Picus Securityによると、脅威アクターは恐喝のためにデータを密かに流出させるべく、他の手法よりもステルス性の高い永続化と回避を優先していた。
同セキュリティベンダーは、2025年に110万件超の悪性ファイルと1550万件超のアクションを分析し、最新調査としてThe Red Report 2026をまとめた。
同レポートは、脅威アクターがネットワーク防御側から身を隠し続けるために用いている、ますます高度化する手法を明らかにした。正規のトラフィックに紛れ込み、信頼されたプロセスを介して動作することで、隠密性を高めているという。
その一環として、プロセスインジェクション(30%)が3年連続で最も多い悪性手法となった。これは、攻撃者が悪性コードを正規で信頼されたアプリケーションの内部に隠すことを可能にする。
Picus Securityに関する記事を読む:認証情報ストアを標的とするマルウェアが3倍に増加
Picus Securityはまた、脅威アクターがOpenAIやAWSのような高い評判を持つサービスを経由してコマンド&コントロール(C2)トラフィックをルーティングし、身を隠していると警告した。攻撃の4分の1では、ブラウザから盗んだパスワードを用いて正規ユーザーになりすましていた。
Picus Security共同創業者のSüleyman Özarslan氏は、この活動をデジタル寄生虫のそれになぞらえた。
「攻撃者は、ホストを破壊するよりも住み着くほうが利益になると気づいたのです。彼らは環境の内部に自らを埋め込み、信頼されたID、さらには物理ハードウェアさえ利用して、運用上は見えないままアクセスを糧にしています」と同氏は述べた。
「あなたのセキュリティが『侵入』の発見に依存しているなら、すでに負けています。なぜなら、彼らはすでにログインしているからです」
これらのTTPは、デジタル恐喝の情勢の進化を後押ししている。すなわち、暗号化を展開して警報を鳴らすよりも、身を潜めてデータを流出させ、身代金の材料として保持することに、グループがより熱心になっているということだ。
レポートによると、「影響を与えるためのデータ暗号化」の使用は年次で38%減少した。
レーダーの下で
同レポートは、今日の攻撃で用いられる他の高度な回避手法の例も明らかにした。その中には、ユーザーがマウスを動かしているタイミングや、自動化されたセキュリティサンドボックス内にいるかどうかを理解するために三角法を用いるLummaC2インフォスティーラーマルウェアも含まれる。
後者の場合、マルウェアは監視されていることを把握し、起動(発火)しないとレポートは主張している。
仮想化/サンドボックス回避は、観測されたMITRE ATT&CK手法の中で現在4番目に多く、解析されていると疑うと休眠するよう設計されたマルウェアが存在する。
レポートによれば、マルウェアはサンプルあたり平均14件の悪性アクションと12のATT&CK手法を実行している。この高度化は、検知と防御に必要な複雑性の水準を引き上げているとPicus Securityは述べた。
翻訳元: https://www.infosecurity-magazine.com/news/digital-parasite-attackers-stealth/
