ESET、引き続きMITRE ATT&CK™ナレッジベースの拡充に貢献。新たに検出した悪意のあるソフトウェア情報を提供。

2015年にMITRE ATT&CK™ナレッジベースが公開されてから、サイバーセキュリティコミュニティはその拡充のためにさまざまな貢献を行ってきました。ATT&CKは、多くのサイバー攻撃グループの敵対的な行動を把握するために役立つ共通言語と構造化したインテリジェンスを提供しています。ESETは最近、「ソフトウェア」カテゴリーで4件、「グループ」カテゴリーで1件の新情報を提供しました。

ESET Corporate Blog 23 Sep 2020

ソフトウェアカテゴリー:

1.Attor(S0438

Attorは、今回新たに報告されたサイバースパイプラットフォームであり、少なくとも2013年以降、主にロシアにある外交公館や政府機関に対する標的型攻撃に使用されています。Attorのアーキテクチャは、ディスパッチャとロード可能なプラグインで構成されています。

ESETは、このマルウェアを検出し、ATコマンドとTorを使用するプラグインの2つの注目すべき特徴に基づいて「Attor」と命名しました。Attorのデバイス監視用のプラグインは、ATコマンドを使用してGSMデバイスのフィンガープリンティングを行い、TorクライアントプラグインはTorを使用して、C&Cサーバーと通信しデータを盗み出します。

Attorの機能は、ATT&CKエンタープライズマトリクスの32の手法と18のサブ手法にマッピングされています。

2.Okrum(S0439

Okrumは、スロバキア、ベルギー、チリ、グアテマラ、ブラジルの外交使節団に対する攻撃の中で、ESETが2016年後半に初めて検出したこれまで知られていなかったバックドアです。Okrumを操るサイバー攻撃者は、正規のPNG画像に悪意のあるペイロードを埋め込んだり、エミュレーションやサンドボックスに対抗するための複数の手法を使用したり、実装を頻繁に変更したりするなど、検出を回避するためのいくつもの手法を採用しています。

ESETは、Ketricanの検体を配信していたOkrumのバックドアを検出し、Ke3chang(APT15)組織の活動との関連性を明らかにしました。Okrumのエントリは、ATT&CKエンタープライズマトリクスの28の手法と24のサブ手法にマッピングされています。

3.ComRAT(S0126

ComRATは、少なくとも2007年からサイバー攻撃グループのTurlaが多用していたバックドアであり、2つの外務省と1つの国会を標的にした2017年の攻撃で使用された最新バージョン(バージョン4)がESETによって検出されています。オペレーターはこのバックドアを利用して、機密文書を特定して外部へ流出させていました。

ESETのリサーチャーは、この攻撃でATT&CKエンタープライズマトリクスの16の手法と11サブ手法を検出しています。

4.DEFENSOR ID(S0479

DEFENSOR IDは、Androidを標的とするバンキングトロイであり、ユーザーがアクセシビリティサービスを有効にする権限を付与するときに、激しい攻撃を開始します。このアプリは、ログイン認証情報、SMSや電子メールのメッセージ、表示される暗号通貨の秘密鍵、ソフトウェアで生成される多要素認証コードを盗み出すほか、銀行口座や暗号通貨のウォレットの消去、電子メールやソーシャルメディアのアカウントの乗っ取りなど、悪意のある多くの機能が詰め込まれています。

DEFENSOR IDの機能は、ATT&CKモバイルマトリクスの6つの手法にマッピングされています。

グループカテゴリー:

1.Turla(G0010

ESETのリサーチャーは、ComRAT v4とTurlaグループとのいくつかの接点を特定しています。このバックドアのバージョン4は、以前のバージョンと同様に内部名「Chinch」を使用し、ComRAT v3と同じように、HTTPを介して独自のプロトコルでC&Cと通信し、ネットワークインフラの一部をMosquito(Turlaが使用している別のバックドア)と共有します。また、他のTurlaマルウェアファミリーがこのバックドアをドロップしていた、またはドロップしていることも確認されています。

ESETは、ComRAT v4とTurlaとの関係性を明らかにし、ATT&CKエンタープライズマトリクスでTurlaグループの13件の手法と6つのサブ手法を提供して、ナレッジベースを拡張しています。

MITER ATT&CKによる製品評価Carbanak/Fin7 APTグループのシミュレーション

MITRE ATT&CKは、セキュリティ製品の評価でも注目されています。第3ラウンドとなる製品評価では、知名度の高い攻撃者が採用している手法をシミュレーションし、セキュリティ製品の防御・検出能力をテストします。ESETチームとMITER ATT&CKチームがレッド(攻撃)/ブルー(防御)チームの活動を実行し、ESETはCarbanak/FIN7 APTグループが使用している手法についてテストを受ける予定です。

FIN7は、Combi Securityと呼ばれるダミー会社を設立したことで悪名を轟かせています。この会社は、ペネトレーションテスト担当者など、サイバーセキュリティ部門のさまざまな役職を装って新人を採用し、サイバー攻撃に加担させていました。米国司法省は、これまでに4人のメンバーを逮捕し、起訴しています。ESETは、カジノのクレジットカードデータを扱うPOSシステムを標的にしたCarbanakマルウェアを検出しました。Carbanakは、銀行、FX取引会社、カジノ、ホテル、レストランなどの金融や小売業界を標的にしていることで知られています。

ATT&CKがESETにもたらすメリットとは?

2020年8月現在、MITRE ATT&CKへのESETの貢献数は増加し続けています。ESETはMITRE ATT&CKのナレッジベースの拡充に対して最も深く関わっており、貢献した情報が最も参照されているベンダーのひとつです。ESETのATT&CKとのエンゲージメントは、製品の研究開発、マルウェア研究への取り組み、サイバーセキュリティ意識向上のための継続的な活動に役立っています。また、これらの継続的な貢献は、結束力のあるコミュニティに知識を移転するという新たな可能性を生み出しています。

MITRE ATT&CKに関連するESETの活動の詳細については、そのほかの記事をご覧ください。

  1. 『ESET、MITRE ATT&CKナレッジベースによりセキュリティ機能を強化)』
  2. 『Advancing enterprise threat hunting with the MITRE ATT&CK™ knowledge base(MITRE ATT&CK™ナレッジベースによるエンタープライズ脅威ハンティングの強化)』 (英語のみ)
  3. 『マルウェアリサーチャーと脅威アナリスト:MITRE ATT&CK™ナレッジベースに対する2つの視点』