>
Insiktレポート

2022年上半期:マルウェアと脆弱性のトレンドレポート

投稿: 2022年8月25日
作成者 : Insikt Group®

insikt-group-logo-updated-3-300x48.png

編集者注:以下の記事は、レポート全文の抜粋です。 分析の全文を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。

このレポートでは、2022年1月1日から6月30日の間に主要なハードウェアおよびソフトウェアベンダーによって開示されたマルウェアの使用、配布、開発の傾向、およびリスクの高い脆弱性を調査しています。 データは、Recorded Future® Platform、オープンソースインテリジェンス(OSINT)、およびNVDデータに関する公開レポートから収集されました。 このレポートは、この調査とデータに基づいてハンティング手法と検出方法に優先順位を付けることで、脅威ハンターとセキュリティ オペレーション センター (SOC) チームがセキュリティ体制を強化するのを支援するとともに、パッチ適用の優先順位付けと脆弱性ターゲティングの傾向を特定する方法を探している脆弱性チームを支援します。

Executive Summary

2022年上半期のマルウェア開発と脆弱性の悪用は、犯罪サービス、エクスプロイトターゲット、インフラストラクチャのメンテナンス、運用寿命など、いくつかの側面に沿った粘り強さによって定義されました。 世間や犯罪者の注目の最前線にあったマルウェアのカテゴリは、ウクライナを標的にしているのが観察されたワイパー、最初の失踪後に一部の人気のある亜種が復活したインフォスティーラー、世界中のすべてのセクターに被害を与え続けているランサムウェアでした。 今年の初めに最も防御者が注目した脆弱性はLog4Shellでしたが、6月末には、Follinaの脆弱性(マクロを使用せずに悪意のあるドキュメントを介して悪用できる)が、今年の残りの期間のゼロデイエクスプロイトの将来の潜在的な方向性を示しました。

2022年上半期にサイバー攻撃に関連して参照されたマルウェアの亜種上位は、Cobalt Strike、Contiランサムウェア、Pegasus、DeadBoltランサムウェア、Emotetでした。 Cobalt Strikeへの言及は他のものよりも大幅に多く、多くの種類のサイバー攻撃キャンペーンで引き続き蔓延していることを示しています。

2022年上半期のサイバー攻撃に関連して参照された脆弱性の上位は、ApacheのLog4J(Log4Shell)、Microsoft Windows(Follina)、Microsoft Exchange Server(ProxyShell)、AtlassianのConfluence、Java Spring Frameworkに影響を与えました。 この状況は、ゼロデイエクスプロイトと既知の脆弱性の継続的な標的化の両方を反映しており、Log4Shellのエクスプロイトは6月末まで観察されました。

2022年上半期に基づく2022年の残りの期間の見通しは、ランサムウェアが依然として大きな脅威であり(減少は遅れていますが)、より広範な多要素認証(MFA)が犯罪環境の多くの領域を再形成し、ロシアのウクライナに対する戦争により、その地域からさらに新しいマルウェアが出現する可能性が高いというものです。

粘り強さがH1 2022を定義する

2022年上半期のマルウェア開発と脆弱性の悪用の状況を要約する言葉があるとすれば、それはほぼ間違いなく「粘り強い」です。 ウクライナに対する ワイパーマルウェア の大量作成、 人気のあるインフォスティーラーの再出現、Log4ShellやProxyShellなどの主要な脆弱性への継続的な注目、他のランサムウェア作戦を支援するためのContiランサムウェアグループの 解散 、(まだ死んでいない)Emotetボットネットでの 新しい戦術 の出現、主要な サイバー犯罪グループFIN7 の戦術の継続的な進化犯罪的なアンダーグラウンドおよびAPTの脅威の状況を例示し、多くの脅威が一時的に消えたり変化したりすることがありますが、完全に止めることは非常に困難です。 2022年上半期に直接含まれていないものの、そのランサムウェアの最新バージョンとしてLockbit 3.0が登場したことは、この脅威の状況に対する見方をさらに裏付けています。

