公開日: 2024年4月3日
寄稿者:Gregg Lindemulder、Amber Forrest
国家が支援するサイバー犯罪者チームは、他国の機密情報や大規模な組織の知的財産にアクセスするためにAPT攻撃を実行することがよくあります。これらの脅威アクターは、最初は従来のソーシャル・エンジニアリング手法を使用する場合もありますが、高度なツールや方法をカスタマイズして特定の組織固有の脆弱性を悪用することで知られています。APT攻撃が成功すると、数カ月、場合によっては数年続くことがあります。
データ侵害のコストに関する調査の主要な統計を解き明かす
APTグループは多くの場合、ソーシャル・エンジニアリングやスピア・フィッシングによってターゲット・ネットワークへの初回アクセスを獲得します。APT攻撃者は、組織内外の情報源から収集したインテリジェンスを利用して、幹部やシニア・リーダーに悪意のあるリンクをクリックさせる巧妙なスピア・フィッシング・メールを作成します。攻撃者はまた、ネットワークに侵入するために、他のエントリー・ポイントや攻撃対象領域を狙う可能性があります。たとえば、Webアプリケーションのパッチが適用されていない脆弱性に対してゼロデイ攻撃を仕掛けたり、従業員がアクセスすることがわかっている公開Webサイトにマルウェアを埋め込んだりする可能性があります。
最初の侵入後、APTグループはネットワークを探索、マッピングし、組織全体に横移動するのに最適な次のステップを決定します。複数のエントリー・ポイントからネットワークにアクセスできるようにする一連のバックドアをインストールすることで、調査を続け、隠れたマルウェアをインストールすることができます。また、パスワードを解読し、機密データが存在する安全なエリアの管理者権限を得ようとすることもあります。最も重要なのは、攻撃者がハッキングされたシステムをリモートで管理するために、外部のコマンドやコントロール・サーバーへの接続を作成することです。
データ窃盗の最初の事例に備えて、APTグループは時間をかけて収集した情報を、ネットワーク内の一元化した安全な場所に移動させます。データの抽出を容易にするために、データを暗号化したり圧縮したりすることもあります。そしてセキュリティー担当者の注意をそらし、リソースを迂回させるために、分散型サービス妨害(DDoS)攻撃のような「ホワイトノイズ」イベントを仕掛けるかもしれません。この時点で、盗まれたデータを検知されることなく外部サーバーに転送することができます。
APTグループは、攻撃を仕掛ける新たな機会を待つため、侵入されたネットワーク内に長期間または無期限にとどまる可能性があります。この間、マルウェアを隠すためにコードを書き換えたり、検知されずに機密システムにアクセスできるルートキットをインストールしたりして、隠れた存在を維持することがあります。場合によっては、目的を達成した後、攻撃の証拠を削除して、ネットワークから完全に離脱することもあります。
APTグループは、広く配布されているフィッシング・メール、高度にパーソナライズされたスピア・フィッシング・メール、その他のソーシャル操作手法を使用して、ユーザーに悪意のあるリンクをクリックさせたり、保護されたシステムへのアクセスを許可する情報を公開したりするようにユーザーを誘導します。
パッチが適用されていないソフトウェアの脆弱性がないかネットワークをスキャンする、悪意のあるシェルコードをデプロイすることで、APTグループはIT管理者が対応する前に脆弱な領域を悪用することができます。
APTグループは、組織の信頼できるビジネス、テクノロジー、ベンダー分野のパートナーを標的にして、共有ソフトウェアまたはハードウェア・サプライチェーンを通じて不正アクセスを取得する可能性があります。
保護されたシステムへの隠れたバックドア・アクセスを提供する機能を備えたルートキットは、APTグループがリモート操作を隠蔽して管理するための貴重なツールです。
APTグループは、侵害されたネットワークに足場を築くと、攻撃をリモートで管理し、機密データを抽出するために、独自の外部サーバーへの接続を確立します。
APTグループは、ワーム、キーロギング、ボット、パスワードクラッキング、スパイウェア、コードの難読化など、ネットワーク全体で存在を拡大し、それを隠すために、他のさまざまなツールを使用することがあります。
非常に説得力があり、十分に研究されたスピア・フィッシング・メールで知られるHelix Kittenは、イラン政府の監督下で運営されているとされています。このグループは、航空宇宙、通信、金融サービス、エネルギー、化学、ホスピタリティなど複数の業界にわたる中東の企業を主な対象としています。アナリストは、これらの攻撃はイランに経済的、軍事的、政治的利益なメリットをもたらすことを目的としていると考えています。
Wicked Pandaは、中国を拠点とする悪名高く多作なAPTグループで、中国国家安全部や中国共産党とのつながりが疑われています。このグループのメンバーは、サイバースパイ活動を行うだけでなく、金銭的利益のために企業を攻撃することでも知られています。彼らは、医療サプライチェーンへのハッキング、バイオテクノロジー企業からの機密データの窃取、米国における新型コロナウイルス感染症救済金の窃盗に関与していると考えられています。
Stuxnet は、監視制御およびデータ収集(SCADA)システムを標的にしてイランの核計画を妨害するために使用されたコンピューター・ワームです。現在は活動していませんが、2010年に発見された際には強力な脅威と考えられ、標的に大きな被害をもたらしました。アナリストたちは、Stuxnetは米国とイスラエルが共同開発したものだと考えていますが、どちらの国も公には責任を認めていません。
Lazarus Groupは北朝鮮を拠点とするAPTグループで、数億ドルの仮想通貨の窃盗に関与していると考えられています。米国司法省によると、この犯罪は世界のサイバーセキュリティーを弱体化させ、北朝鮮政府に収益をもたらす戦略の一環です。2023年に米国FBIは、オンラインカジノから4,100万米ドルの仮想通貨を盗んだとして、Lazarus Groupを告発しました。
APT攻撃は通常のネットワーク・オペレーションを模倣するように設計されているため、検知が難しい場合があります。専門家は、セキュリティーチームが標的にされた疑いがある場合に尋ねるべきいくつかの質問を提言しています。
ほとんどのIT環境でバックドア型トロイの木馬が発生しますが、APT攻撃時にはその存在が広範囲に及ぶ可能性があります。APTグループは、侵害されたシステムへの再侵入に備えて、バックドア型トロイの木馬をバックアップとして利用します。
APTグループは通常、ネットワーク全体から大量のデータを収集し、その情報を抽出する前に中心の位置に移動します。通常とは異なる場所に大量のデータがある場合、それが圧縮形式の場合は特に、APT攻撃を受けている可能性があります。
少数の上位リーダーを標的としたスピア・フィッシング攻撃は、APTグループの間で一般的な戦術です。これらのEメールには機密情報が含まれていることが多く、Microsoft WordやAdobe Acrobat PDFなどのドキュメント形式を使用して、悪意のあるソフトウェアを起動します。ファイル整合性監視(FIM)ツールは、スピア・フィッシング・メールに埋め込まれたマルウェアによって重要なIT資産が改ざんされたかどうかを組織が検知するのに役立ちます。
APTハッカーがシステムに不正アクセスするリスクを軽減するために組織が講じることができるセキュリティー対策があります。APTグループは各攻撃ベクトルに対して常に新しい方法を採用しているため、専門家は次のような複数のセキュリティー・ソリューションと戦略を組み合わせた幅広いアプローチを推奨しています。