*本記事はNTT Ltd. 社のGTICチームが発行した2021 Global Threat Intelligence Monthly Threat Reportの抄訳です。
元記事:GTIC Monthly Threat Report September 2021
目次
NTT GTICの紹介
NTTグローバル・スレット・インテリジェンス・センター(GTIC)は、従来の純粋な研究機関の枠を超えて、脅威や脆弱性の研究を行い、それを検知技術の開発と組み合わせることで、応用的な脅威に関するインサイトを生み出しています。GTICの使命は、高度な脅威研究とセキュリティ・インテリジェンスを提供することで、NTTがサイバー脅威を予防、検知、対応できるようにし、お客様を守ることです。
NTTの脅威研究は、世界中のインテリジェンス能力とリソースを活用し、様々な脅威の主体、悪用ツール、マルウェア、そして攻撃者が使用する技術、戦術、手順(TTP)についての理解と洞察を得ることに重点を置いています。
脅威が急増しているアジア太平洋地域で最も確認されているランサムウェア
世界的にランサムウェアの攻撃は増加しており、特にアジア太平洋地域ではインシデントの数が急激に増加しています。
2020年にはランサムウェアのインシデント数が世界中で約50%増加し、これまでのところ2021年ではランサムウェアのインシデント数が約100%の増加が確認されています。
その中で最も多く確認されているランサムウェアは「Ryuk」、「Lockbit 2.0」、そしてまだ知名度の低い「TimosaraHackerTeam(THT)」です。
これら3つに共通して観察されたパターンは、
- Windowsのネイティブツールを使ってネットワーク上で偵察を行うこと
- vssadminを使ってシャドーコピーを削除すること
上記の2点です。
Ryuk
数年前に登場して以来、 Ryukはランサムウェアとしての注目度が急激に上昇しました。
Ryukは通常、クライアント環境内の感染では最初の兆候として認識されません。EmotetやTrickbotの感染が、Ryukの感染に先行します。
Ryukの背後にいるオペレーターは、ネットワークに素早く侵入し、機密性の高いインフラストラクチャを特定した後に、横方向に移動するという、試行錯誤された計画を実行する傾向があります。攻撃者は、悪意のあるMicrosoft Word文書ファイルからEmotetをダウンロードさせて、初期感染をさせます。EmotetはそこからTrickbotというトロイの木馬を侵入させ、認証情報の窃取することで横方向への移動を可能にします。感染者のネットワークがスキャンされると、高価値と認識された箇所への追加攻撃で Ryuk が展開されます。
防御側を混乱させるために、Ryukはスケジューラタスクを使用してランダムな名前の実行ファイルを生成し、不特定なタイミングでローカルディスクの暗号化を開始します。
Lockbit 2.0
今年確認されたランサムウェアの中で新しい亜種の1つがLockBit 2.0です。 Lockbit 2.0には、情報を盗むトロイの木馬が組み込まれています。
このマルウェアは、二重恐喝の手法を用いて、盗んだデータを公開すると脅して被害者に身代金の支払いを求め、被害者のデータを流出させた後、被害者のシステム上のデータを暗号化していきます。
攻撃者は、できるだけ多くのエンドポイントにランサムウェアを配置し、同時にランサムウェアを実行させることで、より多くのファイルの暗号化を可能にします。しかも、攻撃者がMicrosoft Windowsドメインコントローラを見つけ出し、危険にさらすことができれば、LockBit 2.0はそれを利用してドメイン内のすべてのエンドポイントに新しいグループポリシーを設定することができます。これらのグループポリシーは、Microsoft Defenderの保護機能を無効にし、エンドポイントでランサムウェアを実行するためのスケジュールタスクの作成を可能にします。
TimosaraHackerTeam(THT)
THTは、暗号化ランサムウェア及びトロイの木馬のランサムウェアで、大規模や中規模の攻撃キャンペーンでよく確認されています。
主な攻撃キャンペーンでは、組織、企業、政府機関、中堅企業が使用する大規模なサーバーが標的となっているようです。
脅威の行為者が管理者権限でシステムにアクセスすると、BestCrypt、DiskCryptor、あるいはWindows Bitlockerなどのツールを使用してディスク全体を暗号化します。暗号化が完了すると、システムが再起動され、被害者はロックアウトされてしまいます。
セキュリティは常にアップデートしつづける必要があるー予測不能に進化を遂げるマルウェア
#スポットライト1 – 進化を続ける「LemonDuck」
