Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IoCによる標的型攻撃対策に限界 - Kasperskyが事例挙げて指摘

Kasperskyによると、2018年以降、同グループにおける感染活動に変化が見られたという。具体的には、組織内部における初期の感染活動で「PowerShower」とは異なるマルウェアを利用していた。

感染の初期段階では、HTMLベースのアプリケーションで情報を収集。さらにモジュールである「VBShower」をダウンロードし、システム内にあるマルウェアの痕跡を消去したうえで、「PowerShower」や別のバックドアをダウンロード、実行していた。

攻撃チェーンの初期に用いられる「HTMLベース」のアプリケーションや「VBShower」は、いずれも毎回コードが異なるいわゆる「ポリモーフィック型」。そのためハッシュ値による検出は期待できない。

同社は、今回のケースやオープンソースのツールを悪用する動きが加速しており、ネットワーク内の標的型攻撃を特定するツールとして「IoC」が陳腐化していると指摘。標的型攻撃における戦術や技術、行動など、「攻撃の痕跡」をもとに検知する対策が求められていると分析している。

(Security NEXT - 2019/09/04 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

攻撃グループ「Tick」、資産管理ソフトへの脆弱性攻撃を継続 - 標的型攻撃も
医療情報狙う攻撃 - 新型コロナ前後の国内観測動向は
露「APT29」、ワクチン情報狙いサイバー攻撃か - 2018年の国内検知マルウェアとも関連
露APTグループがメールサーバに脆弱性攻撃 - 米政府が注意喚起
狙われる「新型コロナ研究情報」、英米政府が注意喚起 - 脆弱なVPNやパスワードが標的に
経済制裁下でサイバー攻撃への依存高める北朝鮮 - 米政府が対策呼びかけ
国際金融取引システムの不正送金に北朝鮮「APT38」が関与 - 外交交渉の裏で止まぬ攻撃
ASUSの更新機能が侵害、マルウェア拡散 - MACアドレスで標的絞りさらなる攻撃
国家関与のサイバー攻撃、新型コロナ問題に便乗 - 中国のグループも
「Exchange Server」の既知脆弱性がAPT攻撃の標的に