47%増加したことからも明らかなように、依然として関連性があります。 新しいマルウェアとレッドチームツールは毎年リリースされています。ただし、図2に示すように、前世代の定着ツールと比較して、それらの使用は少ないことがわかります。

2022_adversary_infrastructure_report_figure_3.png

図3:Recorded Futureが見たマルウェアファミリ別のC2検出総数(出典:Recorded Future)

対象を上位 20 件の C2 検出に拡大すると、Brute Ratel (BRc4) や BumbleBee などの新しいファミリーや、PlugX、AsyncRAT、IcedID、DarkComet などの主力製品を含む、より包括的な C2 環境が見られます。 2021年は「C2環境は今後も多様化していく」と予測しました。 新しいマルウェアファミリーやC2フレームワークがリリースされるにつれて、その一部がサーバーをスキャンして検出するための脅威インテリジェンス対策を認識するようになると予想しています。」 2022年には、昨年のトップ5とトップ20以外のツールで検出されたC2の数が大幅に増加したことは事実ですが、今年の増加のほとんどは、PlugX、Remcos、DarkComet、QuasarRATなどの「確立された」ツールを幅広いアクターが使用したことによるものです。 2021年と比較して2022年に使用が増加したデータセットの上位6つのツールは次のとおりです。

  1. PlugX(51%増)
  2. Remcos (51% 増)
  3. DarkComet(44%増)
  4. QuasarRAT (40%増)
  5. ミシック(33%増)
  6. AsyncRAT(24%増)

このコモディティツールの使用頻度が高いことは、脅威アクターが検出されないのではなく、紛れ込んで原因不明であることに関心を持つ割合が増えている、または単にターゲットがこれらのよく知られたツールでさえ検出する可能性が低いと判断したことを示していると考えています。 さらに、オーダーメイドのツールを開発するために必要なコストと専門知識を考慮すると、脅威アクターはコモディティツールを購入するか、無料のオープンソースツールを使用することを好むかもしれません。

たとえば、BRc4を使用すると、エンドポイント検出と応答(EDR)回避技術が増えますが、ユーザーベースが小さいため、アトリビューションのリスクが高くなりますが、DarkCometの使用はステルス性や回避性が低いかもしれませんが、多くの脅威アクターが使用するオープンソースのRATです。

2022 年の敵対者インフラストラクチャのテーマ

C2の観測結果全体を見ると、2022年の上位テーマを3つ特定しました。

  1. 後継者にもかかわらず、PlugXは成功を続けています:ShadowPadが「後継者」として宣伝されているにもかかわらず、PlugXは依然として広く使用されています。
  2. ボットに戻る(何度も何度も):2021年ほど普及していませんが、複数のボットネットはまだ非常に活発です。Emotet、IcedID、QakBot、Dridex、TrickBotはいずれも2022年にトップ20に入りました。
  3. ロシア、読書後に燃える:ロシアに起因するC2検出の限界。
PlugXは、後継者にもかかわらず、成功を続けています

2020年のAdversary Infrastructureレポートでは、ShadowPadがPlugXの後継であると 説明した Doctor Webの記事を参照しました。 2020年以降も、中国の複数の国家支援グループによるShadowPadの採用が増加しているにもかかわらず、PlugXの感染が観察されました(Recorded Futureは、ShadowPadコントローラーを管理するインフラストラクチャをAXIOMATICASYMPTOTEとして追跡しています)。 2022年もPlugXの利用は続いており、下のグラフのようにさらに増加しています。

2022_adversary_infrastructure_report_figure_4.png

図4:過去12ヶ月間に検出されたPlugXおよびAXIOMATICASYMPTOTE C2の数(出典:Recorded Future)

PlugXは、過去10年間、主に中国を拠点とする脅威アクターによって使用されてきました。 2015年にエアバスが 報じ たように、以前のPlugXバリアントのビルダーが公開されました。 これは、PlugXの使用が、中国の国家支援を受けた一部の脅威アクターに非公開で販売されている 可能性が高い ShadowPadと比較して、管理が厳しくない可能性が高いことを示しています。 私たちは、RedDeltaおよびRedFoxtrot脅威アクターグループに起因するPlugXの亜種を積極的に追跡しています。

