出典: Natali Mis via Shutterstock
サイバー犯罪者の地下組織は、超専門化のエコシステムへとますますシフトしており、これが脅威アナリストを苦境に立たせています。
現在の脅威モデリングと分析のアプローチは、攻撃キャンペーンを単一のグループまたは単一の動機で完全に実行されているかのように扱うことが多いです。しかし、多くの企業が、特定の技術やサービスの提供に焦点を当てる脅威グループ間の増加する区分化を考慮に入れるために、既存の脅威モデルを修正しようとしています。
5月11日、Cisco Talosの脅威インテリジェンスチームの研究者は、侵入分析の伝統的なアプローチであるダイアモンドモデルに関係層を導入することを提案しました。この更新により、アナリストは各アクターの個別のプロファイルを維持しながら、それらの関係をマッピングすることができます。修正されたアプローチは、特定のグループがサービスの提供に焦点を当てることを捉えるのに役立つと、Cisco Talosの研究者であり、彼らの分析の共著者であるEdmund Brumaghinは述べています。
“拡張されたダイアモンドモデルを活用し、この関係データを維持することにより、コミュニティは観察された脅威についてより正確に報告し、侵入分析中に見られるアーティファクトを分析する際の帰属の落とし穴を回避し、関連する侵入活動を分析する際の重複をより効果的かつ包括的に特定することができるようになります。”とBrumaghinは言います。
サイバー犯罪者が専門化されたサービスに移行することは新しいトレンドではありません。地下市場、例えば現在は閉鎖されたGenesisダークウェブフォーラムなどでは、さまざまなグループが貴重なターゲットへの初期アクセスや注文によるサービス拒否攻撃、またはランサムウェア・アズ・ア・サービス(RaaS)を通じたアフィリエイト接続などの個別のサービスを売買することができます。
しかし、この確立されたトレンドが加速しているかどうかは明確ではありません。例えば、Googleの脅威研究者は、2024年には初期アクセスパートナーシップを含むランサムウェアのインシデントが減少したと観察しています。しかし、同社は複数の脅威グループが関与するインシデントにも定期的に対応していると、Googleの脅威インテリジェンスグループのサイバー犯罪および情報作戦インテリジェンス分析責任者であるGenevieve Starkは述べています。
“通常、ケースは一つの脅威アクターが初期アクセスを提供し、第二の脅威アクターが侵害後の操作を完了するというものです。”と彼女は言い、”これらのパートナーシップの一部は短命で取引的である一方、他のパートナーシップは数年続き、重要な協力を伴うこともあります。…侵入操作を行う脅威アクターは非常に適応力があり、時間とともに収益化の方法を変える傾向があります。”と付け加えました。
キルチェーンとダイアモンドを超えて
いくつかの脅威モデルはすでに存在します。侵入のキルチェーンモデルは、脅威アクターが使用する戦術、技術、手順に焦点を当て、通常は7つの異なるフェーズを含みます:偵察、武器化、配信、エクスプロイト、インストール、指揮と制御、そして目的達成の行動です。ダイアモンドモデルは、典型的なサイバーセキュリティインシデントの4つの異なる側面を使用してサイバー攻撃をプロファイリングします:被害者学、インフラの詳細、敵の属性、攻撃中に示された能力です。
単一の一枚岩のサイバー攻撃に似ている可能性のある4つのアクター間の相互作用。出典: Cisco Talos
しかし、これらのモデルは区分化された脅威グループの分析には不十分です。あるグループが第二のグループからマルウェアを購入し、そのマルウェアを使用して初期アクセスを獲得し、そのアクセスを第三のグループに売却することがあります。Googleとは異なり、Cisco Talosはこれらの労働分担がより一般的になっていると見ています、とBrumaghinは言います。
“現在、他のタイプの脅威アクター、例えば国家と連携した[または]国家が支援するアクターが、他のアクターにアクセスを移転する目的でアクセスを取得する任務を負っているのを目にしています。”と彼は言います。”脅威アクターがその能力を成熟させ、特定のタスクの実行に特化するにつれて、今後さらに多くの区分化が進むと予想しています。”
関連:Marks & Spencerがサイバー攻撃で顧客データが盗まれたことを確認
