Trellixは、2022年第3四半期 脅威レポートを発表を発表した。本レポートでは、2022年第3四半期からのサイバーセキュリティの動向を分析している。主な調査結果としては、以下の通り。
運輸・海運業におけるランサムウェアの活動量が倍増
運輸・海運業では、ランサムウェアの活動が米国だけで、前四半期比100%増加した。世界的には、運輸は通信に次いで2番目に攻撃が多いセクターとなり、またAPT攻撃が最も検出されたのも運輸セクターとなっている。
APT攻撃やランサムウェア、ドイツでの検出が最高に
第3四半期において、ドイツは、APTの攻撃者に関する脅威の検出数が最も多く(観察された活動の29%)、さらに、ランサムウェアの検出数も最多となった。ドイツでの第3四半期のランサムウェアの検出数は第2四半期比で32%増加し、全世界の活動の27%を占めている。
新興の攻撃主体が規模を拡大
中国が関与する攻撃者Mustang Pandaが、第3四半期に最も多く検出された。次に活発だったのは、ロシアが関与するAPT29と、パキスタンが関与するAPT36となっている。
進化するランサムウェア
サイバー犯罪者にとって完全なキットとして販売されていたランサムウェアPhobosは、これまでは公の報告書では見られなかったものの、世界的に検出された活動の10%を占め、米国で検出されたランサムウェアの中で2番目に多く使用されている。また、LockBitは引き続き世界で最も多く検出されたランサムウェアで、検出数の22%を占める結果となった。
旧来の脆弱性の継続的なまん延
Trellixが、第3四半期に顧客が受け取った悪意あるメールの中で、CVE-2017-11882、CVE-2018-0798、CVE-2018-0802で構成されたマイクロソフト数式エディターの脆弱性が最も悪用されていたことを確認している。
Cobalt Strikeの悪用
同社は第3四半期に世界で観察されたランサムウェア活動の33%、検出されたAPT攻撃の18%でCobalt Strikeが使用されたことを確認している。Cobalt Strikeはセキュリティ運用を向上させるために攻撃シナリオを模倣する目的で作成された正規のサードパーティーツールであり、悪意をもってその機能を転用する攻撃者が好んで使うツールだとしている。
【関連記事】
・セキュリティに対する担当者と経営層の意識は大きく乖離 Trellixが調査結果を発表
・Trellix、パートナープログラム「Trellix Xtend」を発表 2023年初頭に発売予定
・Trellix、「アドバンスト リサーチ センター」を設立 XDRプラットフォームなどを強化へ
