2022 年は、SentinelLabs の研究チームにとってまたしても波乱に富んだ年でした。そして、ウクライナの出来事に対する研究成果が大部分を占めるようになりました。また、史上初のLABSconイベントを主催し、業界全体から一流の研究者とソート リーダーを集め、多くのサプライ チェーン攻撃、敵対者、macOS、Linux、Windowsマルウェアと、悪用可能な脆弱性を調査する機会を作ることができました。
ランサムウェアの TTP は、変化をしてきており、ハイブリッド暗号化や部分暗号化の使用が増加し、攻撃者による身代金目的のデータの窃取や、場合によってはファイル ロッカーの使用に重点が置かれてきています。
SentinelLabs のホームページ(英語)には、すべての調査結果と脅威インテリジェンスがブログで公開されていますが、本ブログでは、2022 年の主なハイライトを月別に簡単に要約していきます。
1月
1 月には、イランに関連する脅威アクターであるMuddyWaterに属する PowGoop マルウェアの新しい亜種を特定できました。この攻撃者がトンネリング ツールを使用し、Exchange サーバーで CVE-2020-0688 を悪用して中東の政府機関を侵害した可能性があることを説明しています。他の多くのイランの脅威アクターと同様に、このグループは、他の国が支援する APT グループと比較して洗練度と技術的な複雑さこそ劣っていますが、公開されている攻撃的なセキュリティ ツールを使用し、パッチが適用されていない脆弱性を悪用することで成功を収めています。
1 月には、SentinelLabs がmacOS アドウェア感染の脅威ハンティング、最近のハクティビスト キャンペーン、 BlackCat ランサムウェアの分析と、 CVE-2021-45608 (何百万ものルーターに影響を与えるNetUSB の欠陥) に関する調査も投稿しました。
2月
2022 年 2 月のロシアによるウクライナ侵攻は、世界に大きな影響を与えました。今も影響を与え続けている出来事となっています。ロシアのキャンペーンは迅速かつ決定的であり、同様に破壊的なサイバー戦争キャンペーンを伴うことが広く予想されていました。しかし、それらの期待が正しくないことが判明しました。ウクライナ人の決意は、ロシア人と多くのオブザーバーの双方を驚かせましたが、戦争に関連したサイバー キャンペーンには予想外の側面もありました。2 月に最初に発見されたのは、SentinelLabs がHermetic Wiperと名付けた新しい破壊的なワイパーでした。これは、ウクライナの組織の Windows デバイスを標的とする署名付きドライバーです。
SentinelLabs はさらに、ModifiedElephantと名付けられた10 年前に国家が後援していた敵対者を暴露しました。この敵対者は、インドの人権活動家、弁護士、学者と、民間の反対意見に関与しているその他の人々を標的にしていました。ModifiedElephant の目的は長期的な監視であり、場合によっては「証拠」 (特定の犯罪で標的を有罪とするファイル) を配信してから、最終的には、都合のよい方法で逮捕することで終わります。
SentinelLabs は、さらにまた、イランの脅威アクターであるTunnelVisionが中東と米国の標的に対して Log4j2 やその他の脆弱性を悪用していることについて報告しました。
3月
ウクライナでの戦争が加速するにつれて、サイバー攻撃も同様に増加しました。WhisperKill、WhisperGate、HermeticWiper、IsaacWiper、CaddyWiper、DoubleZero はすべて業界全体で報告されましたが、AcidRainでは新たな展開が見られました。衛星接続を妨害することでウクライナ軍の指揮統制能力を奪おうとする試みが波及し、Viatsat モデムへの攻撃によって中断された約 6,000 台のエネルコン風力タービンの遠隔監視と制御により、ドイツのインフラストラクチャに影響を与えました。
ウクライナを標的にしたのはロシア人だけではないことも判明しました。3 月、SentinelLabs は、中国の脅威アクターScarab APTが、ウクライナの組織に HeaderTip マルウェアを感染させようとしていることを報告しました。一方、SentinelLabs は、 Microsoft Azure の Defender for IoTに、認証されていない攻撃者がデバイスをリモートで侵害する可能性がある重大な重度の欠陥を複数明らかにしました。
4月
4 月、SentinelLabs の焦点はクライムウェアに向けられ、LockBit 3.0 に関する調査で、攻撃者が署名付きの VMware xfer ログ コマンド ライン ユーティリティを介して Cobalt Strike ビーコンをサイドロードしていたことを明らかにしました。その後、この手法が、これまで LockBit を使用するとは知られていなかった脅威アクターである、 Microsoft がDEV-0401 として追跡しているアフィリエイトに関連していることを発見しました。
SentinelLabsは 4 月にNokoyama ランサムウェアについても公開し、以前の分析で示唆されているように、これは明らかにHiveではなく Karma/Nemty の進化形であることを発見しました。
5月
共有コード レポジトリを介したサプライ チェーン攻撃が5 月の特徴でした。SentinelLabs は、Rust 開発コミュニティに対するサプライチェーン攻撃であるCrateDepressionについて報告しました。これは、GitLab 継続的インテグレーション (CI) パイプラインを使用して被害者を標的とした悪意のあるクレートの発見について発表をしたRust セキュリティ レスポンス ワーキング グループからの勧告に続くものです。感染した CI パイプラインには、レッドチーム フレームワークである Mythic に基づいて構築された Go バイナリとして特定された第 2 段階のペイロードが提供されました。攻撃者は、macOS と Linux の両方のペイロードを利用できました。
また、5 月には、タイポスクワッティング キャンペーンで悪意のある Python パッケージを使用してPyPI を標的とする脅威アクターが現れました。macOS ペイロードが 2021 年にOSX.Zuruと同様の難読化手法を使用して、感染したデバイスに Cobalt Strike ビーコンを投下したことを確認しました。