LemonDuckというクリプトマイナーは、主に2019年の春に確認されました。当初は、フィッシングメールのような一般的な手法を使って拡散されていましたが、LemonDuckを「クリプトマイナー」と区別することは単純すぎることがすぐに明らかになりました。
LemonDuckのボットネット機能はより広範な攻撃ベースを可能にするもので、開発者は、クレデンシャルの窃盗やドロッパー機能などの機能を搭載し、セキュリティコントロールを除去してクライアント環境を横切るように感染させる機能も備え、WindowsとLinuxの両方のシステムを対象としていました。さらに、ブルートフォース攻撃の実行、Eternal Blue エクスプロイトによる拡散、Microsoft Exchange の脆弱性に対応するなど、開発者は更新した機能を搭載することで、LemonDuckを進化させ続けています。LemonDuckは単なる「クリプトマイニング」よりも重大な脅威を与える、危険な機能を持つマルウェアとして理解されるべきです。
#スポットライト2 – ランサムウェアの脅威アクターが活用している「SystemBC RAT」
最近のランサムウェアの脅威アクターは、以前より攻撃の戦術を変更させ、バックドアが侵害されたネットワークに侵入し、SystemBCリモートアクセストロイの木馬(RAT)で感染者の環境を感染させるネットワーク攻撃を行っています。SystemBCは、SOCKS5を活用したプロキシマルウェアで、2018年後半に初めて注目されましたが、2019年半ばには攻撃者に広く利用されるようになりました。
アンダーグラウンドのハッキングフォーラムで販売されており、SOCKS5プロキシプロトコルを利用して攻撃者のコマンド&コントロール(C2)サーバーを隠すことができると宣伝されています。
このマルウェアは、Windowsコマンドの実行、悪意のあるDLLの実装、スクリプトの展開、リモート管理と監視、オペレーターがコマンドを受信するためにバックドアの確立が可能です。SystemBCは、標的となるホストへの持続的なリモート接続を提供し、攻撃者が悪意のある実行ファイル、Windowsコマンド、PowerShellスクリプト、.bat/VBSスクリプトを、影響を受けるマシンに追加で落とすことを可能にするため、脅威アクターの間で人気が高まっています。
#スポットライト3ー病院のインフラに発見された脆弱性は患者の治療を脅かすかもしれない
ヘルスケア業界は、一貫してサイバーセキュリティの課題に直面しています。病院を含む医療機関は常にプレッシャーにさらされており、1年半以上前にパンデミックが勃発して以来、こうした脅威は増大しています。
病院は以前よりも、より深刻で新たな問題に直面し続けています。その問題の一つは、多くの病院で使用されている空気圧式チューブシステム(PTS)に関する問題です。これらのチューブは、世界中の何千もの病院に設置されており、手術室や検査室などの様々な部署間で薬剤、血液、検査サンプルを搬送する重要な役割を担っています。このような重要なインフラが、複数のセキュリティの脆弱性によって危険にさらされています。
病院は地域や社会に重要なサービスを提供しており、そのセキュリティ完備は極めて重要です。医療システムの近代化が進むにつれ、病院はランサムウェアの攻撃を受けやすくなっていますが、この攻撃はすぐにはなくなることはありません。効果的なセキュリティを構築・維持するためには、適切なセキュリティの衛生管理が重要です。これにはフィールド機器が直面する最新の脅威や脆弱性を把握することが含まれます。また、医療機器やITシステムの定期的な見直しをすることでせキュリティ環境の本質を理解することもできます。
この脆弱性には、ハードコードされたパスワード、不要な権限の実行、不適切な認証、リモートコードの実行やDoS(サービス拒否)につながるメモリ破壊バグが含まれます。最近発見された中で最も深刻な脆弱性は、攻撃者がPTSステーションの侵害を維持することができ、病院が身代金を支払うまで攻撃者が特定のステーションを人質に取ることができるというものでした。
最後に
今後も続くランサムウェアやマルウェアの進化は予想をすることができません。攻撃者を直接撃退できなくても、ランサムウェアやマルウェアの対策を完備させることで、いつ来るかわからない攻撃からのダメ―ジを最小限にとどめることができます。この機会に改めてセキュリティインフラストラクチャーの構造を把握しませんか?
NTT Com DDが提供するセキュリティソリューション
当社では、より安心で安全なセキュリティインフラストラクチャーの構築を支援できる様々なソリューションを提供しております。詳しくはこちらをご確認ください。
ご質問やお問合せはお気軽に下記からご連絡ください。
GTIC Monthly Threat Report September 2021全文は下記のバナーをクリックするとお読みいただけます。
