日本語 
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
2023 年 8 月にビジネスに影響を与えるサイバーセキュリティの脅威
サイバーセキュリティの脅威は急速に増加しています。 その結果、企業のリーダーは全体的なサイバーセキュリティ戦略における潜在的な欠陥をより認識する必要があります。 Marcum Technology の SOC サービスの一部として提供される脅威ハント クエリは、組織の環境内の潜在的な脅威を特定するための鍵となります。
以下は、過去 1 か月間に出現した上位 4 つの脅威です。
ランサムウェア攻撃は、範囲と重大度の両方において、世界中の組織にとって深刻な問題となっています。 Microsoft のインシデント対応チームは、最近の BlackByte 2.0 ランサムウェア攻撃を調査し、これらのサイバー攻撃の驚くべきスピードと破壊的な性質を明らかにしました。 この調査結果は、ハッカーが最初のアクセスの取得から重大な損害を引き起こすまでの攻撃プロセス全体をわずか 5 日間で実行できることを示しています。 彼らは迅速にシステムに侵入し、重要なデータを暗号化し、その解放のために身代金を要求します。 この凝縮されたタイムラインは、これらの悪意のある操作から防御しようと努めている組織にとって、重大な課題を引き起こします。
BlackByte ランサムウェアは攻撃の最終段階で使用され、8 桁の数字キーを利用してデータを暗号化します。 攻撃者はツールと技術を強力に組み合わせて、パッチが適用されていない Microsoft Exchange Server を利用してアクセスを取得し、悪意のある活動の基盤を築きます。 プロセス空洞化、ウイルス対策回避戦略、リモート アクセス用の Web シェル、および指揮統制操作用の Cobalt Strike ビーコンにより、その機能がさらに強化され、組織がそれらに対する防御を難しくしています。 さらに、サイバー犯罪者は、活動を偽装し、検出を回避するために「地球外に生息する」ツールを使用します。 感染したマシン上のボリューム シャドウ コピーを変更して、システム復元ポイントによるデータ回復を防ぎ、最初の侵害後も永続的なアクセスを可能にするカスタム バックドアを展開します。
ランサムウェア攻撃がより頻繁かつ巧妙になるにつれて、組織が適切に準備をしていないと、脅威アクターはすぐに業務を妨害する可能性があります。 これらの攻撃の深刻さには、世界中の組織による即時の行動が必要であり、これらの調査結果に応じて、マイクロソフトは実用的な推奨事項を提供しています。 重要なセキュリティ更新プログラムを早期に適用するための堅牢なパッチ管理手順の実装を奨励します。 タンパープロテクションを有効にすることも重要です。これにより、セキュリティ ソリューションを無効にしたりバイパスしたりする悪意のある試みに対してセキュリティ ソリューションが強化されます。 最新のシステムの維持や管理権限の制限などのベスト プラクティスに従うことで、組織は BlackByte ランサムウェア攻撃やその他の同様の脅威のリスクを大幅に軽減できます。
「Nitrogen」と呼ばれる最近のキャンペーンでは、C2 通信に DLL サイドローディングが利用されていることが確認されました。 この攻撃は、通常のフィッシングの手口ではなく、侵害された WordPress Web サイトからのドライブバイ ダウンロードから始まりました。 このファイル (ISO イメージ) には、エンドユーザーが手動で実行する必要があるインストール ファイルが含まれています。 次に、インストーラーは msi.dll ファイルのロードを開始し、付随するデータ ファイルを復号化します。 埋め込み Python ディストリビューションと DLL は、ユーザーの C:\Users\Public\Music\python パスにサイドロードされるようにドロップされます。
次に、マルウェアはスケジュールされたタスク「OneDrive Security Task-S-1-5-21-5678566754-9123742832-2638705499-2003」を作成し、pythonw.exe を実行します。 これにより、マルウェアに永続性が与えられます。 このタスクはシステム起動時にトリガーされるようにスケジュールされ、2029 年 12 月 1 日の午前 0 時に期限切れになります。
永続性が確立されると、マルウェアはその役割を実行できるようになります。 DLL サイドローディングを使用して C2 サーバーとの永続的な接続を維持し、圧縮/エンコードされたデータを取得してローカルで実行するところまで確認されています。
Cobalt Strike はある時点で選択されたペイロードとして観察されましたが、他のペイロードも同様に実装される可能性があるようです。 このマルウェアは確かに大きな被害を引き起こす可能性を秘めていますが、このキャンペーンでは、侵害された Web サイトからドライブバイ ダウンロード経由でダウンロードしたファイルをユーザーが手動で実行する必要があるという点が慰めとなります。 ただし、これは常にフィッシング経由で配信される可能性があり、その容易さと有効性により、依然として最も一般的なベクトルの 1 つとなっています。