マルウェアを使わなくなった攻撃者たち 代わりに用いられる手法とは?:Cybersecurity Dive
Huntressの調査によると、中堅・中小企業を標的とするサイバー攻撃者は従来のマルウェアを使った攻撃を実行する傾向は低くなっているという。
サイバーセキュリティ事業を営むHuntressの中堅・中小企業向けの脅威レポートによると(注1)、中堅・中小企業を標的とするサイバー攻撃者が従来のマルウェアを使った攻撃を実行する傾向は低くなっている。
2023年の第3四半期にHuntressが記録したインシデントのうち、5つに3つはマルウェアを使用しないものだった。
マルウェアを使わなくなった攻撃者たち 代わりに用いられる手法とは?
Huntressは、2023年11月21日の報告書で「カスタムツールや明確に悪意を持つツールは依然としてインシデントに使われるが、サイバー攻撃者は検知や対応を回避するために複数のメカニズムを通じて正規のネットワーク運用に紛れ込もうとしている」と述べている。
Huntressの研究によると、マルウェアは中堅・中小企業にとって依然として重大な脅威であり、第3四半期の全てのインシデントの44%で使用されている。しかし多くの場合、サイバー攻撃者はスクリプトフレームワークやリモートモニタリングマネジメント(以下、RMM)ソフトウェアなどの正規のツールを悪用して被害者のネットワークに侵入している。
Huntressが第3四半期に観測した事件のほぼ3分の2には、RMMソフトウェアの認証情報の盗難が何らかの形で関与していた。
Huntressによると、サイバー攻撃者は2023年の夏に、複数の医療機関のネットワークにアクセスするために、サードパーティーの製薬ベンダーがローカルホストとして運用しているRMMソフトウェア「ConnectWise Control」(旧ScreenConnect)のインスタンスを悪用した。この攻撃者は、被害者のネットワークへの継続的なアクセスを確保するために追加のRMMソフトウェアをインストールし、薬局とクリニックに対する攻撃を引き起こした(注2)。
サイバー攻撃者はまた、「AnyDesk」やConnectWise Controlといった正規のRMMツールを悪用し、2022年6月から始まった広範なキャンペーンで連邦政府の従業員を標的にした(注3)。
2023年の初旬にサイバー当局が共同で発表したサイバーセキュリティに関する警告によると(注4)、金銭的な動機に基づく攻撃では、攻撃者がヘルプデスクを装ったフィッシングメールを送信し、企業幹部を誘導してRMMソフトウェアをダウンロードさせ、被害者の銀行口座から金銭を盗む試みが行われているという。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)によると、RMMソフトウェアを悪用した中堅・中小企業に対する攻撃のリスクが高まっている(注5)。
サイバー当局は、2023年8月に発表した「2023 Joint Cyber Defense Collaboration Planning Agenda」の中で(注6)、攻撃者はRMMを悪用してマネージドサービスプロバイダーのサーバに侵入し、何千もの顧客のネットワークにアクセスしていると警告した。
サイバー当局はこの分野のベンダーに対し、RMMインフラの危険性やリスクを軽減するために講じるべき措置を中堅・中小企業に知らせる目的で、情報共有を強化するよう促した。
(注1)Empower Your Defense with SMB Threat Insights(HUNTRESS)
(注2)Bitter Pill: Third-Party Pharmaceutical Vendor Linked to Pharmacy and Health Clinic Cyberattack(HUNTRESS)
(注3)Threat actors are using remote monitoring software to launch phishing attacks(Cybersecurity Dive)
(注4)Protecting Against Malicious Use of Remote Monitoring and Management Software(CISA)
(注5)Cyber authorities have a plan to defend remote monitoring tools(Cybersecurity Dive)
(注6)JCDC Focused on Persistent Collaboration and Staying Ahead of Cyber Risk in 2023(CISA)
関連記事
- 徳丸 浩氏が“独断と偏見”で選ぶ 2023年気になった事件と2024年脅威予測
2023年は多くのサイバー攻撃が発生したが、この中で徳丸 浩氏が注目したものは何だったのだろうか。2023年のセキュリティトレンドを振り返りつつ、2024年の脅威予測をお伝えしよう。 - サイバー攻撃者はなぜギャンブル業界を狙うのか? お金だけじゃないその理由
サイバー攻撃者は近年、ギャンブル業界を標的にしたランサムウェア攻撃を仕掛ける傾向にある。一体なぜこの業界が狙われているのか。理由は金銭だけではないようだ。 - Microsoftが批判を受けてサイバー戦略を全面的に見直し 3つの大きな変更とは?
Microsoftはセキュリティ・バイ・デフォルトを採用するためにサイバー戦略を大幅に刷新した。この計画は2023年のはじめに、同社がセキュリティ機能に関する追加の課金を顧客に対して行い、大きな反発を受けた後に発表された。 - 50カ国が賛同した“身代金支払いの拒否”の共同声明 だが専門家は影響を疑問視
CRIのメンバーである50カ国は「各国政府の権限の下にある機関は、ランサムウェアに関連する身代金を支払うべきではない」という共同声明を発表した。この誓約は、禁止に向けた第一歩になる可能性がある。
© Industry Dive. All rights reserved.