永続化放棄作戦

ここのところ大きなサイバー犯罪が続いています。
脅威アクターの活動が非常に活発になっています。
そして逆に捜査の拡大によって、脅威アクターのなかには活動停止に追い込まれたものもあります。
そんななか、また新たな脅威アクターの活動が観測されています。

新しく脅威アクターとして認識された集団の呼称は、「Praying Mantis」です。
カマキリですね。

この脅威アクターの活動のTTPは次のようなものとされています。

• ほぼ完全にメモリ内で動作する方式を使用する
• IISおよびWebアプリケーションの脆弱性に対してさまざまないわゆる逆シリアル化エクスプロイトを使用する

一例としては次のような脆弱性を悪用することが確認されています。

• CVE-2021-27852
• CVE-2019-18935
• CVE-2017-11317

これらの脆弱性を悪用し、結果として、インターネットに直接接続されたIISサーバーのバックドアとして機能するメモリ常駐型マルウェアを動作させます。

この脅威アクターの恐ろしい点は、その考え方です。
彼らは使用するマルウェアの存在が発見されることを回避するために、ファイルを配置することによる永続化を放棄しました。
現在の多くのマルウェアはファイルを使用することを減らす方向に向かっていると思われますが、永続化のためのファイルの使用も放棄する考え方をもっているものはまだ多くないかもしれません。

この脅威アクターの活動はこれまでの他のものよりも、より発見が困難なものとなってきていると考えて差し支えないと思われます。
しかしその一方で、タイムリーに各種修正パッチを適用する活動を継続して脆弱性が存在したままになっていない状態を維持することができる組織は、この種の脅威にあう危険性を低下させることができるともいえるかもしれません。

参考記事（外部リンク）：Praying Mantis: An Advanced Memory-Resident Attack
www.sygnia.co/praying-mantis-targeted-apt