脅威ウォッチャーは、マルウェア グループがダイナミック リンク ライブラリや一般的な脆弱性や露出に適応して新たな機会を見つけるにつれて、ハッキングの変幻自在な性質を示す新たなサイバー セキュリティのエクスプロイトを発見しました。
セキュリティ企業のBitdefenderとArctic Wolfは、新たな攻撃手法に注目している企業の一つです。Bitdefenderによると、その一つである「S1deload Stealer」は、FacebookやYouTubeなどのソーシャルチャネルを攻撃経路として利用するサイドローダー型のエクスプロイトです。
ジャンプ先:
- リンクライブラリをデコイとして利用するサイドローディング
- S1deloaderはソーシャルメディアを悪用して悪質な結果をもたらす
- 未解決の脆弱性を狙った攻撃が増加
- 新たな概念実証CVEにより、ManageEngineを使用している組織が危険にさらされる
- ロレンツグループ、侵害されたVPNを通じて被害者へのアクセスを回復
リンクライブラリをデコイとして利用するサイドローディング
Bitdefenderによると、S1deload Stealerは、ほぼすべてのオペレーティングシステムで使用されているDLL(共有コードライブラリ)に影響を及ぼすサイドローディング技術を通じてシステムに感染します。標的となる経路は、不適切なコンテンツを装った正規の実行ファイルを介してソーシャルチャネルに拡散することです。
参照:IBM:昨年はランサムウェアの大部分がブロックされたが、サイバー攻撃は加速している(TechRepublic)
Bitdefenderのテクニカルソリューションディレクター、マーティン・ズゲック氏によると、サイドローディング技術は、正当なデジタル署名プロセスによって読み込まれたDLLの形で悪意のあるコードを隠すために使用されるとのことです。ズゲック氏は、DLLサイドローディングはWindowsやその他のプラットフォーム用の正当なDLLファイルの「羊の皮」をかぶることで、正当なアプリケーションを悪用すると指摘しました。
「マイクロソフトや他のOSが動作している間に、エクスプロイトが悪意のあるコードをサイドローディングで実行するので、これを『サイドローディング』と呼んでいます」とズゲック氏は語る(図A)。
図A
ズゲック氏によると、Bitdefenderはこの戦術の使用が急増している状況について、「DLLサイドローディングによって脅威アクターが隠れ続けることが可能になるからです。多くのエンドポイントセキュリティソリューションは、DLLファイルが実行可能であり、例えばMicrosoftや信頼できる大手企業によって署名されていることを確認します。しかし、この信頼できるライブラリは悪意のあるコードをロードするのです」と述べています。
S1deloaderはソーシャルメディアを悪用して悪質な結果をもたらす
Bitdefender はホワイトペーパーの中で、S1deload Stealer がインストールされると、資格情報の盗難、ソーシャル メディア管理者の特定、人工コンテンツのブースト、暗号通貨のマイニング、ユーザーのフォロワー リストを通じたさらなる拡散など、いくつかの悪意のある機能を実行すると報告しています。
S1deload Stealer のその他の機能は次のとおりです。
- クリックすると悪意のあるコードが誤って読み込まれる、正当なデジタル署名付き実行可能ファイルを使用する。
- サイドローディングによってシステム防御を突破できるため、システムに感染します。さらに、実行ファイルは実際の画像フォルダにリンクするため、マルウェアへのユーザーの疑いを軽減します。
- ユーザーの資格情報を盗む。
- 人間の行動を模倣して、ビデオやその他のコンテンツのエンゲージメントを人工的に高めます。
- 企業のソーシャル メディア管理者の識別など、個々のアカウントの価値を評価します。
- BEAM暗号通貨のマイニング。
- 悪意のあるリンクをユーザーのフォロワーに拡散する。
ズゲック氏は、サイドローディングに使用された実行ファイルを提供する企業には通常、責任はない、とすぐに指摘した。
参照: セキュリティ意識向上とトレーニングポリシー (TechRepublic Premium)
「ソフトウェアに脆弱性があり修正が必要なアクティブサイドローディングと、脅威の攻撃者が大企業から実行ファイルを入手するパッシブサイドローディングには違いがあると考えています」とズゲック氏は述べ、後者の場合、実行ファイルは10年前に開発された可能性があると指摘した。
