脅威アクターはインターネットサービスを利用してデータ盗難を強化し、セキュリティ防御を弱体化させます

Insiktの新しい調査では、脅威アクターがGoogle Drive、OneDrive、Notion、GitHubなどの信頼できるプラットフォームを悪用して、通常のインターネットトラフィック内で悪意のある活動を隠す傾向がますます高まっていることが浮き彫りになりました。 この戦術は、従来の防御を弱体化させながら、データの盗難と運用の効率を高めます。 この戦略の最前線には、持続的標的型攻撃(APT)グループがおり、それほど洗練されていないグループがこれに続きます。 これは、脅威アクターのイノベーションとともに進化する適応可能な防御戦略の必要性を強調しています。

このレポートは、マルウェアのカテゴリ全体で正当なインターネットサービス(LIS)の悪用を体系的に概観することで、理解における重大なギャップに対処しています。 脅威アクターが享受する利点と防御側が直面する課題により、LISの悪用がさらに増加すると予測しています。 包括的なレポートがないため、この傾向を明確に定量化することは困難ですが、確立されたマルウェアファミリによるLISの悪用の蔓延、新しい亜種によるこれらの手法の採用、APTグループによる急速な革新はすべて、敵対者のインフラストラクチャに対するLISの悪用が増加傾向にあることを示唆しています。

LISを使用した完全なC2インフラストラクチャセットアップの概要

脅威アクターが戦術を進化させ続けるにつれて、侵害の痕跡(IOC)ブロックや基本的な検出などの従来の防御は効果が低下します。 ネットワーク、ファイル、ログベースの検出方法を網羅する多面的なアプローチが提案されています。 また、防御者は、潜在的に脆弱なインターネットサービスをプロアクティブに特定し、攻撃シミュレーションを実施して、一歩先を行く必要があります。

レポートが400を超えるマルウェアファミリを分析した結果、そのうちの25%が何らかの形でLISを悪用し、そのうち68.5%が複数のLISを悪用していることが明らかになりました。 インフォスティーラーは、LISを悪用する可能性が最も高く(37%)、データ流出の目的とインフラストラクチャのセットアップの容易さに起因しています。 マルウェアのカテゴリが異なれば、異なるインフラストラクチャスキームが採用されます。 Googleドライブなどのクラウドストレージプラットフォームが最も一般的に悪用されており、TelegramやDiscordなどのメッセージングアプリがそれに続きます。

短期的には、防御側は、環境内で使用されていないが、悪意を持って使用されていることがわかっているLISを特定してブロックすることをお勧めします。 長期的なセキュリティのために、組織は特定のサービスの正当な使用と悪意のある使用の両方を理解するためにリソースを投資する必要があります。 この理解は、より効果的で微妙な検出方法の開発を促進します。 TLSネットワーク傍受などのテクノロジーは、可視性の向上にますます関連していますが、プライバシーとコンプライアンスの懸念も生じます。

このような課題はあるものの、防御側は、悪意のあるLISの使用をブロックまたはフラグを立てる、プロアクティブな脅威ハンティング、さまざまな検出方法に焦点を当てるなどの対策を実装できます。 正当なサービスの使用と悪意のあるサービスの使用を包括的に理解することは、効果的な検出メカニズムと全体的な保護のために不可欠です。 シリーズの次のレポートでは、悪意のあるインフラストラクチャとして使用される特定のLISカテゴリの悪用について詳しく説明します。

文末脚注付きの分析全体を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。