ボットに戻る(何度も何度も)

2021年には、Emotetのテイクダウン後、ボットネットの活動が急増し、検出したC2の大部分はTrickBot、QakBot、Bazar、IcedID、Dridexでした。 2022年、ボットネットはC2データを支配していませんでしたが、それでもトップ5とトップ20のリストに存在していました。 図5に示すように、Dridex、Emotet、IcedID、QakBot、TrickBotは、今年最も多くのC2検出が観測されたボットネットファミリーです。

2022_adversary_infrastructure_report_figure_5.png

図5:検出されたDridex、Emotet、IcedID、QakBot、TrickBot C2の比較(出典:Recorded Future)

TrickBotとDridex
2021年10月に検出されたTrickBot C2の数(アクティブなC2の数は194)が急増し、その数か月後にマルウェアが休眠状態になることが確認されました。同様に、Dridexの活性は安定しており、2022年6月に急上昇(150の活性C2)が発生するまで、月に45〜80の活性C2が変動し、休眠状態になりました。

TrickBotの活動は、TrickBotのオペレーターがTrickBotマルウェアの使用を段階的に廃止しているという 今年の初 めの報告と一致しています。 Dridex の場合、3 月から 6 月の急増までの使用が増加したことは、RIG エクスプロイト キットで Dridex が使用されているという 報告 と相関しています。 Dridexの突然の休眠状態は、IcedIDとQakBotの普及、 およびEmotetの復活により、ボットネットが全体的に上回っていることを示している可能性もあります。

QakBotの
観察されたQakBot C2の数は、昨年末から今年にかけて比較的少なく、月に平均10個のアクティブなC2がありました。 2022年3月以降、QakBot C2の検出数が大幅に増加し、2022年9月のアクティブC2が最高を記録しました。 最近では、SentinelOneがQakBotを使用してBlack Bastaランサムウェア を配信 していることを確認しています。

アイスID
2022年5月まで、IcedIDは月に30〜60個のアクティブなC2を持っていることが確認されています。 5月からは102機まで増加し、2022年9月にはさらに着実に178機のアクティブなC2が稼働しています。 これらの増加には、以下の重要なイベントが要因となっている可能性があります。

  • 2022 年 4 月、 CERT-UA は、IcedID マルウェアをインストールする XLS ドキュメントの大量配布に関するアドバイザリを送信しました。
  • 最近では、IcedIDがQuantumLockerランサムウェアのダウンロードと実行に使用された と報告されています

エモテット
2021年初頭にEmotetのインフラ が閉鎖 され、活動が長期にわたって中断された後、Emotetが永久に事業を停止するのではないかという憶測が流れました。これは間違っていることが証明されました。 Emotetは2021年後半に復活し、Contiランサムウェアの運用と連携して戻ってきたと 報じられています 。 Emotetの初期の復活は、TrickBotのインフラストラクチャの再利用であると 報告 されました。 偶然にも、図5では、EmotetがTrickBotの運用を停止する直前に追跡したのと同じ数のアクティブなC2で開始していることがわかります。

2021年後半から2022年初頭にかけてはEmotet C2の量は比較的少なかったものの、2022年5月には1,200台以上のC2が稼働し、大きな急増が見られました。 Netskope Threat Labsからの報告では、この期間に LNK ファイルと Microsoft Officeドキュメント を使用してEmotetを広めていた2つのアクティブなキャンペーンが言及されています。

6月には、2022年7月まで低い範囲に戻り、その後、Emotetの数字は再び上昇し始めました。 現在観測されているアクティブなEmotetのC2の数は、2022年9月に1,000件をわずかに超えるアクティブなC2で、5月に見られた急増のレベルにほぼ達しています。 2022年7月以降、EmotetのアクティブC2が最近増加していることは、Emotetに関する最新のレポートを裏付けています。