他の企業もまた、区分化の増加を認識し、複数のグループを考慮に入れるために分析アプローチを適応させています。AIに焦点を当てた検索会社Elasticのインシデント対応者は、RaaSによって駆動されるトレンドである区分化をますます目にしていると、Elasticの脅威研究ディレクターであるDevon Kerrは述べています。
そのため、Kerrは関係層の追加を評価しています。
“この分類法を採用することには戦略的な利点があると考えています。例えば、引き渡し関係を持つグループの理解を活用して、どのグループを最も効果的に妨害できるかを判断することができます。”と彼は言います。
ToyMakerキャンペーン
Cisco Talosの研究者は、The Vertex Projectのインテリジェンスプラットフォームと協力して、ダイアモンドモデルに関係層を追加するインテリジェンステクノロジーツールを作成しました。研究者たちはその後、更新されたフレームワークを使用してToyMaker-Cactusキャンペーンにおけるアクター間の関係をマッピングし、新しいモデルが異なるグループの活動をどのように分離するのに役立ったかを示しました。
そのキャンペーンでは、ToyMakerは財政的動機を持つ初期アクセスグループとして機能し、システムへの初期アクセスを獲得し、そのアクセスをCactusランサムウェアグループに引き渡しました。分解されたキャンペーンは、敵が攻撃のコンポーネントをますますアウトソーシングしていることを強調し、これも帰属と脅威モデリングを複雑にしています。
Ciscoのアプローチは唯一のものではありません。Googleの脅威インテリジェンスグループは、役割や専門化を示すラベルを採用し、動機を追跡する別のラベルセットを採用しています。専門化には初期アクセス、バレットプルーフホスティング、またはランサムウェアアフィリエイトが含まれる可能性があり、動機は政治的、財政的、または個人的なものが含まれると、Googleの脅威インテリジェンスグループのStarkは述べています。
“脅威クラスターの動機が常にすぐに明らかになるわけではなく、時間とともに変化し、パートナーや顧客の動機と常に一致するわけではないため、単一の分類法に統合するのではなく、このアプローチを推奨します。”と彼女は言います。”さらに、脅威アクターはスパイ活動や財政的利益を超えて、イデオロギーやエゴを含むさまざまな要因によって動機付けられることがあります。”
焦点の変更
脅威モデリングのアプローチを変更することで、研究者は区分化された脅威の他の側面、例えばCisco Talosの研究者が第二の分析で解剖した初期アクセスグループの動機を特定することに集中できます。
多くのグループは初期アクセス操作に焦点を当てており、研究者によれば少なくとも3つの異なるバリエーションがあります。財政的動機を持つ初期アクセスグループ(FIA)は、財政的利益を目的としてシステムを侵害することに焦点を当て、国家が支援する初期アクセス(SIA)グループは、高価値ターゲットのネットワーク内に拠点を確立することを目的としています。最後に、機会主義的初期アクセス(OIA)グループはFIAとSIAグループの間に位置し、しばしば両グループにアクセスを販売し、ある領域(例えば財政)からのアクセスを別の領域のターゲットに再利用します。
“政府の請負業者のようなアクターは、通常の雇用手段の一部としてSIAグループとして活動しながら、追加の収入を得るためにFIAグループとして活動するかもしれません。”とCisco Talosの研究者は彼らの分析で述べています。”国家が支援するアクターの作戦が実施された後、初期アクセスは「財政的利益」の名目で再販売され、アクセスが再利用された際のもっともらしい否認と法医学的混乱を提供します。”
全体として、ElasticのKerrは追加の関係層を評価しています、と彼は言います。
“Elastic Security Labsの研究者は、追跡する脅威の厳密な分析を行っており、これらの詳細はその分析の通常の一部です。”と彼は言います。”実務者としての目標が脅威現象を理解し、悪い結果を意味のある形で変えることであるならば、これはそれを行うための追加のコンテキストを提供します。”
翻訳元: https://www.darkreading.com/threat-intelligence/attackers-specialize-cyber-threat-models-adapt