TokyoBlackHatNews

darkreading.com 4分で読了

脅威アクターが検出回避のため絵文字を巧みに利用

Image

出典:vectorfusionart via Shutterstock

絵文字は、脅威アクターにとってデジタルメッセージの単なる装飾以上の役割を果たすようになっています。

TelegramやDiscordなどのソーシャルメディアプラットフォーム、さらには地下フォーラムやコミュニティ全体で、多くのアクターが世界中の他者との信号送信、難読化、調整のために絵文字をますます使用しています。

広範な転換

「絵文字の使用は、脅威アクターがより高速で、より視覚的で、より適応的な相互作用の形式へとコミュニケーション方法を転換していることを反映しています」と、Flashpointは今週の分析で述べています。

絵文字分析を脅威インテリジェンスフローに組み込む組織は、新興キャンペーンをより効果的に検出でき、価値の高い悪意のある活動を特定でき、脅威アクターを属性化・追跡でき、その意図を解釈できます。「絵文字だけでは決定的な指標ではありませんが、全体的な分析を強化できる追加のシグナル層を提供します」と、脅威インテリジェンス企業は述べています。

脅威アクターは、コマンド・アンド・コントロール(C2)通信の隠蔽、攻撃の難読化、マルウェアの防御の迂回など、さまざまな活動で絵文字の普遍性と無害な外観をますます活用しています。

顕著なキャンペーンの1つで、パキスタン関連のAPTグループUTA0137は、Discord経由で送信される単純な絵文字を動作コマンドに変換する「Disgomoji」マルウェアを使用していました。Disgomojiの象徴的なトリガーの例には、スクリーンショットをキャプチャするためのカメラ絵文字、ファイルを流出させるための炎絵文字、プロセスを終了させるためのスカル絵文字の使用が含まれていました。その他の者は、絵文字ベースのC2操作の出現に注目しており、一般的な絵文字がコマンド実行、タスク完了の確認、侵害されたシステム全体のデータ移動を調整するために再利用されています。さらに、絵文字はマルウェアコードや「絵文字密輸」技術にも出現し、脅威アクターが悪意のあるペイロードを無害に見える絵文字に埋め込んで、セキュリティコントロールを回避しています。

Flashpointによると、脅威アクターにとってのコミュニケーション用絵文字の使用には2つの目的があります。詐欺技術やその他の悪意のある活動に関連するキーワードの代わりに絵文字を使用することで、脅威アクターは基本的なキーワードフィルターを迂回でき、自動化環境での可視化を減らすことができます。次に、絵文字により、Telegramの詐欺チャネル、フィッシングおよびカーディングコミュニティ、違法マーケットプレイスなどの大量環境でのより効果的なコミュニケーションが可能になります。重要な点として、絵文字は、サイバー犯罪者が頻繁に活動するグローバルエコシステムにおいて、より効果的な多言語コミュニケーションを実現します。

一般的なユースケース

Flashpointの分析によると、脅威アクターは金融詐欺と金銭化、アクセス、認証情報の侵害、および機能とツールの能力をシグナルするコミュニケーションに関連して最も一般的に絵文字を使用しています。たとえば、脅威アクターがカードシンボルを使用して盗まれたペイメントカードデータまたはカーディング活動を示し、金の袋を使用して利益または支払いを示し、キーをアクセス認証情報のために使用し、開いた錠を侵害の成功を示す場合があります。「これらのシンボルはしばしば販売投稿、詐欺ログ、または成功主張に表示され、アクターが金銭的利益に関連する機会をすばやく特定するのに役立ちます」とFlashpointは述べています。

その他のユースケースには、脅威アクターの機能をコミュニケートする手段としての絵文字が含まれます:ボットサービスまたは自動化ツールの可用性を示すロボット、構成、設定、またはインフラストラクチャサービスを示す歯車、バンドルされたサービスとツールキットのためのツールボックス。その後、ターゲットカテゴリまたはリージョンを示す絵文字があります。たとえば、企業またはエンタープライズターゲットを示すビル絵文字や、特定の地理的ターゲティングのための国旗があります。

そのような絵文字がスラング、略語、多言語フレーズと組み合わせて使用される場合、それは「大規模な監視努力を複雑にする難読化の層状形式を作成します」とFlashpointは指摘しています。

一方、絵文字の使用は時間の経過とともに特定の認識可能なパターンに落ち着く傾向があるため、脅威ハンターと研究者が脅威アクターとグループを特定および追跡する機会を提供します。共通のパターンには、たとえば販売投稿の同じ絵文字の組み合わせ、または同じフォーマットスタイルとメッセージ構造が含まれます。そのようなパターンにより、異なるチャネル、プラットフォーム、およびエイリアス全体で脅威アクターの活動を追跡およびリンクすることが可能になります。

翻訳元: https://www.darkreading.com/cyber-risk/emojis-power-covert-threat-actor-communications

ソース: darkreading.com
#C2通信 #Telegram #セキュリティ #マルウェア #検出回避 #絵文字 #脅威アクター #脅威インテリジェンス #金融詐欺 #難読化

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開