1. 侵入から内部活動に至る全てのプロセスで「正規」ツール、サービスを悪用
2018年の標的型攻撃は、侵入から内部活動に至るサイバー犯罪者が標的の組織に攻撃を行う全てのプロセスにおいて「正規」ツールを悪用する「環境寄生型(Living Off the Land)」と呼ばれる手口が顕著となった。
標的組織への侵入は、主に標的組織の従業員へ送付される標的型メールにより行われる。2018年は標的型メールの7割がイベントの開催案内、寄稿原稿の校正確認など受信者の業務と直接関連がある内容を含んだものだった。
また、標的型メールに添付されるファイルは、exeなどの実行形式、OSやアプリケーションの脆弱性の悪用、WordやExcelなどの正規機能を悪用する3つのタイプに分類できるが、WordやExcelなどで使われるDynamic Data Exchange(DDE)機能などの正規機能を悪用する攻撃が72%だった。
サイバー犯罪者は、標的組織に侵入する際、端末を制御するために遠隔操作ツール(Remote Access Tool:RAT)を用いる。端末を操作するための遠隔操作サーバは、6割以上が国内の企業や組織、クラウドサービスなど一般のサービスに模した文字列を含むドメインが使用された。
標的組織内での内部活動においては、不正プログラムの使用を控えて正規のツールを悪用し、侵入を隠蔽する手法が2018年も継続した。具体的には、商用ツール「Cobalt Strike」やオープンソースの遠隔操作ツール「QuasarRAT」などが使われた。
これらのツールは不正なツールではないため、セキュリティ製品による検出や監視の目を免れるために使用していることが伺える。また、これらの商用ツールやオープンソースの遠隔操作ツールを実行する際にも、活動を隠蔽するために標的組織で使われる「PowerShell.exe」や「mshta.exe」といった正規プロセスを悪用し、ツールを実行した痕跡を残さない「ファイルレス活動」も行われている。
システム担当者は、正規の遠隔操作ツールのログを検知した場合、その利用者と利用されている時間などを基に正当性を確認することが重要になる。また、ネットワーク上の振る舞いで検知が難しいファイルレス活動は、エンドポイント内で実行されたプロセスを保存し、調査できる仕組みを講じることが有効だ。
2. 法人組織の5社に1社で標的型攻撃における遠隔操作ツールの疑いを検出
トレンドマイクロが、ネットワーク監視を行っている法人組織の21.0%で標的型攻撃で使われる遠隔操作ツールによる遠隔操作サーバへの通信の疑いを示す検出を確認した。サイバー犯罪者が既に法人組織で標的型攻撃による内部活動を行っており、組織の機密情報を外部に持ち出しているリスクがあることを示している。