2023 年には、ボットネットが死から復活し、ランサムウェア攻撃者は窃盗で収益を得る創造的な方法を発見し、XNUMX 年間逃走していた脅威攻撃者は現状を維持するために自らを再発明しました。
Cisco Talos の脅威インテリジェンスの専門家は、2023 年からの主要な展開を分析し、読む価値のある年次レビューにまとめました。 2023 年のサイバー犯罪の標準作業では、昨年の脅威の状況を形作った最も重要な傾向が浮き彫りになっています。
ランサムウェア攻撃ベクトル
2023 年も企業にとって最大の脅威はランサムウェアでした。 LockBit は 2023 年連続でこの分野で不名誉なトップの座を獲得しました。そしていつものように、攻撃者はサイバーセキュリティ リソースが限られているか、ダウンタイムがほとんど許容できない施設、特に医療分野に焦点を当てました。ただし、XNUMX 年もすべてがいつもどおりだったわけではありません。Clop のような攻撃者はゼロデイ エクスプロイトに依存していました。このような動作は通常、Advanced Persistent Threats (APT) グループによるアクティビティに関連しています。また、新しいことは、ランサムウェア攻撃者が純粋な脅迫に切り替え、暗号化部分をスキップしたことです。
「残念ながら、2023 年には、ゼロデイ攻撃は国家攻撃者に限定されなくなります」と、ドイツの Cisco Talos のテクニカル リーダー、ホルガー ウンターブリンク氏は述べています。 「ターゲットが儲かる場合、クライムウェア ギャングはゼロデイで再び攻撃するでしょう。企業はセキュリティ アーキテクチャとリスク管理においてこれを考慮する必要があります。」
攻撃者は戦略を適応させる
Cisco Talos のテレメトリ データは、Qakbot や IcedID などの有名なファミリの商品ローダーがランサムウェアの拡散に引き続き使用されていることを示しています。ただし、これらのローダーは、バンキング型トロイの木馬としての過去の面影をすべて脱ぎ捨て、現在ではペイロード データを送信するためのエレガントなツールとして存在しています。開発者と運用者は、強化された防御に適応することができ、より頻繁なセキュリティ更新を回避する新しい方法を見つけました。ランサムウェア グループが調査成功から回復する速度も驚くべきものでした。 2023 年 2 月の Quakbot ネットワークの解体は短期間しか効果がありませんでした。 Talos の分析によると、法執行機関の措置は Qakbot オペレーターのスパム送信インフラストラクチャには影響せず、コマンド アンド コントロール (CXNUMX) サーバーにのみ影響を与えた可能性があります。
ネットワークデバイスと古い脆弱性がターゲット
地域をまたいだ新たな傾向として、APT やランサムウェア攻撃者によるネットワーク デバイスへの攻撃が増加しています。どちらのグループも、デバイスの脆弱性と認証情報が弱いか間違っていることに焦点を当てていました。これは、攻撃者の特定の意図に関係なく、ネットワーク システムが攻撃者にとって非常に価値があることを示しています。
アプリケーションの脆弱性の悪用に関しては、Talos の分析によると、2023 年の攻撃者は主に古い脆弱性、つまり XNUMX 年以上前から知られていたが、多くの場合まだパッチが適用されていない脆弱性をターゲットにしていたことが示されています。最も一般的に攻撃される脆弱性の大部分は、Cisco Kenna および Common Vulnerability Scoring System (CVSS) によって最大または高重大度として評価されており、CISA の既知の脆弱性のカタログにもリストされています。
フィッシングやビジネスメール侵害 (BEC) などの操作のためのソーシャル エンジニアリングの使用も、2023 年も衰えることなく続いています。しかし、Microsoft が 2022 年にマクロをデフォルトで無効にした結果、攻撃者はマルウェアを隠すために他のファイル タイプを使用することが増えています。 PDF は、今年最も頻繁にブロックされたファイル拡張子でした。
APT活動は地政学的な不安定性を示している
中国、ロシア、中東の APT グループの分析は、Cisco Talos レポート 2023 で多くのスペースを占めています。テレメトリ データは、地政学的な出来事と並行して不審なデータ トラフィックが増加していることを明らかに反映しています。西側諸国とアジア太平洋地域の国々との関係がますます緊迫していることにより、中国のAPTグループが特に台湾などの国の重要インフラの分野で損害を与えようとする意欲が高まっている。
ロシアの APT に関しては、予想通り、ガマレドンとトゥルラはウクライナを標的にしていました。しかし興味深いことに、ロシアの活動はその破壊的なサイバー能力の全範囲を実証したわけではありません。ガマレドンは主に北米とヨーロッパの施設を標的にしており、西ヨーロッパでは不釣り合いな数の犠牲者が出ました。イラン国家支援の APT 攻撃者 MuddyWater は、2023 年も中東の主要な脅威攻撃者であり続けました。しかし、業界の対策により、Syncro リモート管理および監視 (RMM) プラットフォームを含む標準ツールを使用するグループの能力に影響が出ています。
2023年XNUMX月初旬にハマスとイスラエルの間で起きた出来事は、政治的動機に基づいたいくつかのハクティビストグループが、双方に対して無秩序でほとんど洗練されていない攻撃を開始する一因となった。同様の展開は、ロシア・ウクライナ戦争の初期にもすでに観察された可能性がある。 Cisco Talos は、中東の複雑かつ動的な地政学的環境がサイバー ドメインにも影響を与えると予想しています。
Talos レポートからの追加の洞察:
有効なアカウントの使用は、最も一般的に観察された MITRE ATT&CK 手法の 1 つであり、攻撃者が攻撃のさまざまな段階で漏洩した資格情報に依存していることが浮き彫りになりました。
新しいランサムウェアの亜種は、他の RaaS グループから漏洩したソース コードを使用していました。これにより、経験の浅い攻撃者がランサムウェア恐喝を開始できるようになりました。
不審なネットワーク トラフィックは、Microsoft Outlook に対する大規模な DDoS 攻撃など、主要な地政学的な出来事や世界的なサイバー攻撃と同時に活動が急激に増加していることを示していました。
シスコについて シスコは、インターネットを可能にする世界有数のテクノロジー企業です。 シスコは、グローバルで包括的な未来に向けて、アプリケーション、データ セキュリティ、インフラストラクチャ トランスフォーメーション、およびチームのエンパワーメントに新たな可能性を切り開いています。
トピックに関連する記事