6月
2022 年 6 月、SentinelLabs の研究は、中国に関連する脅威活動に焦点を当てるようになりました。調査結果により、Aoqin Dragonと呼ばれる新たに発見された APTが、東南アジアとオーストラリアの政府、教育、通信組織を 10 年以上にわたって密かにスパイしていたことが明らかになりました。
脅威アクターは、ポルノをテーマにしたドキュメント ルアーを使用してユーザーを感染させた過去があり、通常、Mongall とオープン ソースの Heyoka プロジェクトの修正バージョンの 2 つのバックドアのいずれかをドロップすることがわかりました。
7月
7 月、SentinelLabs の調査により、中国政府が支援するサイバー スパイ グループが、ウクライナ戦争の最中にロシアの標的に照準を合わせていたことが判明しました。
また、APPX と MISIX パッケージとして作成された悪意のある Windows アプリケーションが、攻撃者によって Office マクロの代替感染ベクトルとしてどのように使用されているかについても調査しました。LockBit 3.0 は引き続き多くの企業にとって重大な脅威であり、SentinelLabは、LockBit の最新の分析防止技術と回避技術に関する新しい研究を発表しました。
8月
SentinelLabs は、Microsoft が発表した Office マクロのロックダウンに照らして代替ベクトルに関する調査を進め、Windows ショートカット、LNK ファイルが攻撃者によってどのように悪用されているかについて公開しました。この詳細な調査は、27,000 を超える悪意のある LNK ファイル サンプルの分析に基づいています。
攻撃者が LNK ファイルを介してマルウェアを実行するために使用する一連の LOLBin の中で、Windows Explorer が最上位のLOLBin (Living Off the Landバイナリ) であることがわかりました。
9月
9 月はLABSconが開催された月であり、当然のことながら、SentinelLabs の研究チームからいくつかの大きな発表がありました。最初に現れたのは、中東とアフリカのいくつかの国のテレコム企業やインターネット サービス プロバイダーと大学を標的としていることが SentinelLabs によって発見された謎の脅威アクターのMetadorです。
また、米国、ロシア、ウクライナやその他の国を標的として、2022 年を通じてハッキング キャンペーンを実行しているサイバー傭兵グループ、Void Balaurに関する調査も公開しました。SentinelLabs はまた、「JuiceStealer」と呼ばれるアセンブリを介した情報窃取に焦点を当てた比較的新しい脅威アクターであるJuiceLedger.NETと、PyPI コントリビューターに対するフィッシング キャンペーンについて報告しました。
10月
10 月には、 WIP19として追跡している新しい脅威クラスターに関する調査で、中国に関連する APT に焦点を当てた調査に戻りました。
WIP19 は、「DEEPSoft」と呼ばれる企業が署名したデジタル証明書を盗んで、中東やアジアの通信、 IT サービス プロバイダーを標的にしています。この活動は、脅威アクターが実行するほぼすべての操作が「ハンズオン キーボード」方式で行われたという事実が注目に値します。攻撃者はステルス性を高める代わりに C2 チャネルを使用していました。
11月
祭りごとやホリデーシーズンが近づき始めると、SentinelOne Labの焦点は再びクライムウェア アクターに向けられるようになりました。これらのアクターは通常、1 年の終わりに向けて活動を強化します。SocGholishに関する当社の調査では、攻撃者が新しいサーバーを使用してマルウェアをステージングするためのインフラストラクチャを大幅に多様化し、拡張したことがわかりました。その多くはヨーロッパにあり、オランダ、英国、フランスがリストのトップにありました。
また、 Black Basta ランサムウェアについても取り上げ、そのツールとサイバー犯罪集団 FIN7 へのリンクを最初に指摘しました。LABScon に参加できなかった人のために、メイン ステージで行われたいくつかのプレゼンテーションに関する一連の投稿を開始しました。
12月
SentinelLabs は、年初と同様に年末も多忙を極めました。12 月には、クライムウェア グループVice Societyに関する調査を公開し、このグループがどのようにして「PolyVice」と名付けた顧客ブランドのランサムウェアの亜種を使用するようになったかを明らかにしました。
また、Metador のバックドアの 1 つであるMafaldaで使用されているアンチ分析技術を調べて、Metador をさらに深く掘り下げました。業界パートナーと協力して、通信、BPO、MSSPや金融サービス ビジネスへの積極的な侵入に使用される POORTRY と STONESTOP マルウェアについて公開しました。
SentinelOne では、サイバーセキュリティにおける AI と機械学習の使用の初期のパイオニアでしたが、OpenAI がChatGPT 3をリリースしたことで、この技術は一般の人々の意識に大きな影響を与えました。時間を見つけては、マルウェア分析とリバース エンジニアリングの作業のためのこの AI ツールの素晴らしさについて報告しました。もちろん、今年の締めくくりとして、サイバーセキュリティの世界の人々が楽しんで学べるように、LABScon の講演をさらに広く共有しました。
まとめ
SentinelLabs は 2022 年を通じて、クライムウェア エコシステム、敵対者、APT、マルウェア キャンペーンと重大な脆弱性に関する最新の開発状況について防御者に情報を提供し続けてきました。
2023 年には、さらに多くのセキュリティ リサーチ、脅威インテリジェンス、脆弱性レポートを提供する予定です。2023 年が幸せで、安全で、平和でありますように願っています。SentinelLabs の研究者と SentinelOne のオピニオン リーダーによる 2023 年のサイバーセキュリティの予測は、こちら(英語) でご覧いただけます。