要点:
- 北朝鮮政府と関係のあるハッカーが、4月から9月の間に発生した国家主導のサイバー攻撃の中で最多を占めたと、木曜日にTrellixが発表した脅威レポートによって明らかになった。
- 平壌のサイバー部隊は、マルウェアを使わない侵入手法を含む、より高度なハッキング技術を展開している。
- 北朝鮮によるサイバー攻撃は「フィッシングやスパイ活動から雇用を利用した侵入まで、深化・多様化している」とTrellixはレポートで述べ、「そのため、組織や政府にはより動的でインテリジェンス主導の対応が求められる」と指摘した。
洞察:
「北朝鮮関連グループが脅威検知の分野を支配している」とTrellixはレポートで述べた。悪名高いラザルス・グループが8.6%でトップとなり、アンダリエルとキムスキーがそれぞれ2位と3位となった。
北朝鮮関連グループは、Trellixが特定した国家主導の活動全体の18.2%を占めている。
Trellixは、この発見が「北朝鮮のサイバー活動における重大なエスカレーションを示している」とし、同国の工作員がリモートITワーカー詐欺など、慎重かつ検知が困難な侵入戦略を追求していると指摘した。
レポートによると、国家主導のハッカーグループ全体が、マルウェアや脆弱性の利用を避け、環境寄生型(Living-off-the-land)手法に傾倒している。Windowsの標準機能であるコマンドプロンプトとPowerShellが、ハッカーが最も頻繁に使用するツールのトップとなっており、Trellixはこれが「通常のネットワーク活動に溶け込む高度な回避戦略の利用と一致している」と述べた。
同社は、脅威レポートが「確立されたツールの好み、継続的なイノベーション、戦略的インテリジェンス目標との明確な連携を持つ成熟したAPT(高度持続的脅威)エコシステム」を明らかにしたと述べた。
この脅威環境に対応するため、Trellixはセキュリティリーダーが「カスタム攻撃ツールや正規プロセスの悪用を検知できる多層防御」を実装すべきだと述べた。それには、コンテキスト情報を用いて行動の異常を特定できる検知ソフトウェア、ゼロトラスト原則(最小権限アクセスなど)、および重要資産の分離が含まれる。システム管理者は、ハッカーがネットワーク内を移動する際に狙う特権アカウントへのアクセスも厳格に管理すべきである。
「SOC、IT、脅威インテリジェンスチーム間の連携により、異常なコマンドラインの使用や正規認証情報による横移動など、微妙な逸脱も早期に特定できる」とTrellixは述べた。
レポートはまた、通信セクターがサイバー犯罪者と国家主導ハッカーの両方にとって最大の標的となり、攻撃の71%を占めていたことも明らかにした。技術、運輸、ビジネスサービス、金融がトップ5を構成した。
興味深いことに、国家主導のハッキング被害の検知数で最も多かったのはトルコで33%、2位は米国で24%だった。Trellixは、トルコが目立つ理由について「欧州とアジアの間にある戦略的位置、重要インフラ、地域の地政学的緊張に関連した協調的なキャンペーンの可能性がある」と推測した。ハッカーはトルコの通信ネットワークに集中していたが、米国では技術とビジネスサービスに攻撃が分散していた。
「組織は、明確な地政学的動機を持つ持続的かつ標的型のキャンペーンが特徴の成熟したAPTエコシステムに直面している」とTrellixは述べた。「重要インフラ分野への活動集中と国家支援アクターの優勢は、APT作戦が純粋な金銭目的ではなく、国家安全保障目標とますます一致していることを示している。」
翻訳元: https://www.cybersecuritydive.com/news/north-korea-hacking-trellix-report/803641/
