Elastic Security Labsによる主な脅威の研究
2024年10月1日
Elastic社が 2024 年版グローバル脅威レポートを発表
Elastic Security Labsは、今後1年間にわたって組織を安全に保つために役立つ、最も差し迫った脅威、傾向、そして推奨事項を明らかにした、 2024 年版Elasticグローバル脅威レポートをリリースしました。
セキュリティ調査
すべて表示
SHELLTERを例にとると、悪用された商業回避フレームワーク
Elastic Security Labsは、最近、不正に入手した商用回避フレームワークであるSHELLTERを使用して、エクスプロイト後のペイロードをデプロイするインフォスティーラーの出現を検知しました。
Microsoft Entra ID OAuth のフィッシングと検出
この記事では、Microsoft Entra ID での OAuth フィッシングとトークンベースの不正使用について説明します。サインイン アクティビティ中のトークン、スコープ、デバイスの動作のエミュレーションと分析を通じて、防御側が OAuth の誤用を検出してハンティングするために使用できる忠実度の高いシグナルを明らかにします。
コールスタック:マルウェアの無料パスはもうありません
コールスタックがマルウェア検知にもたらす計り知れない価値と、アーキテクチャ上の制限にもかかわらず、Elasticがコールスタックを重要なWindowsエンドポイントテレメトリーと見なしている理由を探ります。
誤動作のモダリティ: 手法ではなくツールの検出
実行モダリティの概念と、モダリティに焦点を当てた検出が行動に焦点を当てた検出をどのように補完できるかを探ります。
マルウェア分析
すべて表示
MaaS の魅力: インフォスティーラーが灰の中から立ち上がる
NOVABLIGHT は、MaaS 製品として開発および販売されている NodeJS インフォスティーラーです。これは主に資格情報を盗み、暗号ウォレットを侵害するために使用されます。
哀れなクライアント:ClickFixの欺瞞から情報窃取者の展開まで
Elastic Security Labsは、GHOSTPULSEを使用してリモートアクセス型トロイの木馬やデータ窃取型マルウェアをデプロイし、ClickFixキャンペーンの急増を検知しました。
Chasing Eddies: CAPTCHA キャンペーンで使用される新しい Rust ベースの InfoStealer
Elastic Security Labsが、CAPTCHAベースの新たなキャンペーンで使用される軽量のコモディティインフォスティーラー、EDDIESTEALERについて解説します。
アルカトラズ島の難読化解除
難読化ツール「アルカトラズ」が使用した手法を探ります。
キャンペーン
すべて表示
南アメリカから東南アジアへ:REF7707の脆弱な網
REF7707、新しいマルウェアファミリーを使用して南米の外務省を標的にしました。一貫性のない回避戦術と運用上のセキュリティの失敗により、敵対者が所有する追加のインフラストラクチャが明らかになりました。
PIKABOT、君に決めた!
Elastic Security Labsは、更新バージョンを含む新たなPIKABOTキャンペーンを観測しました。PIKABOTは、悪意のあるアクターが追加のペイロードを配布するために利用する、広く展開されているローダーです。
初期研究がJOKERSPYを暴露する
Pythonのバックドアがある金融機関をターゲットにした、最近発見されたキャンペーン、JOKERSPYについて把握しましょう。この記事では、ネットワーク内のJOKERSPYの偵察、攻撃パターン、識別方法について説明します。
SPECTRALVIPERを誘うElastic
Elastic Security Labsは、ベトナムの国営農業関連企業を標的としたP8LOADER、POWERSEAL、SPECTRALVIPERのマルウェアファミリーを発見しました。REF2754は、REF4322およびAPT32アクティビティグループのマルウェアと動機付けの要素を共有しています。
グループ&戦術
すべて表示
Bit ByBit - 北朝鮮最大の暗号通貨強盗のエミュレーション
北朝鮮最大の暗号通貨強盗を、侵害されたmacOS開発者とAWSピボットによる高忠実度のエミュレーション。
ボットに託す望み:Linuxマルウェア、クリプトマイニング、ギャンブル向けAPIの不正使用を調査中
REF6138キャンペーンでは、クリプトマイニング、DDoS攻撃、ギャンブル向けのAPIを介したマネーロンダリングが発生した可能性があり、攻撃者が進化を続けるマルウェアとステルス通信チャネルを使用していることが浮き彫りになりました。
