国家安全保障局(NSA)、サイバーセキュリティ・インフラセキュリティ局(CISA)、FBIの共同サイバーセキュリティ勧告は、既知の脆弱性を悪用し、米国を含む世界中の公共部門および民間部門の組織を標的とする脅威アクターについて警告を発しています。本報告書は、NSA、CISA、FBIがこれまでに発表した、注目すべきサイバーセキュリティの傾向や、常習的な戦術、手法、手順に関する報告書に基づいています。
一般的な脆弱性の悪用
2020年以降、中国政府が支援する脅威アクターは、公開されているセキュリティ脆弱性を悪用した大規模な攻撃キャンペーンを展開しています。これらのキャンペーンでは、攻撃者は独自のマルウェアや識別可能なマルウェアを使用せずに、仮想プライベートネットワーク(VPN)の脆弱性やその他のインターネット接続サービスを悪用することで有効なアカウントアクセスを獲得するため、脅威インテリジェンスアナリストによる脅威の評価が困難になっています。こうしたデバイスは、セキュリティ担当者によって見落とされがちです。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
小規模オフィス/ホームオフィスのルーターやネットワーク接続ストレージデバイスといったパッチ未適用のネットワークツールは、これらの攻撃者によって他の組織への侵入に利用されています。これらの侵害されたルーターやデバイスを利用することで、攻撃者はC2サーバーからのトラフィックをルーティングするプロキシとして機能し、中間地点として機能することで、活動にさらなる匿名性を追加することができます。
当局は、2020年以降、中国政府が支援する脅威アクターによって最も頻繁に悪用されたネットワークデバイスのCVEの上位を記載した表を公開しました(図A)。
図A
最も悪用された脆弱性の 1 つは 2017 年に遡り、その他のほとんどは 2018 年と 2019 年に遡ります。これらの脆弱性は、ルーターや NAS デバイスが企業のネットワーク内で最新のデバイスではないこと、また、それらのいくつかにはまったくパッチが適用されていない可能性があることを改めて示しています。
攻撃者は常に適応し、防御を監視している
米国政府機関が指摘しているように、これらのサイバー脅威アクターは、防御策を回避するために戦術を常に進化させ、適応させています。国家支援型の攻撃者は、防御側のアカウントと行動を監視し、必要に応じて攻撃活動を変更して検知を逃れようとしていることが確認されています。
攻撃者は、自らの攻撃活動に関する情報が公開された後、直ちにインフラストラクチャとツールセットを変更しました。新しいドメインの登録、新しいサーバーの使用、マルウェアの変更などは、攻撃活動を継続し、成功させるために彼らが行う典型的な手段です。
最後に、これらの攻撃者は、独自にカスタマイズしたツールセットと公開されているツールセットを組み合わせます。ネットワーク環境のネイティブツールを活用することは、活動を隠蔽し、ネットワークのノイズに紛れ込むためによく用いられる手法です。
通信・ネットワークサービスプロバイダーが標的
脅威アクターは、偵察活動や脆弱性スキャン活動に主にオープンソースツールを使用しています。RouterSploitやRouterScanといったオープンソースのルーター専用ソフトウェアフレームワークは、攻撃前にルーターとその脆弱性をより正確に特定するために使用されています。また、PuTTYなどの公開ツールもSSH接続の確立に利用されています。
攻撃者が通信事業者やネットワークサービスプロバイダへの最初の足掛かりを築くと、重要なシステムとユーザーが特定されます。重要なRADIUSサーバーを特定した後、脅威アクターは基盤となるSQLデータベースにアクセスするための資格情報を取得し、ユーザーアカウントと管理者アカウントの平文の資格情報とハッシュ化されたパスワードをダンプします。
RADIUS認証情報を使用した追加のスクリプトが展開され、SSH接続を介してルーターに認証し、ルーターコマンドを実行して出力を保存します。標的となった各CiscoおよびJuniperルーターの設定は、このようにして保存されました。
中規模から大規模の企業のルーター構成が大量に収集され、その後、ネットワークから脅威の攻撃者のインフラストラクチャへのすべてのトラフィックを正常にルーティングして処理できるように変更される可能性があります。
この脅威から身を守る方法
すべてのオペレーティングシステムとソフトウェアは、パッチがリリースされたらできるだけ早く更新し、パッチを適用する必要があります。集中型のパッチ管理システムは、これらのパッチの適用を自動化し、展開するのに役立ちます。
攻撃者による横方向の移動を阻止するために、ネットワークをセグメント化する必要があります。使用されていない、あるいは不要なネットワークデバイス、サービス、ポート、プロトコルは完全に無効化する必要があります。
VPN アクセスには多要素認証が必要であり、パスワードの複雑さを高める必要があります。
インシデント対応能力は、インシデント対応および回復手順のドキュメントに詳細に記載する必要があり、インシデント対応チームはそのような脅威に対応できるように定期的にトレーニングを受ける必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。