TokyoBlackHatNews

gbhackers.com 4分で読了

信頼されたツールを武器化し、著名なマルウェアを展開する攻撃者たち

攻撃者たちは、著名なマルウェアファミリーを配布・運用するために、正規のシステムツールやプリインストールされたツール、広く普及しているツールへの依存をさらに強めています。これにより、多くの従来型防御策を上回る、ステルス性が高く動きの速い脅威が生まれています。

攻撃者の論理はシンプルです。PowerShell、Windows Management Instrumentation(WMI)、certutil、mshta、JavaScriptの実行コンテキストといったネイティブユーティリティは、すでに高い権限を持ち、システムリソースへのアクセスも妨げられません。

これらが悪用されると、攻撃者は第二段階のペイロードを取得するローダーを投下したり、メモリ上でファイルレスのコードを実行したり、正当な管理業務に紛れ込んだりすることが可能になります。

その結果、初期侵害はより迅速になり、持続的な潜伏も検出が困難になっています。レポートによれば、パーシステンス確立までの中央値はわずか21秒、Living-off-the-Land実行までは16秒という数値が示されています。

実際には、攻撃者が強固な足がかりを確立する前に侵入を検出・阻止できる時間は、防御側にとって極めて限られています。

ANY.RUNがGBhackersと共有したレポート(2026年第1四半期サイバーリスクレポート)では、2,101,483件のマルウェア・フィッシング調査から明確なトレンドの変化が示されています。ローダーベースの攻撃はほぼ倍増し、認証情報の窃取は14.7%増加、ノイズの少ないLiving-off-the-Land(LOLBAS/LOTL)手法は58.4%上昇しました。

Image

ローダーベースのキャンペーンは特に示唆に富んでいます。攻撃者は軽量なローダーを使って初期侵害を行い、認証情報や特権アクセスを取得した後、著名なランサムウェア、リモートアクセス型トロイの木馬(RAT)、情報窃取マルウェアへと移行するケースが増えています。

ANY.RUNのテレメトリデータによると、2026年第1四半期にローダーの活動がほぼ倍増し、その後の認証情報窃取やラテラルムーブメントの増加を招いています。

認証情報の収集は依然として最優先の攻撃目標です。有効な認証情報があれば、低ノイズでのラテラルエスカレーションや攻撃者の特定を困難にすることができるためです。

窃取した認証情報と信頼されたツールの悪用を組み合わせることで、静的なシグネチャベースの制御では正規バイナリの悪用を見逃しやすくなるため、ふるまいベースの監視や異常検知が不可欠な状況が生まれています。

Image

信頼されたツールは無害に見えるテレメトリを生成することが多いため、検出・対応の難しさはさらに増しています。

そのため、セキュリティチームは微妙な逸脱を検出できるよう、検知ルールを調整する必要があります。具体的には、通常と異なるコマンドライン引数、不審な親子プロセスの関係、一時的なローダーインフラに関連する疑わしいネットワーク接続先、非管理者ユーザーによるスクリプトインタープリタの突然の利用などが注目すべき指標です。

ANY.RUNは、観測された活動が真に脅威を示すものかどうかを検証するために、ふるまいベースのベースラインに迅速なサンドボックス分析と脅威インテリジェンスを組み合わせることを推奨しています。

同社の2026年第1四半期サイバーリスクレポートでは、エンタープライズ規模のマルウェア分析と迅速な脅威検証が調査時間の短縮やビジネスへの影響軽減に大きく寄与するとしています。サンドボックスや脅威インテリジェンス機能を活用している組織は、認証情報の窃取、C2通信、ファイルレス実行への露出をより迅速に確認できます。

具体的な対策としては、危険なツールの呼び出しを制限するアプリケーション制御の適用、最小権限の徹底、スクリプト実行に対するエンドポイントのハードニング、不正な認証を検出するためのデセプション技術やカナリア認証情報の導入、そして疑わしい活動を自動分析プラットフォームへ集約することなどが挙げられます。

ANY.RUNのレポートは、より詳細な技術的考察と2026年第2四半期に向けた7つの重要トレンドおよび実践的な推奨事項を提供しています。セキュリティリーダーは、変化する攻撃者の行動にSOCの優先事項を合わせるために、完全な調査結果を確認することが推奨されます。

この新たな常態に直面する防御側にとって、スピードとコンテキストの確実性が差別化要因となります。

信頼されたツールの武器化は止まりません。攻撃者は目の前に堂々と潜む手法をさらに磨き続けるでしょう。組織はシグネチャへの依存から脱却し、最小限の侵害の痕跡も浮かび上がらせて即座に対応できる、検出・対応・インテリジェンスのワークフローを構築していく必要があります。 

翻訳元: https://gbhackers.com/hackers-weaponize-trusted-tools/

ソース: gbhackers.com
#Living-off-the-Land #LOLBASs #PowerShell #サイバーリスク #サンドボックス分析 #ファイルレス攻撃 #マルウェア #ローダー #脅威インテリジェンス #認証情報窃取

関連記事

新たなMagecart攻撃、StripeをマルウェアのC2として悪用

Hola BrowserのWindowsデリバリーパイプライン侵害、クリプトマイナー展開に悪用

Trend Micro Deep Security Agentの脆弱性、繰り返し可能なセキュリティバイパスを可能に