脅威アクターが新しいマルウェアや脆弱性のエクスプロイトを頼りにしている犯罪アンダーグラウンドは、同様のレベルの持続性を示しています。 2022年4月に報告した「Faceless」プロキシサービスには、2022年前半にマルウェアや脆弱性で見られた多くの側面、 つまり、オンライン小売業者を標的に設計されたマルウェア、リモートコード実行(RCE)とゼロデイ脆弱性の重視、法執行機関の行動、ブランド変更、インフラストラクチャへのアクセスの欠如を乗り越えることができる長期的な犯罪活動が含まれています。 同様に、法執行機関によるレイドフォーラムの押収後にBreachForumsが設立されたことは、犯罪ネットワークの存続と、需要が続いている場所では新しいフォーラムが閉鎖されたフォーラムを簡単に置き換えることができることを示しています。

以下のグラフは、2022年上半期に報告されたサイバー攻撃に関連する最も参照されたマルウェアの亜種と脆弱性を示しています。 これらは、Recorded Future Platform で収集されたサイバー攻撃のレポートに現れたマルウェア エンティティまたは脆弱性エンティティのクエリに基づいていました。

このマルウェアのデータセットは、脅威アクターがコマンド&コントロール(C2)インフラストラクチャをCobalt Strikeに永続的に依存していることを最もよく示していますが、近い将来、侵入テストツールであるBrute Ratel C4への 大規模な移行 が進む可能性があります。 図1で浮き彫りになったもう一つの傾向は、持続的なランサムウェアの脅威であり、攻撃者はQNAP(DeadBoltの場合)のような特定のターゲットに対して新たなランサムウェアを開発し続けています。

H1-2022-Malware-and-Vulnerability-Trends-Report-figure-1.png 図 1: 報告されたサイバー攻撃への言及が最も多いマルウェア、2022年上半期(出典:Recorded Future)

図 2 にまとめた脆弱性データ セットは、サイバー犯罪者と APT の悪用における Microsoft の脆弱性が引き続き優勢であることを強調しています。

H1-2022-Malware-and-Vulnerability-Trends-Report-figure-2.png 図 2: 報告されたサイバー攻撃への言及が最も多い脆弱性、H1 2022。 ProxyShell には 3 つの明確な脆弱性 (CVE-2021-34473、CVE-2021-34523、CVE-2021-31207) が含まれています。 (出典:Recorded Future)

ワイパー、インフォスティーラー、ランサムウェアがマルウェア報告の最前線に

2022年上半期、新しいマルウェアと脆弱性の悪用に関する議論の最大の要因の1つは、ロシアのウクライナ侵攻と、その後、ロシアがウクライナの標的を混乱させたり、ウクライナの機密データを破壊したりするのを支援するために設計されたと思われるサイバー脅威キャンペーンの出現でした。 特に、以前のロシア国家支援活動に沿ってワイパーマルウェアの9つの異なる亜種が開示されたことは、キネティック攻撃とサイバー攻撃の両方を含む、ロシア政府の隣国に対する戦争に対する全体的なアプローチを例示しています。 この傾向は、敵対的な政府が主要な地政学的標的に対するマルウェアを開発するための時間とリソースが少ないことを示しているようにも見えました:ウクライナに対して展開された9種類のワイパーマルウェアは、時間の経過とともに ますます単純化 され、権限委譲には難読化が少なく、亜種間のステージが少ないことがわかりました。

Russian Marketのようなダークウェブマーケットプレイスに侵害されたデータを一貫して供給してきたマルウェアのカテゴリは、被害者のマシンから機密データを特定して盗み出すように設計されたインフォスティーラーです。 2022 年 3 月に人気のインフォスティーラー マルウェアである Raccoon Stealer が一時的に運用を停止した後、多くの脅威アクターが Raccoon Stealer から Mars Stealer、MetaStealer、BlackGuard、RedLine、Vidar などの他のインフォスティーラー ブランドに切り替えました。 しかし、Raccoon Stealer 2.0 は 2022 年上半期末に再登場し、2019 年に分析して「アンダーグラウンド フォーラムで人気と活動が急上昇している」と見たときと同じくらいの人気が再び高まっていることが証明されました。

