マルウェアを使わなくなった攻撃者たち 代わりに用いられる手法とは?Cybersecurity Dive

Huntressの調査によると、中堅・中小企業を標的とするサイバー攻撃者は従来のマルウェアを使った攻撃を実行する傾向は低くなっているという。

» 2023年12月23日 07時00分 公開
[Matt KapkoCybersecurity Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

Cybersecurity Dive

 サイバーセキュリティ事業を営むHuntressの中堅・中小企業向けの脅威レポートによると(注1)、中堅・中小企業を標的とするサイバー攻撃者が従来のマルウェアを使った攻撃を実行する傾向は低くなっている。

 2023年の第3四半期にHuntressが記録したインシデントのうち、5つに3つはマルウェアを使用しないものだった。

マルウェアを使わなくなった攻撃者たち 代わりに用いられる手法とは?

 Huntressは、2023年11月21日の報告書で「カスタムツールや明確に悪意を持つツールは依然としてインシデントに使われるが、サイバー攻撃者は検知や対応を回避するために複数のメカニズムを通じて正規のネットワーク運用に紛れ込もうとしている」と述べている。

 Huntressの研究によると、マルウェアは中堅・中小企業にとって依然として重大な脅威であり、第3四半期の全てのインシデントの44%で使用されている。しかし多くの場合、サイバー攻撃者はスクリプトフレームワークやリモートモニタリングマネジメント(以下、RMM)ソフトウェアなどの正規のツールを悪用して被害者のネットワークに侵入している。

 Huntressが第3四半期に観測した事件のほぼ3分の2には、RMMソフトウェアの認証情報の盗難が何らかの形で関与していた。

 Huntressによると、サイバー攻撃者は2023年の夏に、複数の医療機関のネットワークにアクセスするために、サードパーティーの製薬ベンダーがローカルホストとして運用しているRMMソフトウェア「ConnectWise Control」(旧ScreenConnect)のインスタンスを悪用した。この攻撃者は、被害者のネットワークへの継続的なアクセスを確保するために追加のRMMソフトウェアをインストールし、薬局とクリニックに対する攻撃を引き起こした(注2)。

 サイバー攻撃者はまた、「AnyDesk」やConnectWise Controlといった正規のRMMツールを悪用し、2022年6月から始まった広範なキャンペーンで連邦政府の従業員を標的にした(注3)。

 2023年の初旬にサイバー当局が共同で発表したサイバーセキュリティに関する警告によると(注4)、金銭的な動機に基づく攻撃では、攻撃者がヘルプデスクを装ったフィッシングメールを送信し、企業幹部を誘導してRMMソフトウェアをダウンロードさせ、被害者の銀行口座から金銭を盗む試みが行われているという。

 米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)によると、RMMソフトウェアを悪用した中堅・中小企業に対する攻撃のリスクが高まっている(注5)。

 サイバー当局は、2023年8月に発表した「2023 Joint Cyber Defense Collaboration Planning Agenda」の中で(注6)、攻撃者はRMMを悪用してマネージドサービスプロバイダーのサーバに侵入し、何千もの顧客のネットワークにアクセスしていると警告した。

 サイバー当局はこの分野のベンダーに対し、RMMインフラの危険性やリスクを軽減するために講じるべき措置を中堅・中小企業に知らせる目的で、情報共有を強化するよう促した。

© Industry Dive. All rights reserved.