TTPを変化させるEarth Preta

Earth Pretaは脅威アクターです。
Earth Pretaは新しい組織ではなく、以前からその活動が観測されています。
しかし、最近の活動において、従来彼らが選択していた作戦を変更している点がいくつか確認されてきています。

• 初期感染方法の変更
  従来この脅威アクターは、初期感染に、DLLサイドローディング、ショートカットリンクの悪用、偽のファイル拡張子作戦、を選択していました。
  新しい活動では、TONEINS、TONESHELL、PUBLOAD、QMAGENTを使い始めていることが観測されています。
  これらはいずれもマルウェアの名称です。
  細かな手法はマルウェアによって異なりますが、Googleドライブを悪用した内容となっています。
  この選択の変更により、従来よりも検出が困難になってきています。

   

• 特権昇格方法の変更
  UACをバイパスする方法を選択するようになってきています。
  UACはUser Account Controlです。
  UACは管理者権限を持つユーザーに普段は一般ユーザーと同じ権限しか与えず、管理者権限の必要な処理を実行しようとした際に画面に警告ダイアログを表示して本当に実行してよいか確認する機能なのですがこれを回避し高い権限での操作を行うものです。
  UACMEという概念実証コードをベースに作成されたマルウェアを悪用する手法が選択されています。

他にも多くの点が変更されています。
ファイルの関連付けを変更することで本来とは異なる動作をさせる、USBワームを使った横展開を狙う、C2との連携方法を変更する、収集した情報を流出させる方法を変更する、などといった具合です。
Earth Pretaは継続的にTTPを変化させてきています。

この傾向はEarth Pretaだけに限ったことではありません。
いくつもの脅威アクターが、戦術、技術、手順 (TTP) を積極的に変更してきています。
これは従来のような脅威アクターのプロファイリングが容易ではなくなってくるという側面と攻撃行為の発見が遅くなりやすくなるということを示すと考えられます。
厳しいことです。
しかし逆に言えば、より新しい攻撃の着眼点に対して常に対策を進めていくことができれば、特定の脅威アクターに対応できるだけでなく、多くの新しい脅威に対応できる可能性が高まってきているともいえそうです。
対策を常に更新していくことは負担を伴いますが、取り組む価値は大きいと思えます。

参考記事（外部リンク）：Pack it Secretly: Earth Preta’s Updated Stealthy
Strategies
www.trendmicro.com/en_us/research/23/c/earth-preta-updated-stealthy-strategies.html