Last Updated on 2024-09-27 06:30 by admin
2024年1月下旬、ThreatDown Managed Detection and Response (MDR) チームは、ヨーロッパに拠点を置くManaged Service Provider (MSP) を対象とした3ヶ月間のマルウェアキャンペーンを発見し、阻止した。攻撃者は、検出を避けるために、正当なソフトウェアを利用するLiving Off the Land (LOTL) 技術を使用した。MSPは、複数のクライアントにサービスを提供することで攻撃者により広範なネットワークへのアクセスを可能にし、また、厳しいセキュリティ予算の運用が多いため、サイバー攻撃の主要な標的となっている。
2023年10月から2024年1月にかけて、攻撃者はMSPのネットワークを静かに監視し、操作し続け、AnyDeskやTeamViewerなどの正当なリモートアクセスツールを利用し、Remcos RATやAsyncRATなどのマルウェアのインストールを試みた。
2023年10月下旬、ThreatDown Endpoint Detection and Response (EDR) は、MSPのネットワーク上で複数の怪しい外部接続を検出し、これらは既知の悪意のある外部サイトやIPとの通信を試みるものであった。これらの活動はThreatDownによって即座にブロックされ、セキュリティ侵害の最初の証拠となった。
2023年12月8日、ネットワーク内のエンドポイントからのネットワークスキャン活動が検出され、攻撃者がネットワーク内でさらなる標的や脆弱性を特定するための体系的なアプローチを示唆した。
2024年1月、複数のエンドポイントでマルウェアが発見され、これはScreenConnectやAnyDeskなどの不正なリモートアクセスツールに関連していた。これは攻撃のより積極的な段階を示し、攻撃者がアクセスを維持し拡大するためにマルウェアを展開したことを示している。
2024年1月18日にThreatDown MDRサービスの実装は、攻撃者の動きに対するより深い洞察をMSPに提供する戦略的な動きであった。この時点で、攻撃者は既にネットワーク内に顕著な存在を確立しており、既知のAsyncRATボットネットC2サーバーとの通信試みや、ネットワーク上の追加のリモート管理および監視(RMM)ツールの発見が証拠となっていた。
ThreatDown MDRチームは、攻撃を実行中に捕捉し、MSPに対して複数の即時の推奨事項を提供した。これには、感染の拡散を停止させるために侵害されたエンドポイントを隔離し、クリーンな状態に戻すために再イメージングすること、セキュリティを強化するためにすべての管理者およびローカルパスワードを3回変更すること、感染したエンドポイントを安全なバックアップから復元すること、ローカル管理者アカウントの使用を排除し、アプリケーションおよびDNSフィルタリングを実装してソフトウェアの使用とWebアクセスを制御することが含まれていた。
【ニュース解説】
2024年1月下旬、ヨーロッパに拠点を置くManaged Service Provider (MSP) に対して行われていた3ヶ月間のマルウェアキャンペーンが、ThreatDown Managed Detection and Response (MDR) チームによって発見され、阻止されました。この攻撃では、攻撃者が検出を避けるために、正当なソフトウェアを利用するLiving Off the Land (LOTL) 技術を使用していました。MSPは、複数のクライアントにサービスを提供しているため、攻撃者にとっては一度の侵入で広範なネットワークへのアクセスが可能になる、魅力的な標的です。また、セキュリティ予算が限られていることも、攻撃のリスクを高めています。
攻撃者は、2023年10月から2024年1月にかけて、MSPのネットワークを静かに監視し、操作し続けました。この期間、AnyDeskやTeamViewerなどの正当なリモートアクセスツールを利用し、Remcos RATやAsyncRATなどのマルウェアのインストールを試みていました。ThreatDownのEndpoint Detection and Response (EDR) システムは、2023年10月下旬にMSPのネットワーク上で複数の怪しい外部接続を検出し、これらは既知の悪意のある外部サイトやIPとの通信を試みるものであったため、即座にブロックしました。
この攻撃の特徴として、攻撃者が正当なツールを利用していた点が挙げられます。これにより、従来のセキュリティシステムでは検出が困難になっています。しかし、ThreatDown MDRチームは、怪しい活動や過去の侵害の指標(IOCs)に基づいてLOTL技術を追跡することで、この脅威を成功裏に阻止しました。
この事例から、MSPをはじめとする企業が直面するサイバーセキュリティの脅威の深刻さが浮き彫りになります。攻撃者はますます巧妙化しており、正当なツールを悪用することで検出を避ける技術を駆使しています。そのため、企業は24時間365日、システムを監視し、怪しい活動やIOCsを追跡する専門のセキュリティチームを持つことの重要性が高まっています。
また、この事例は、セキュリティ侵害が発見された後の迅速な対応がいかに重要かを示しています。侵害されたエンドポイントの隔離、パスワードの変更、感染したエンドポイントの復元など、適切な対策を速やかに実施することで、さらなる被害の拡大を防ぐことができます。
このような攻撃から企業を守るためには、最新の脅威に対応できる高度なセキュリティソリューションの導入と、専門知識を持ったセキュリティチームの育成が不可欠です。また、従業員へのセキュリティ教育を定期的に行い、意識を高めることも重要です。サイバーセキュリティは、技術的な対策だけでなく、組織全体の取り組みが求められる分野であることを、この事例は改めて教えてくれます。
from Stopping a targeted attack on a Managed Service Provider (MSP) with ThreatDown MDR.
“ヨーロッパのMSPを狙った巧妙なマルウェアキャンペーン、ThreatDownが阻止” への1件のコメント
このThreatDown MDRチームによって発見され、阻止された攻撃は、現代のサイバーセキュリティ環境の複雑さを浮き彫りにしています。特に、Managed Service Provider(MSP)が攻撃者にとって魅力的な標的になる理由と、攻撃方法の進化が注目に値します。
まず、MSPは複数のクライアントにサービスを提供しているため、攻撃者が一度に広範囲のネットワークへアクセスできる潜在的な窓口となります。この一件は、MSPが自身のセキュリティだけでなく、クライアントのセキュリティも守る責任があることを示しています。セキュリティ予算が限られている中で、効果的なセキュリティ対策を講じることの重要性が再確認されます。
次に、攻撃者が「Living Off the Land (LOTL)」技術を使用している点です。この技術により、正当なソフトウェアを利用して検出を避けることが可能になります。この攻撃手法の使用は、攻撃者がますます巧妙になっており、従来のセキュリティシステムを迂回できることを示しています。このような状況では、エンドポイント検出と対応(EDR)システムや、マネージド検出と対応(MDR)サービスのような先進的なセキュリ