行動規範:北朝鮮のPythonによるセキュリティ保護されたネットワークへの侵入
このドキュメントは、北朝鮮によるPythonの戦略的使用と入念に作成されたソーシャルエンジニアリングを調査し、進化を続ける効果的なサイバー攻撃によって、安全性の高いネットワークをどのように侵害するのか明らかにします。
GrimResource - 初期アクセスと回避のためのMicrosoft管理コンソール
Elasticの研究者は、特別に細工されたMSCファイルを介して完全なコード実行を可能にする新しい手法、GrimResourceを発見しました。これは、十分なリソースを持つ攻撃者が、防御を回避するために革新的な初期アクセス方法を好む傾向を浮き彫りにしています。
展望
すべて表示
MCPツール: 自律エージェントに対する攻撃ベクトルと防御推奨事項
この調査では、モデル コンテキスト プロトコル (MCP) ツールが自律エージェントの攻撃対象領域をどのように拡大するかを調査し、ツール ポイズニング、オーケストレーション インジェクション、ラグ プル再定義などのエクスプロイト ベクトルを、実用的な防御戦略とともに詳細に説明します。
WinVisor – Windows x64のユーザーモード実行ファイルを目的としたハイパーバイザーベースのエミュレーター
WinVisor は、Windows x64 ユーザーモード実行可能ファイルのためのハイパーバイザーベースのエミュレーターで、Windows Hypervisor Platform API を利用して、システムコールのログ記録とメモリのイントロスペクションを可能にする仮想化環境を提供します。
地平線上の嵐:AJCloud IoTエコシステムの内側
Wi-Fiカメラは手頃な価格と利便性から人気がありますが、悪用される可能性のあるセキュリティ上の脆弱性があることが多いです。
カーネルETWこそ最高のETW
この調査は、セキュリティ・バイ・デザイン・ソフトウェアにおけるネイティブ監査ログの重要性に焦点を当て、改ざん防止対策を強化するために、ユーザーモードのフックよりもカーネルレベルのETWロギングの必要性を強調しています。
生成AI
すべて表示MCPツール: 自律エージェントに対する攻撃ベクトルと防御推奨事項
この調査では、モデル コンテキスト プロトコル (MCP) ツールが自律エージェントの攻撃対象領域をどのように拡大するかを調査し、ツール ポイズニング、オーケストレーション インジェクション、ラグ プル再定義などのエクスプロイト ベクトルを、実用的な防御戦略とともに詳細に説明します。
エージェントフレームワークの概要
エージェント システムでは、セキュリティ チームが自律性と調整のバランスをとり、AI エージェントが目標の一贯性と制御性を維持しながら独立して行動できるようにする必要があります。
Elastic、標準化されたフィールドと統合によりLLMのセキュリティを強化
標準化されたフィールド統合と強化された検出機能に重点を置いた、ElasticのLLMセキュリティの最新の進歩をご覧ください。これらの標準を採用することでシステムをどのように保護できるかを学びましょう。
LLMワークフローにセキュリティを組み込む:Elasticの能動的アプローチ
大規模言語モデル(LLM)にセキュリティを直接組み込むElasticの取り組みをご紹介します。LLMアプリケーションにおけるOWASPの脆弱性の上位いくつかを検出・軽減し、より安全でセキュアなAI駆動型アプリケーションを確保する当社の戦略をご覧ください。
ツール
すべて表示
STIX的シチュエーション:脅威データのエスケープ
構造化された脅威データは通常、STIXを使用してフォーマットされます。このデータをElasticsearchに取り込むために、STIXをECS形式に変換してスタックに取り込む、Pythonスクリプトをリリースします。
試練の中へ:Detonateはどう動くのか
サンドボックスの作成、サポート技術、テレメトリ収集など、Detonateシステムの技術的な実装についてご覧ください。
カチッ、カチッ… ドカン!Detonateで保護テストを自動化
このプロセスを自動化し、大規模な保護をテストするために、セキュリティ研究エンジニアがElastic Securityソリューションの有効性を自動的に測定するために使用するシステム「Detonate」を構築しました。
ICEDIDの解凍
ICEDIDは、カスタムファイル形式とカスタム暗号化スキームを使用してペイロードを圧縮することが知られています。私たちは、解凍プロセスを自動化し、アナリストやコミュニティがICEDIDに対応するのに役立つ一連のツールをリリース予定です。