  • Emotetは、QuantumおよびALPHVランサムウェア のロード に使用されています。
  • Proofpoint は、Emotetが11月に1日に「数十万通」のフィッシングメールを配布し、IcedIDの読み込みと実行に使用されていると述べています。 Emotetを介したIcedIDの配布の増加も、最近のIcedID検出の増加に貢献している可能性があります。
ロシア、読書後に燃やす

私たちの観察に基づくと、ロシアの国家に起因する攻撃者は、他の国家が支援する作戦と比較して、C2インフラストラクチャの運用セキュリティを向上させることがよくあります。 たとえば、C2サーバーを1対1で操作するなどの方法を使用することが多く、したがって、単一のターゲット組織のインプラントとのみ対話します。 また、同社のC2インフラストラクチャが公に報告されると、すぐに省かれることが多いことも観察しています。 ロシアの国家支援を受けた一部のアクターは、国家のアクターが コモディティマルウェア 一般的なC2フレームワーク の使用に移行する全体的な傾向の 最前線にも立 っています。脅威アクターが一般的な既製のソフトウェアをスパイ活動に利用すると、研究者や研究者にとってアトリビューションがより困難になる可能性があります。

対照的に、中国、イラン、およびその他の一部の国に起因する作戦は、マルウェアやインフラストラクチャの運用セキュリティに不注意であることが多く、多数のターゲットや公開後に特定のC2を使用したり、本質的に同じマルウェア(PlugXなど)を何年も使用しながら、それを複数の運用チーム間で共有したりしています。

ロシア政府が支援するC2インフラの頻繁なシフトは、特定の作戦の追跡をより困難にする可能性があります。 GRAVITYWELLは、ロシア対外情報局(SVR)にリンクされたWellMessバックドアをホストするために一般的に使用されるサーバー技術とTLS証明書構成のRecorded Future指定であり、そのような一時的なインフラストラクチャの一例を示しています。

私たちは、GRAVITYWELLを複数のフェーズで追跡してきました。 これらのフェーズ間で、GRAVITYWELLの活動が公開された直後のインフラストラクチャに明確な変化が見られました。

2020年7月、英国のNational Cyber Security Centre(NCSC)は、WellMessを使用したAPT29の運用に関する レポート を発表しました。 このレポートには、キャンペーンで使用されていることが知られているC2インフラストラクチャが含まれていました。 2020年8月、そのインフラストラクチャは、キャンペーンの前のフェーズとは異なるTLS証明書パターンによって識別可能な新しいC2のセットに置き換えられました。 2021年7月、 RiskIQレポート がリリースされ、TLS証明書の詳細を提供する30を超えるC2サーバーを特定しました。 1年前に起こったように、これらのC2の変化は、レポートのリリースから1か月以内に観察されました。

2022_adversary_infrastructure_report_figure_6.png

図6:GRAVITYWELLの公開報告とインフラの変更のタイムライン(出典:Recorded Future)

エクスプロイト後のフレームワーク

私たちが検出したエクスプロイト後のフレームワークのうち、合法的なレッドチーム作戦で使用され、犯罪者やスパイ分子によって使用されているものの割合を推定することは困難です。 全体として、ボリュームの変更は、さまざまな操作での採用に加えて、署名の改善と収集努力の増加にも関連している可能性があります。

2022_adversary_infrastructure_report_figure_7.png

図7:過去3年間の攻撃的セキュリティツールのC2観測結果(出典:Recorded Future)

昨年観察された攻撃的なセキュリティツールのトップ10を過去2年間と比較すると、Cobalt Strike C2の活動が急速に増加し続けていることが非常に明確になります。 Cobalt Strikeは、さまざまなアクターにとって好まれる攻撃型セキュリティツールであることは明らかで、Cobalt Strikeの検出量は昨年大幅に増加しました。 この 2 倍の増加は、検出の数、検出が実行されている時間の長さ、Cobalt Strike を使用しているアクターの量によるものと考えています。

