Recorded FutureのInsikt Groupによる新しいレポートによると、2025年前半に特定された脆弱性悪用のうち53%が、戦略的・地政学的な目的で国家支援型の攻撃者によって実行されました。
研究者たちは、この結果が、十分な資金を持つ国家支援型グループが脆弱性の公開後すぐにそれを武器化する能力を高めていることを示していると述べています。スパイ活動や監視などの地政学的目的が、これらの脅威アクターの主な動機です。
「国家支援型の関与が顕著であることは、これらの脅威が単なるランダムや機会的なものではなく、特定の分野や高価値システムを狙った標的型かつ持続的なキャンペーンであることを意味します」と彼らは指摘しています。
国家支援型キャンペーンの大半は中国の国家支援型アクターによって行われました。これらのグループは主にエッジインフラストラクチャやエンタープライズソリューションを標的としており、この戦術は2024年以降も続いています。
中国関連と疑われるグループUNC5221は、2025年前半に最も多くの脆弱性を悪用しました。同グループは、Endpoint Manager Mobile、Connect Secure、Policy SecureなどのIvanti製品を好んで標的にしていることが示されました。
金銭目的のグループは、残りの47%の脆弱性悪用を占めており、そのうち27%は窃盗や詐欺に関与しているもののランサムウェアとは無関係なアクター、20%はランサムウェアや恐喝グループによるものでした。
研究者たちは、エッジセキュリティアプライアンス、リモートアクセスツール、その他のゲートウェイ層ソフトウェアの悪用が、国家支援型・金銭目的の両グループにとって今後も最優先事項であり続けると予測しています。
「これらのシステムは暗号化通信や特権アクセスの仲介役として戦略的価値が高く、リターンの大きい標的となっています」と彼らは指摘しています。
Microsoftは最も標的とされたベンダーであり、同社製品が全体の17%の悪用事例を占めました。
大半の脆弱性悪用は認証不要
Insikt Groupの2025年前半 マルウェアおよび脆弱性トレンドレポート(8月28日発表)によると、公開された共通脆弱性識別子(CVE)の総数は前年比16%増加しました。
攻撃者はこの6か月間で161件の異なる脆弱性を悪用しており、2024年前半の136件から増加しています。
161件の脆弱性のうち、69%は悪用に認証を必要とせず、48%はネットワーク経由でリモートから悪用可能でした。
「認証不要かつリモートでの悪用が多いということは、攻撃者がインターネット経由で脆弱なホストに直接攻撃を仕掛けることができ、認証情報や内部者アクセスが不要であることを意味します」と研究者たちはコメントしています。
さらに、悪用されたCVEの30%はリモートコード実行(RCE)を可能にしており、これにより攻撃者は標的システムを完全に制御できることが多いです。
ClickFixが初期侵入手法として人気に
レポートは、2025年前半にランサムウェアアクターが新しい初期侵入手法を採用したことを観察しました。
これには、ClickFixソーシャルエンジニアリング攻撃の大幅な増加が含まれます。ClickFixは、偽のエラーや認証メッセージを使い、被害者に悪意のあるスクリプトをコピー&ペーストして実行させる手法です。
この手法は、ユーザーがIT担当者や他の誰かに連絡するよりも自分で問題を解決したいという心理を利用します。そのため、被害者自身が感染することでセキュリティ対策を回避しやすくなります。
Interlockギャングは、2025年1月と2月のキャンペーンでClickFixを使用していたことが観察されています。
このグループはその後の攻撃でFileFixも活用しています。この手法はClickFixの進化版で、ユーザーを騙してダイアログボックスではなくWindowsのエクスプローラーのアドレスバーに悪意のあるファイルパスを貼り付けさせます。
Insikt Groupは、ClickFixの成功により、この手法が2025年残りの期間も主要な初期侵入手法として使われ続けると評価しています。ただし、広範な対策がその効果を下げない限りです。
侵入後、ランサムウェアグループは、持ち込み型インストーラー(BYOI)手法や、JITフッキングやメモリインジェクションを用いたカスタムペイロードによるエンドポイント検知・対応(EDR)回避を強化しています。
翻訳元: https://www.infosecurity-magazine.com/news/state-hackers-majority/