クラウドストライクは8月27日、「2024年度版脅威ハンティングレポート」を発表した。レポートでは、脅威ハンターやインテリジェンスアナリストなど、同社が現場で収集したインテリジェンスに基づき、最新の攻撃者の傾向、キャンペーン、戦術についてまとめている。
■レポートの主な内容
●北朝鮮関連の攻撃者が米国企業の正規従業員になりすまし
FAMOUS CHOLLIMAは米国のテクノロジー企業を主な標的として100社以上の企業に潜入。偽造または窃取した身分証明書を使用してIT関連の担当者として企業に採用され、悪意のある内部関係者として、リモート勤務を通じてデータの抽出や不正な活動を行った。
●ハンズオンキーボード攻撃による侵害が55%増加
ハンズオンキーボード攻撃を利用して正規ユーザーに紛れ込み、従来型のセキュリティ管理ソリューションをバイパスする脅威アクターが増えている。ハンズオンキーボード攻撃による侵害全体の86%は、サイバー犯罪者グループによる金銭的利益が目的。このような攻撃は医療分野で75%増、テクノロジー分野では60%増となっており、特にテクノロジー分野は、7年連続で攻撃件数が最も多い分野となっている。
●RMM(リモート監視および管理)ツールの不正使用が70%増
CHEF SPIDER(サイバー犯罪者グループ)とSTATIC KITTEN(イラン関連の攻撃者グループ)は、エンドポイントの脆弱性を狙った攻撃にConnectWise ScreenConnectのような正規のRMMツールを利用。RMMツールの脆弱性を狙った攻撃は、ハンズオンキーボード攻撃による侵害全体の27%を占めている。
●クロスドメイン攻撃が持続
有効な認証情報を悪用してクラウド環境に侵入し、アクセス権を使用して最終的にはエンドポイントを侵害することを狙う脅威アクターがますます増えている。こうした攻撃では、攻撃を受けたドメインにパズルの一片のような最小限の痕跡しか残らないため、検知は非常に困難。
●コントロールプレーンを標的としたクラウド攻撃
SCATTERED SPIDER(サイバー犯罪者グループ)を始めとするクラウドを標的とした攻撃者は、ソーシャルエンジニアリング、ポリシーの変更、パスワードマネージャーへのアクセス権を悪用してクラウド環境に侵入している。こうした攻撃者は、クラウドコントロールプレーンとエンドポイント間の通信の脆弱性を悪用して水平展開し、継続型攻撃を通じてデータの抽出を行っている。
関連リンク