トップ10にランクインした他のフレームワークでボリュームが増加したのは、Covenant、Mythic、Metasploit/Meterpreter(これら2つは今年統合されました)です。しかし、どれもコバルトストライクほど大きく跳んだことはありませんでした。 Covenant のオープンソース プロジェクトは2021年以降更新されていませんが、利用は増え続けています。 Mythicは、コードベースの 更新 を引き続き受け取っています。 一部のMythicインフラストラクチャは、Conti Leaksでも 言及 されている Botleggers Club という名前を参照しており、少なくとも一部のランサムウェアオペレーターがそれを使用していたことを示唆しています。

Brute Ratel(BRc4)とBeEFはどちらも、検出率がまだトップ10に入るほど高くなかったため、今年は佳作です。 BRc4の開発者は、 EDR開発のバックグラウンドを持ち、EDRが検出を回避する方法に特化して、ツールの検出を困難にするよう努めています。 BRc4 のバージョンが クラック され、犯罪者の地下にも広がっており、ランサムウェア ギャングの Black Basta によって使用されている ことが確認 されています。

グローバルスケール

2022年には、2021年(13,268台)と比較して30%多くのC2サーバーを検出しました(17,233台)。既存のマルウェアファミリの検出の改善。また、Cobalt Strike、Meterpreter、PlugXなど、検出されているツールの使用も増加しています。

私たちは、116カ国の1,419のホスティングプロバイダーでC2インフラストラクチャの作成を観察しました。 これは世界の地理的な部分の大部分を占めていますが、悪用されたサーバーは、70,000を超える自律システム(AS)オペレーター全体のごく一部しか占めていません。

2022_adversary_infrastructure_report_figure_8.png

図8:国別のC2観測値(自律システム番号[ASN]のロケーションで識別)(出典:Recorded Future)

  • 2021年と同様に、最大のホスティングプロバイダーはC2ホスティングで最も悪用されています。2022年には、24のASオペレーター(観測された自律システムの総数(ASN)の1%)で、100台以上のC2サーバーが検出されました(2021年には20のASオペレーター)。
  • 2022年には1,419のユニークなASオペレーターがC2サーバーをホストしていることを確認しましたが、大多数は100台以下のC2サーバーをホストしていると観察されました(98%)。1,225のASプロバイダー(観測された全ASNの86%)が10台以下のC2サーバーをホストし、682のASオペレーターが1台のC2サーバーのみをホストしていました。
  • 2022年に中国は4,265台のC2サーバーをホストし、2位は米国が3,928台、3位は香港が1,451台で、これらの上位3か国は検出されたすべてのC2サーバーの55%を占めています。上位10か国は、検出されたすべてのC2サーバーの88%を占めています。
  • 観測された116カ国のうち18カ国で、2022年にC2サーバーをホストしていたのは1台だけでした。
  • C2サーバーにおける米国のシェアは34%から22%に減少しましたが、中国のシェアは14%から24%に増加しましたが、これは主に中国のホスティングプロバイダーであるShenzhen Tencent Computer SystemsでのC2検出の大幅な増加によるものです。
  • 香港とオランダで検出されたC2サーバーのシェアは、それぞれ3.3%から8%に、2.1%から7%に増加しました。

ランキング順には若干の変化がありましたが、C2ホスティングプロバイダーの上位10社のボリューム別構成は2021年以降、ほとんど変わっていません。シンガポールを拠点とするBGPNET Global(AS64050)のみが181から147C2に減少したため脱落し、Alibaba (US) Technology Co., Ltd.に取って代わられました。 全体として、上位10社のC2ホスティングプロバイダーはすべて、検出されたC2サーバーの数が大幅に増加したことを記録し、そのうち4社は2021年から2022年の間に50%以上の増加を記録しました。

ボリュームでトップ10C2ホスティングプロバイダー
ホスティングプロバイダー ASN (英語) C2の合計(2021年) C2の合計(2022年) 前年比増加率
深センテンセントコンピュータシステムズ AS45090 中国 571 2297 3.02
デジタルオーシャン、LLC AS14061 米国 968 1421 0.48
Amazon.com 株式会社 AS16509 米国 624 1156 0.85
杭州アリババ広告有限公司 AS37963 中国 574 1126 0.96
ザ・コンスタント・カンパニーLLC AS20473 米国 700 834 0.19
マイクロソフト株式会社 AS8075の 米国 205 411 1
OVHのSAS AS16276 フランス 267 338 0.27
Linode, LLCについて AS63949 米国 208 291 0.4
M247株式会社 AS9009の 米国 171 228 0.33
アリババ(米国)テクノロジー(株) AS45102 米国 95 192 1.02