おそらく、2022年上半期のマルウェア作戦で最も劇的な瞬間は、Contiランサムウェアのオペレーターが コスタリカ政府を標的にし、一連の壊滅的な攻撃の一部としてその政府を「転覆させる決意」を固めたと述べ、その後、個々のメンバーが他のランサムウェアギャングを支援できるようにする解散の一環として、恐喝Webサイトのインフラストラクチャを シャットダウン したときに発生しました。 Contiのふざけた態度はさておき、コスタリカにおける重要な政府サービスの中断は、2022年上半期にランサムウェア攻撃者が組織の業務を停止させた数多くの例の1つであり、最も多作なオペレーターの一部はLockBit 3.0およびHiveランサムウェアファミリーの背後にいる人々です。

Conti Gangの勇敢さを反映して、金銭的な動機を持つサイバー犯罪グループFIN7は、Recorded Futureによって、偽のサイバーセキュリティ企業であるBastion Secureを設立し、Carbanakのような悪用後のツールを情報技術(IT)管理およびセキュリティ監視ツールであるかのように配布しようとしたと 特定 されました。 これは、グループの新しい戦術の進化の一例でした。 MandiantのFIN7の活動に関する 更新レポート では、このグループがマルウェアを難読化するためにジャンク文字列を多用していることが指摘されています。 そのLOADOUTダウンローダーはVBSベースのペイロードで、難読化のためにジャンクコード(それほど微妙ではない文字列「FUCKAV」など)を使用していました。 さらに、Mandiantは、FIN7が公開コード分析リポジトリを使用して、LOADOUTのバージョンがアンチウイルスエンジンによって認識されているかどうかをテストし、認識されている場合は、検出に先んじるためにさらに多くのジャンクコードを迅速に追加することを発見しました。

マルウェアと脆弱性の傾向が重なる中、2022年上半期を通じて、複数の研究者が、Linuxの脆弱性「Dirty Pipe」(CVE-2022-0847)の悪用など、QNAPネットワーク接続ストレージ(NAS)デバイスを標的としたDeadBoltランサムウェアオペレーターによるサイバー攻撃キャンペーン を報告し ました。 Dirty Pipeが最初に公開されたとき、このローカル特権昇格(LPE)Linuxの脆弱性 を分析し た結果、複数の概念実証(POC)エクスプロイトが存在することが判明しました。これにより、多数の脅威アクターから簡単に悪用されることがわかりました。 より一般的には、Linuxを標的とするランサムウェアは、現時点では、LinuxベースのVMWare ESXiハイパーバイザーに依存することが多い大量の仮想化ストレージを迅速に標的にしたいというサイバー犯罪者の願望を反映した長年の傾向です。

Log4ShellとFollina Bookendの半年間のゼロデイエクスプロイト

2021年から2022年にかけて、サイバーセキュリティに関して最も議論されたトピックの1つは、ApacheのLog4Jソフトウェアの脆弱性であるLog4Shellであり、ロギングユーティリティのユビキタスな使用に基づいて数十万の組織を露出させました。 最近では2022年6月現在も、サイバー攻撃者がLog4Shellを悪用している というニュース が続いています。 Microsoft Exchangeに影響を与えるProxyShellと呼ばれる以前の一連の脆弱性の悪用も、複数の脅威アクターによる継続的な脅威でした。 過去数年の脆弱性調査で明らかになったように、サイバー犯罪者は、被害者のシステムに存在すると期待できる既知の脆弱性の小さなセットを標的にすることを好みます。

Recorded Future Platform で最も高いリスクスコアを記録し、2022 年上半期に公開された脆弱性を下表に示します。 これらの脆弱性はすべて、オープンソースのレポートまたは社内のハニーポット追跡に基づいて、実際に悪用されたと特定されました。 製品の観点から見ると、このリストの最も注目すべき側面は、Linuxに影響を与える脆弱性がMicrosoftの脆弱性を上回っていることです。

編集者注:この記事はレポート全文の抜粋です。 分析の全文を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。

関連