Zugec氏によると、攻撃者は「そのオフラインコピーを作成し、悪意のあるライブラリをその隣に置いて実行する。たとえ実行ファイルが10年前にパッチ適用されていたとしても、脅威アクターは今日でもそれを利用し、悪意を持ってコードを密かに隠蔽することができる」とのことだ。
未解決の脆弱性を狙った攻撃が増加
BitdefenderとArctic Wolfが観測したCVEエクスプロイトは、公開されたセキュリティ上の欠陥を狙った攻撃を特徴としています。GitHubやExploit-DBなどの情報源を用いてCVEエクスプロイトの可用性を監視しているサイバー保険・セキュリティ企業Coalitionによると、ほとんどのCVEは公開から90日以内にエクスプロイトが実行されるとのことです。これは、脆弱性ベンダーや脅威アクター自身がネットワークに侵入するための十分な時間です。Coalitionは、初のサイバー脅威インデックスにおいて、CVEの大部分が公開後30日以内にエクスプロイトされたと述べています。
報告書の中で同社は次のように予測している。
- 2023 年には、毎月 1,900 件を超える新しい CVE が発生し、そのうち 270 件は重大度の高い脆弱性、155 件は重大な脆弱性となります。これは、2022 年に公開されたレベルと比較して、毎月の平均 CVE 数が 13% 増加することになります。
- 昨年スキャンされた組織の 94% には、インターネットに公開されている暗号化されていないサービスが少なくとも 1 つあります。
- 平均すると、2022年には、検証済みのエクスプロイトがCVEの30日後にExploit-DBに公開され、同社は公開から58日後にGitHubリポジトリで潜在的なエクスプロイトの証拠を発見しました。
新たな概念実証CVEにより、ManageEngineを使用している組織が危険にさらされる
Bitdefenderは、CVE-2022-47966のリモートコード実行脆弱性を悪用した、武器化された概念実証コードを発見しました。標的は、人気のIT管理スイートであるManageEngineを使用している組織です。
Bitdefender Labsは、ManageEngine ServiceDeskソフトウェアでフラグが付けられたインシデントを調査しています。このソフトウェアは、パッチが適用されていないサーバー上で攻撃者がリモートコードを実行できるため、スパイツールやマルウェアのインストールに悪用される可能性があります。
同社のアナリストは、この CVE に対して、Netcat.exe、Colbalt Strike Beacon、Buhti ランサムウェアを展開してアクセスし、スパイ活動を行い、マルウェアを配信する世界的な攻撃を確認したと報告しています。
「当社の分析によると、インターネットからアクセス可能な2,000台から4,000台のサーバーが、脆弱性のある製品のいずれかを実行している」とBitdefenderは述べ、概念実証で提供されたコードですべてのサーバーが悪用されるわけではないと指摘した。「しかしながら、これらの脆弱なバージョンを実行しているすべての企業に対し、直ちにパッチを適用することを強く推奨します。」
ロレンツは侵入されたVPNを通じて被害者へのアクセスを回復した
Arctic Wolfは先日、悪名高いランサムウェア集団「Lorenz」による、大胆な反復攻撃を詳細に解説した独自のレポートを発表しました。同社は、攻撃者が侵害したVPNアカウントを利用して被害者の環境へのアクセスを奪還し、「Magnet RAM Capture」を実行して被害者のエンドポイント検知・対応を回避していたことを確認しました。Magnetは、法執行機関やフォレンジックチームが被害者のデバイスの物理メモリをキャプチャするために使用する無料のイメージングツールです(図B)。
図B
Arctic Wolf Labsは、Lorenzグループによる同社のツールの悪用が判明していることをMagnet Forensicsに報告したと述べた。
アークティック・ウルフ・ラボの副社長兼代表のダニエル・サノス氏は、サイバー犯罪が急増しているため、組織は脅威の実行者の戦術、技術、手順の新たな変化に対応できるサイバーセキュリティの人材を継続的に確保する必要があると語った。
「脅威アクターは、新たなエクスプロイトや回避手法を迅速に採用し、通常のホストやネットワークの活動に紛れ込む攻撃に悪用できる新たな合法ツールを見つけ出すことを証明してきました」とサノスは述べています。「正規のフォレンジックユーティリティ「Magnet RAM Capture」を悪用するLorenzランサムウェアに関する当社の新たな調査も、この好例です。」
