Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IoCによる標的型攻撃対策に限界 - Kasperskyが事例挙げて指摘

Kasperskyによると、2018年以降、同グループにおける感染活動に変化が見られたという。具体的には、組織内部における初期の感染活動で「PowerShower」とは異なるマルウェアを利用していた。

感染の初期段階では、HTMLベースのアプリケーションで情報を収集。さらにモジュールである「VBShower」をダウンロードし、システム内にあるマルウェアの痕跡を消去したうえで、「PowerShower」や別のバックドアをダウンロード、実行していた。

攻撃チェーンの初期に用いられる「HTMLベース」のアプリケーションや「VBShower」は、いずれも毎回コードが異なるいわゆる「ポリモーフィック型」。そのためハッシュ値による検出は期待できない。

同社は、今回のケースやオープンソースのツールを悪用する動きが加速しており、ネットワーク内の標的型攻撃を特定するツールとして「IoC」が陳腐化していると指摘。標的型攻撃における戦術や技術、行動など、「攻撃の痕跡」をもとに検知する対策が求められていると分析している。

(Security NEXT - 2019/09/04 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

米政府、北朝鮮関与攻撃グループに経済制裁措置
北朝鮮関与「HIDDEN COBRA」のツールに新亜種 - 米政府が情報公開
米政府のサイバーアラートに見せかけた偽メールに注意
日本も狙う「APT10」にあらたな動き - 一見問題ない実行ファイルから攻撃展開
「CSVファイル」用いた標的型攻撃、4月以降も - 複数攻撃手法を併用
米司法省、APT10所属の中国人2人を刑事訴追 - 日本含む12カ国数十社を侵害
中国関与の攻撃グループ「APT10」の活動を非難 - 外務省談話
北朝鮮の攻撃グループ、「Bluetoothデバイス」情報を収集
フロント企業で人材確保していた「FIN 7」 - リーダー逮捕後も活動継続
北朝鮮のトネリングツール「ELECTRICFISH」が明らかに