2023年版敵対者インフラレポート

Insikt Groupは、2023年のAdversary Infrastructureレポートで、2024年のインフラストラクチャの状況について、サイバー脅威の進化する性質が継続し、悪意のある活動に対抗するための政府の取り組みに重点を置いていることを示唆しています。 悪意のあるインフラストラクチャのテイクダウンの増加が予想されるのは、ランサムウェアやその他の破壊的な攻撃の壊滅的な影響に対する政府の認識が高まっていることを反映しています。 特に、病院などの重要インフラに影響を与えるサイバー犯罪活動に注目が集まっており、各国政府は攻撃者に対する措置の法的枠組みを模索するようになりました。

テイクダウンは効果的であることが証明されていますが、QakBotのテイクダウン後もTA577のような継続的な作戦に代表されるように、犯罪組織の根強さは、そのような活動を真に妨害するために、違法行為の責任者を逮捕する必要性を浮き彫りにしています。

APTは、アトリビューションを効果的に不明瞭にするため、コモディティツール、特にコマンド&コントロール(C2)フレームワークの採用への移行が進むと予想されます。 さらに、すべての脅威アクターは、AnyDeskやConnectWiseなどのリモート監視・管理ソフトウェアや、TelegramやGitHubなどの正規のインターネットインフラを悪用し、正当性と不適切なネットワーク制御を利用している可能性があります。

C2兵器化のライフサイクル(出典:Recorded Future)

人工知能(AI)は、2024年にサイバー犯罪に徐々に影響を与えると予測されており、特にドメインの命名、ネットワーク計画、マルウェア開発のための高度な難読化技術などの分野で顕著です。 脅威アクターによるAIの使用は、組織的および技術的な効率を高め、高度な攻撃の参入障壁を減らし、サイバー犯罪者に利点を提供することが期待されています。

また、Cobalt Strike、Viper、Meterpreterなどの攻撃的なセキュリティツールや、AsyncRAT、QuasarRAT、PlugX、ShadowPad、DarkCometなどの著名なリモートアクセスツール(RAT)も特定しています。 この情報を共有することで、他の人が脅威モデルを評価し、研究者によるデータ検証を可能にし、悪意のあるインフラストラクチャの状況を包括的に理解できるようになることが奨励されます。

観測された一意のC2サーバーの数に基づく上位20のRATとバックドア(出典:Recorded Future)

このレポートでは、新たな脅威に対応するため、組織がネットワーク上の正当なインターネットサービスのベースラインを確立し、セキュリティ制御を最適化することを推奨しています。 ただし、TLSトラフィックの復号化や監視などの高度なセキュリティ対策が必要になる場合があり、プライバシーへの影響、実装コスト、ネットワークシステムと生産性への潜在的な影響を慎重に検討する必要があることを認識しています。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。