概要
同社の推奨事項には、増大する脅威である多要素認証の不正利用を監視することが含まれていた。
概要:
- サイバー攻撃のうち、初期侵入手段として脆弱性の悪用に依存した割合は2025年第4四半期に低下したものの、依然として高水準だったと、CiscoのTalos脅威インテリジェンスチームの研究者らがブログ投稿で述べた。この投稿は木曜日に公開された。
- CiscoがQ4に対応したインシデントのうち、約40%はインターネットに公開されたネットワークサービスの悪用から始まっており、第3四半期の62%から低下した。
- Ciscoはまた、Q4のランサムウェア攻撃がQ3(全インシデントの20%)や上半期(Q1・Q2ともにほぼ50%)と比べて少なかった(Q4は13%)ことも確認した。
- 注目すべき点として、Ciscoは「これまでに見たことのないランサムウェア亜種への対応はなかった」と述べた。
詳細分析:
Q4も脆弱性悪用は高水準だったが、活動の大半を占めるような大規模な悪用キャンペーンはなかったとCiscoは述べた。これは、ToolShellキャンペーンが攻撃の波を引き起こしたQ3とは異なる。とはいえ、OracleのE-Business Suiteの欠陥やReact Server Componentsの脆弱性を狙う複数の攻撃があった。
ある脅威アクターはOracleの欠陥を悪用し、Ciscoが「経営幹部を恐喝することを目的とした大規模キャンペーンに関連している可能性が高い」とする攻撃を行った。別の脅威アクターはReactの欠陥を悪用して暗号資産マイニングのマルウェアを展開した。Ciscoは、クリプトマイニングは「脅威アクターが未パッチのシステムを迅速に悪用しようと競い合う中で、私たちが目にすると予想される多くの活動の一つ」だと述べた。
Ciscoが観測した最も一般的な初期侵入手段の一覧では、フィッシングは悪用に次いで2位だった。また同社は、脅威インテリジェンス報告ではあまり取り上げられない被害者コミュニティ、すなわちネイティブ・アメリカンの部族組織を標的としたキャンペーンについて説明した。
ある事例では、Ciscoのアナリストは、脅威アクターが侵害されたメールアカウントとWebサイトを用い、もっともらしいメッセージでマルウェアを配布しているのを確認した。研究者らは「メールアカウントの不正利用を超える横展開は確認できなかったが、被害者環境内の追加アカウントおよび外部受信者が露出していることは、より広範な影響が生じる可能性を示している」と記した。
Ciscoはまた、部族組織に対する2つ目のフィッシングキャンペーンも観測しており、侵害指標を含む特徴が先の攻撃と共通していた。
ランサムウェアについては、CiscoはQilinランサムウェア集団が「依然として支配的で、ランサムウェア攻撃の大半で観測された」と述べた。一方で研究者らは、同社が「1年以上見ていなかった」というDragonForceランサムウェアを用いた攻撃にも対応した。
CiscoのQ4インシデント対応案件で最も標的となったセクターは政府機関で、Q3の傾向が継続した。次いで通信、教育、医療が続いた。
インシデント対応の知見に基づき、Ciscoは組織に対し、システムの定期的なパッチ適用、強固なログ取得の有効化、迅速な対応の訓練、そして「MFAの不正利用を特定するための検知を実装し、強力なMFAポリシーを[有効化]する」ことを推奨した。
翻訳元: https://www.cybersecuritydive.com/news/cisco-threat-report-exploitation-phishing/810977/