表1:2022年に観測されたC2サーバーの量と2021年と比較した上位のC2ホスティングプロバイダー

  • 中国で事業を展開するShenzhen Tencent Computer Systemsは、C2サーバーで302%の増加を記録し、2022年にRecorded Futureが観測したASNの中で最も多くのC2サーバーをホストしました。 ホスティングプロバイダーは、2,297台の個別のC2サーバー(13%)を占めています。 Shenzhen Tencent Computer Systemsで最も一般的に観察されたファミリーはCobalt Strikeで、2,032台のサーバーが確認されました。
  • 次に大きいのは、米国外で事業を展開しているDigitalOcean LLCで、2021年にリストのトップに立っていました。 ホスティングプロバイダーは48%の増加を記録し、1,421台の個別のC2サーバー(8%)をホストしました。 DigitalOcean LLCで最も一般的に観察されたファミリーはCobalt Strikeで、526台のサーバーが確認されました。

表2は、上位5つのマルウェアファミリが、上位10のホスティングプロバイダーのC2サーバーの大部分を占めていることを示しています。上位5つのマルウェアファミリーは、上位10のホスティングプロバイダーの半数で検出されたすべてのC2サーバーの少なくとも80%を占めていました。 「上位マルウェア %」列には、ホスティング プロバイダの合計 C2 に占める上位 5 つのマルウェア ファミリが寄与した C2 検出の割合が反映されています。

トップ5マルウェアファミリ:C2ホスティングプロバイダー別
ホスティングプロバイダー トップファミリー 合計 C2 上位マルウェア率
深センテンセントコンピュータシステムズ コバルトストライク、メータプレーター、AXIOMATICASYMPTOTE、Metasploit、PlugX 2178 95%
杭州アリババ広告有限公司 コバルトストライク、メータープレーター、スライバー、PupyRAT、XtremeRAT 1041 92%
デジタルオーシャン、LLC コバルトストライク、YerLoader、IcedID、Meterpreter、Mythic 935 66%
Amazon.com 株式会社 コバルトストライク、メータープレター、コアディック、スライバー、GH0st RAT 668 58%
ザ・コンスタント・カンパニーLLC Cobalt Strike、PlugX、AXIOMATICASYMPTOTE、Meterpreter、QakBot 669 80%
マイクロソフト株式会社 コバルトストライク、ケルベロス、メータープレーター、ダークコメット、エンパイア PowerShell 290 71%
M247株式会社 コバルトストライク、バンブルビー、IcedID、メータープレーター、プラグX 200 88%
OVHのSAS Cobalt Strike、BumbleBee、IcedID、Meterpreter、NanoCore RAT 178 53%
アリババ(米国)テクノロジー(株) コバルトストライク、メータープレター、XtremeRAT、AXIOMATICASYMPTOTE、横断歩道 159 83%
Linode, LLCについて コバルトストライク、メータプレーター、AXIOMATICASYMPTOTE、Mythic、PlugX 125 43%

表2:2022年に観測されたC2ホスティングプロバイダー別の上位マルウェアファミリー

表2では、Cobalt Strikeがすべてのホスティングプロバイダーでトップのマルウェアファミリーであり、次いでMeterpreterが多くなっています。 AXIOMATICASYMPTOTE と PlugX は、通常、同じホスティングプロバイダーにあります。 Recorded FutureのBumbleBeeの検出の26%はM247 LtdとOVH SASで、Cerberusの検出の57%はMicrosoft Corporationのインフラストラクチャで検出されました。

