トレンドマイクロは、「国内標的型攻撃分析レポート 2019年版」を発表した。
これによると、同社がネットワーク監視を行っている法人組織の21.0%で、標的型攻撃に使われる遠隔操作ツールによる遠隔操作サーバーへの通信の疑いが検出されたという。同社ではこの結果について、サイバー犯罪者が既に法人組織で標的型攻撃による内部活動をしており、組織の機密情報を外部に持ち出しているリスクがあることを示しているとした。
また、2018年の標的型攻撃は、侵入から内部活動に至るサイバー犯罪者が標的の組織に攻撃を行う全てのプロセスにおいて、「正規」ツールを悪用する「環境寄生型(Living Off the Land)」と呼ばれる手口が顕著になっているとした。
標的組織への侵入は、主に標的組織の従業員へ送付される標的型メールにより行われていた。2018年に解析依頼を受けた標的型メールの添付ファイルのうち50サンプルを抽出して分析したところ、2018年は標的型メールの72%がイベントの開催案内、寄稿原稿の校正確認など受信者の業務と直接関連がある内容を含んだものだった。添付されるファイルの7割は、WordやExcelなどで使われる「Dynamic Data Exchange(DDE)」機能などの正規機能を悪用するものだった。
標的型メールの添付ファイルと攻撃手法(N=50)
サイバー犯罪者は、標的組織に侵入する際、端末を制御するために遠隔操作ツール(Remote Access Tool;RAT)を用いるが、今回の調査で2018年に遠隔操作サーバーとの通信を確認した遠隔操作ツール37件を分析したところ、端末を操作するための遠隔操作サーバーは、6割以上が国内の企業や組織、クラウドサービスなど一般のサービスに模した文字列を含むドメインが使用さていたことが分かった。
遠隔操作ツールの通信先の傾向(N=37)
トレンドマイクロでは、商用ツール「Cobalt Strike」やオープンソースの遠隔操作ツール「QuasarRAT」など正規のツールを悪用し、侵入を隠ぺいする手法が2018年も継続しているとしている。また、商用ツールやオープンソースの遠隔操作ツールを実行する際にも、活動を隠ぺいするために標的組織で使われる「PowerShell.exe」や「mshta.exe」といった正規プロセスを悪用し、ツールを実行した痕跡を残さない「ファイルレス活動」も行われていると指摘している。