一般に、マルバタイジングで始まり、Royal ランサムウェアの展開で終わりますが、新しい脅威グループは、新しいターゲットをおびき寄せるために間にある悪意のある手順を革新する能力によって際立っています。
Microsoft Security Threat Intelligence によって DEV-0569 として追跡されているこのサイバー攻撃グループは、発見、検出回避、および侵害後のペイロードを継続的に改善する能力で注目に値すると、コンピューティングの巨人から今週報告されました。
「DEV-0569 は特に依存しています。 悪意のある、スパム メール、偽のフォーラム ページ、およびブログ コメントに埋め込まれた、ソフトウェア インストーラーまたは更新プログラムを装ったマルウェア ダウンローダーを指すフィッシング リンク」と Microsoft の研究者は述べています。
わずか数か月で、Microsoft チームは、組織の連絡先フォームに悪意のあるリンクを隠すなど、グループの革新を観察しました。 正規のダウンロード サイトやリポジトリに偽のインストーラを埋め込む。 キャンペーンで Google 広告を使用して、悪意のある活動をカモフラージュします。
「DEV-0569 アクティビティは、署名されたバイナリを使用し、暗号化されたマルウェア ペイロードを配信します」と Microsoft チームは付け加えました。 「このグループは、防御回避技術に大きく依存していることでも知られていますが、最近のキャンペーンでは、オープンソース ツールの Nsudo を引き続き使用して、ウイルス対策ソリューションを無効にしようと試みています。」
グループの成功ポジション DEV-0569 Microsoft Security によると、他のランサムウェア操作のアクセス ブローカーとして機能するためです。
サイバー攻撃に対抗する方法 創意工夫
新しい手口は別として、Vulcan Cyber のシニア テクニカル エンジニアである Mike Parkin 氏は、この脅威グループは実際にキャンペーン戦術の端に沿って調整を行っているが、間違いを犯すのは一貫してユーザーに依存していると指摘しています。 したがって、防御のためには、ユーザー教育が鍵となる、と彼は言います。
「ここで報告されているフィッシング攻撃とマルバタイジング攻撃は、ユーザーにルアーを操作させることに完全に依存しています」と Parkin 氏は Dark Reading に語っています。 「つまり、ユーザーが操作しなければ、違反にはなりません。」
彼は次のように付け加えています。攻撃面を強固な防御線に変えます。」
ユーザーにルアーを浸透させないようにすることは確かに堅実な戦略のように聞こえますが、Cerberus Sentinel のソリューション アーキテクチャ担当バイス プレジデントである Chris Clements 氏は、Dark Reading に対して、ますます説得力のあるソーシャル メディアに直面してユーザーが 100% の警戒を維持することを期待するのは「非現実的で不公平」であると述べています。エンジニアリングの策略。 代わりに、セキュリティに対するより包括的なアプローチが必要であると彼は説明します。
「その後、組織の技術チームとサイバーセキュリティ チームは、XNUMX 人のユーザーの侵害が、大量のデータの盗難とランサムウェアという最も一般的なサイバー犯罪の目的から、組織全体に広範な損害をもたらさないようにする必要があります」と Clements 氏は言います。
IAM コントロールの問題
RSA の CISO である Robert Hughes は、ID およびアクセス管理 (IAM) の制御から始めることを推奨しています。
「強力な ID およびアクセス ガバナンスは、許可された個人がリンクをクリックして許可されたソフトウェアをインストールするのを阻止するなど、人間およびエンドポイントのマルウェア防止レベルで失敗した後でも、マルウェアの横方向の拡散を制御し、その影響を制限するのに役立ちます。インストールします」と Hughes 氏は Dark Reading に語っています。 「データと ID が安全であることを確認すれば、ランサムウェア攻撃による被害はそれほど大きくなく、エンドポイントのイメージを再作成する手間もかかりません。」
CardinalOps の Phil Neray 氏も同意見です。 彼は、悪意のある Google 広告のような戦術は防御が難しいため、セキュリティ チームは、ランサムウェア攻撃が発生した場合の影響を最小限に抑えることにも注力する必要があると説明しています。
「つまり、権限のエスカレーションや 土地を離れて暮らす管理ツール PowerShell やリモート管理ユーティリティなどです」と Neray 氏は言います。