これらのホスティングプロバイダーはC2サーバーの最大数を占めていましたが、C2サーバーはその管轄下にあるサーバーの総数に占める割合はごくわずかでした。 表3は、総保有量と比較してC2サーバーの割合が最も高い10のプロバイダーを示しています。 この推定値は、2022 年に観測された確認済みの C2 サーバーと比較した、AS が発表した IPv4 プレフィックスの数に基づいています。

ホストされているC2の割合が最も高いホスティングプロバイダー
ホスティングプロバイダー ASN (英語) トップ検出 ホストされているサーバーの割合はC2です
UAB Cherryサーバー AS59642 リトアニア コバルトストライク 3.91%
スチームVPS SRL AS50578 ルーマニア アイスID 2.73%
KURUN CLOUD株式会社 AS395886 米国 コバルトストライク 2.34%
フライサーバーS.A. AS48721 パナマ コバルトストライク 1.56%
HDTIDC LIMITEDの AS136038 香港 ローミングカマキリ 1.20%
インターナショナルホスティングソリューションズLLP AS213354 英国 ヤーローダー 1.17%
フライサーバーS.A. AS209588 パナマ コバルトストライク 0.95%
Chang Way Technologies Co.、Limited(チャンウェイテクノロジーズ株式会社) AS57523 香港 コバルトストライク 0.91%
BLネットワーク AS399629 米国 コバルトストライク 0.80%
BlueVPSのOU AS62005 エストニア アイスID 0.78%

表3:2022年に全サーバー数と比較してC2サーバーをホストしたホスティングプロバイダー

  • 表3の2つのホスティングプロバイダーのうち、2021年にホストされたC2サーバーの割合が最も高いホスティングプロバイダーのトップ10のリストにすでに含まれていたのは、英国で運営されているInternational Hosting Solutions LLPと香港で運営されているHDTIDC LIMITEDだけでした。 Media Land LLCやHost Sailor Ltd.など、さまざまな防弾ホスティングプロバイダーがリストから脱落しました。
  • オープンソースのデータに基づくと、表3のほとんどのホスティングプロバイダーは次のいずれかです。
    • リスクの高いWebトラフィックに関連するもの(UAB Cherry Servers、BL Networks、KURUN CLOUD INCなど)。
    • 以前は、特定の脅威アクターによって優先ホスティングプロバイダーと見なされていた(例:HDTIDC LIMITEDを使用したTAG-26)。又は
    • は、既知の防弾ホスティングプロバイダーです(たとえば、Flyservers SAまたはChang Way Technologies Co. Limited)。

今後の展望

2023年になっても、Cobalt StrikeとボットネットがC2観測の大部分を占めると予測されるでしょう。 Cobalt Strike は来年も検出数のトップ 5 に留まると予想していますが、さらに 2 倍に増加するとは予想していません。 Cobalt Strikeの使用はBRc4の使用によって共食いされると考えています。 その結果、脅威アクターが EDR エージェントによる検出を難しくし、Cobalt Strike の有能な代替手段として機能する BRc4 の使用に移行しているため、BRc4 の使用と C2 の検出が増加すると予測しています。 また、Sliver、DeimosC2、Alchimist、ManjusakaなどのニッチなC2ツールに関連するC2観測が増加することも考えられます。

Redline Stealer、QakBot、Nanocoreなどのマルウェアファミリーは、ランダムで非標準のポートを使用しているにもかかわらず、すでに成功しています。 これにより、IPv4空間全体で可能なすべての非標準ポートをスキャンすることは不可能であるため、従来の完全なインターネットスキャンが禁止されます。 かつてはハイポートの使用の方が検出しやすいと考えられていましたが、依然として適切なC2通信チャネルであるように思われ、より多くのC2オペレーターがC2通信にハイポートを利用すると予測しています。

2022年6月、ShadowServerはIPv6インターネット空間をスキャンする ための方法論 を詳しく説明しました。 私たちは、Recorded Futureを含むより多くの組織がIPv6スキャンを増やし、その結果、より多くのIPv6 C2検出結果が得られると予測しています。 広く報道されていませんが、Mandiantが 報じている VirtualPieのように、IPv6接続で通信するマルウェアは存在します。

関連ニュース&研究