標的型攻撃と日和見攻撃の両方を実行する際に脅威アクターが戦術を頻繁に採用しているため、フィッシングと資格情報の侵害を伴う侵害は、近年多くの注目を集めています。 しかし、だからと言って、企業組織が脆弱性パッチへの取り組みを少しでも減らす余裕があるというわけではありません。
今週の Kaspersky のレポートによると、昨年の最初の侵入は、悪意のある電子メールや侵害されたアカウントを含む侵害よりも、インターネットに接続されたアプリケーションの脆弱性の悪用によるものでした。 組み合わせた. 同社が 2022 年の第 XNUMX 四半期までに収集したデータは、今年も同じ傾向が続く可能性があることを示唆しています。
Kaspersky による 2021 年の分析 インシデント対応データによると、脆弱性エクスプロイトを含む侵害は、31.5 年の全インシデントの 2020% から 53.6 年には 2021% に急増しました。同じ期間に、侵害されたアカウントを使用して初期アクセスを取得することに関連する攻撃は、31.6 年の 2020% から 17.9% に減少しました。 % 去年。 フィッシング メールによる初期侵入は、同期間に 23.7% から 14.3% に減少しました。
Exchange Server の欠陥がエクスプロイトの熱狂を助長
Kaspersky は、昨年のエクスプロイト活動の急増は、Microsoft が公開した複数の重大な Exchange Server の脆弱性に関連している可能性が高いと考えています。 ProxyLogon の欠陥 (CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)。 それらを連鎖させると、攻撃者はオンプレミスの Exchange Server を完全にリモートで制御できるようになりました。
組織犯罪集団や中国の国家支援グループを含む攻撃者は、Microsoft が欠陥に対するパッチを発行する前に、何万もの脆弱な Exchange Server システムを迅速に悪用し、それらに Web シェルを投下しました。 この脆弱性は、その遍在性と重大性から、かなりの懸念を引き起こしました。 彼らは、米国司法省に対し、FBI が前例のない措置を取ることを許可するようにさえ促しました。 ProxyLogon Web シェルを積極的に削除する 何百もの組織に属するサーバーから — ほとんどの場合、何の通知もありません。
また、2021 年のエクスプロイト アクティビティを後押ししたのは、Exchange Server の別の XNUMX つの脆弱性でした。 まとめてラベル付けされた ProxyShell (CVE-2021-31207、CVE-2021-34473、CVE-2021-34523) は、攻撃者がランサムウェアやイン ビジネス メール詐欺 (BEC) 攻撃を仕掛けるために広く使用されていました。
Kaspersky の Global Emergency Response Team の責任者である Konstantin Sapronov 氏は、XNUMX 年以上が経過した今でも、ProxyLogon と ProxyShell の脆弱性は引き続き、大規模なエクスプロイト活動の標的になっていると述べています。 これらの欠陥の中で最も深刻なものの XNUMX つ (CVE-2021-26855) も最も標的にされてきました。 Kaspersky は、ProxyLogon セットの一部である脆弱性が、22.7 年に対応した脆弱性の悪用を含むすべてのインシデントの 2021% で悪用されていることを確認しており、Sapronov によると、この脆弱性は今年も引き続き攻撃者の間で好まれています。
2022 年も同様の搾取傾向が続く可能性が高い
今年はいくつかの重大な脆弱性が表面化しましたが、 どこにでもある Apache Log4j の脆弱性 (CVE-2021-44228) — 2021 年に最も悪用された脆弱性は、2022 年にも非常に蔓延していると、Exchange サーバーのバグを超えてさえ、Sapronov 氏は述べています。 たとえば、Kaspersky は Microsoft の MSHTML ブラウザー エンジン (CVE-2021-40444、昨年 XNUMX 月にパッチが適用された) の脆弱性を特定しました。 激しく攻撃された脆弱性 2022 年の第 XNUMX 四半期に。
「MS Exchange Server やライブラリ Log4j などの一般的なソフトウェアの脆弱性により、膨大な数の攻撃が発生しています」と Sapronov は述べています。 「企業のお客様へのアドバイスは、パッチ管理の問題に細心の注意を払うことです。」
パッチ適用を優先する時期
他の人は、脆弱性エクスプロイト活動の同様の急増を指摘しています. 42 月に、Palo Alto Networks の Unit 31 脅威研究チームの研究者は、XNUMX%、または ほぼ XNUMX 分の XNUMX のインシデント、彼らは2022年のその時点までに脆弱性の悪用を分析していました。 その半数以上 (55%) で、攻撃者は ProxyShell を標的にしていました。
パロアルトの研究者はまた、CVE が発表されてから文字通り数分後に、攻撃者が公開されたばかりの欠陥を含むシステムをスキャンしていることを発見しました。 ある例では、F5 ネットワーク アプライアンスの認証バイパスの欠陥 (CVE-2022-1388) が、脆弱性の公開後最初の 2,552 時間で 10 回標的にされていることを確認しました。
エクスプロイト後の活動は見つけにくい
Kaspersky がインシデント対応データを分析したところ、63% 近くのケースで、攻撃者がネットワークに最初に侵入してから XNUMX か月以上気づかれずにいたことがわかりました。 多くの場合、これは攻撃者が PowerShell、Mimikatz、PsExec などの正当なツールやフレームワークを使用してデータを収集し、権限を昇格させ、コマンドを実行したためです。
だれかがすぐに違反に気づいた場合、それは通常、攻撃者がランサムウェア攻撃などで明らかな損害を与えたことが原因でした。 「データが暗号化されていて、サービスが利用できず、モニターに身代金メモがある場合、ランサムウェア攻撃を検出するのは簡単です」と Sapronov 氏は言います。
しかし、標的が企業のデータである場合、攻撃者は被害者のネットワークを歩き回り、必要な情報を収集するためにより多くの時間を必要とします。 このような場合、攻撃者はより密かに慎重に行動するため、この種の攻撃を検出するのが難しくなります。 「このようなケースを検出するには、拡張された検出と応答 (EDR) のようなテレメトリを備えたセキュリティ ツール スタックを採用し、敵が使用する広範なツールを検出するためのルールを実装することをお勧めします」と彼は言います。
Vulcan Cyber のシニア テクニカル エンジニアである Mike Parkin 氏は、企業組織にとって真に重要なことは、攻撃者があらゆる機会を利用してネットワークを侵害することだと述べています。
「さまざまな悪用可能な脆弱性があるため、増加が見られても驚くことではありません」と彼は言います。 脆弱性の数値が、ソーシャル エンジニアリングによる認証情報攻撃よりも高いかどうかは、はっきりとは言えない、と彼は指摘します。
「しかし肝心なのは、攻撃者が機能するエクスプロイトを使用するということです。 何らかの Windows サービスに新しいリモート コード エクスプロイトがある場合、彼らはそれに群がり、パッチが公開されるか、ファイアウォール ルールが展開される前に、できるだけ多くのシステムを侵害します」と彼は言います。
本当の課題は、ロングテールの脆弱性です。ProxyLogon のような古い脆弱性で、見逃されたり無視されたりした脆弱なシステムがあると Parkin 氏は言い、パッチ適用が優先されなければならないと付け加えました。
