サイバー犯罪者は、もはやランサムウェアの展開を急いではいません。代わりに、ネットワークへ静かに侵入し、正規のトラフィックに紛れ込み、ときには数か月間待機してから攻撃を仕掛けます。
まさにそれこそが、Morphisec Threat Labsが、米国の大手不動産会社を標的とした未遂攻撃に関する最近の調査で明らかにした内容です。
このキャンペーンは典型的なフィッシング攻撃ではなく、ステルス性、永続性、そして完全な回避を目的に設計された Tuoni コマンド&コントロール(C2)マルウェアフレームワークを悪用していました。
ディスク上にペイロードを落とす従来型マルウェアとは異なり、 Tuoni は完全にメモリ上で動作し、アンチウイルスやエンドポイント検知ツールが解析できる痕跡を一切残しませんでした。この攻撃は、ステガノグラフィ、AI強化ローダー、リフレクティブ・メモリ・ローディングなど、複数の高度な手法を組み合わせていました。
悪性ペイロードは無害に見えるBMP画像ファイルの内部に隠され、標準的なセキュリティスキャナーでは検知できないようになっていました。さらに欺瞞の層を追加するため、AI生成ローダーが実行時にコードを動的に変化させ、実行経路を不明瞭化して行動分析を回避しました。
Morphisecは、この攻撃がアラートを発生させるのではなく、休眠状態のまま検知されずに潜伏し、オペレーターが破壊的な段階へ移行する準備が整うまで、ユーザーデータや認証情報を収集するよう設計されていたと指摘しました。
従来の防御はシグネチャ、ファイル解析、行動監視に依存していますが、これらはいずれもファイルレス手法に対しては効果がありません。
このケースでは、スキャンすべきファイルがなく、ディスク上の痕跡もなく、ログに不審な挙動も記録されませんでした。ペイロードがメモリ内実行と動的コード生成に依存していたため、サンドボックスでも悪性活動を特定できませんでした。
Morphisecの予防優先プラットフォームは、攻撃が実行される前に阻止しました。同社のメモリ防御技術がリフレクティブ・ローダーを遮断し、認証情報の収集を停止するとともに、Pyramid C2アーキテクチャに関連する Tuoni インフラとのC2通信をブロックしました。その結果、アラートなし、潜伏時間なし、侵害なしとなりました。
このインシデントは、攻撃者がAIによって侵入の各段階をますます自動化し、必要なスキルの障壁を下げ、攻撃開発を加速させていることを浮き彫りにしています。
また、企業が脅威環境に対して「ファイルレス・ファースト」のアプローチを採用する必要性も強調しています。そこでは、メモリ層での予防が、ネットワークおよびエンドポイントの可視性と同じくらい重要です。
翻訳元: https://cyberpress.org/tuoni-c2-malware/