Scattered Spider: 巧妙な手法


要旨

Scattered Spiderは、UNC3944、Scatter Swine、Muddled Libra、Roasted 0ktapusとも呼ばれ、2022年5月から活動している金銭的動機に基づく攻撃者グループです。Scattered Spiderは、主に電気通信およびビジネス・プロセス・アウトソーシング(BPO)組織を標的としていることが確認されています。しかし、最近の活動は、このグループが重要インフラ組織を含む他のセクターを標的にし始めたことを示しています。

このようにターゲットが変わったにもかかわらず、Scattered Spiderは、攻撃の一環として、TelegramやSMSを使ったフィッシング、SIMスワッピング、多要素認証疲労攻撃(MFA Fatigue)など、さまざまなソーシャルエンジニアリングの手口を活用し続けています。このグループは、しばしばIT担当者になりすまして認証情報を共有させたり、コンピュータへのリモートアクセスを許可させたりすることが確認されており、過去のフィッシング・キャンペーンや、悪意のあるカーネル・ドライバのデプロイメント(Windows Intel Ethernet診断ドライバの署名済みだが悪意のあるバージョンの使用など)にも関連しています。

このブログでは、Scattered Spider の手口、最近の出来事、脅威行為者によって活用されたツール、悪用された脆弱性、その影響について深く掘り下げています。さらに、MITRE ATT&CK Techniques/Sub-Techniquesとその緩和策についても説明します。最後に、検知、予防、および対応戦略を実施するために使用できる、既知の侵害の関連指標を示します。


最近の出来事

Scattered Spiderは通常、CVE-2015-2291などの脆弱性を悪用し、STONESTOPやPOORTRYなどのツールを利用してセキュリティ ソフトウェアを終了し、検出を回避します。1このグループは、Azure環境に対する深い理解を示し、攻撃に組み込みツールを活用しています。2初期アクセスを取得すると、Scattered Spiderは、Windows、Linux、Google Workspace、Azure Active Directory、Microsoft 365、AWSなどのさまざまな環境の偵察を行うだけでなく、横方向の移動を行ったり、追加ツールをダウンロードしてVPNやMFA登録データを流出させたりすることも確認されています。また、このグループは、AnyDesk、LogMeIn、ConnectWise Controlなどの正規のリモートアクセスツールを通じて永続性を確立していることも知られています。3

Scattered Spiderは、2022年半ばから2023年1月までに、高額の仮想通貨機関や個人にサービスを提供する大手アウトソーシング会社が標的となった6件以上の事件に関与していました。4

2022年12月、Scattered Spiderは通信およびBPO組織を対象としたキャンペーンを実施しました。5 2つの調査で明らかなように、このキャンペーンの目的は、携帯電話会社ネットワークへのアクセスを取得し、SIMスワッピング活動を実行することであると思われます。初期アクセスはさまざまで、電話やテキストメッセージを使用してIT担当者になりすましたソーシャルエンジニアリングや、被害者を資格情報収集サイトに誘導したり、市販のリモートモニタリングおよび管理 (RMM) ツールを実行するように誘導したりしました。キャンペーンは非常に執拗かつ大胆でした。攻撃者が封じ込められるか、業務が中断されると、すぐに通信およびBPOセクター内の他の組織をターゲットに移動しました。6

同月、マルウェアに署名するために認証署名を使用していることが発見されました。7 Microsoftは、ブロッキング保護機能を実装し、Windows ハードウェア開発者プログラムによって認定された悪意のあるドライバーの公開に使用されたアカウントを停止するために講じた措置を公表しました。この問題は、ランサムウェアのデプロイなど、不正なドライバーが悪用された後にMicrosoftに通知されたことから始まりました。8

2022年8月、Twilioは、Oktaを含む163のTwilio顧客に関連する情報への不正アクセスを特定しました。Scattered Spiderは、Twilioコンソールを介して、携帯電話番号と、ワンタイムパスワードを含む関連するSMSメッセージにアクセスできました。攻撃者が使用したフィッシングキットは、ユーザー名、パスワード、OTP要素を捕捉するように設計されており、テクノロジー企業、電気通信プロバイダー、暗号通貨に関連する組織や個人を標的としていました。9


ツール

Scattered Spiderは、POORTRYとSTONESTOPを使用してセキュリティソフトウェアを終了し、検出を回避します。10

  • POORTRYは、Windowsシステム上の選択されたプロセス 、例えばエンドポイント上のEDR(Endpoint Detection and Response)を終了するために使用される悪意のあるドライバーです。11攻撃者は検出を回避するために、Microsoft Windows Hardware Compatibility Authenticode署名を使用してPOORTRY ドライバーに署名しました。12
  • STONESTOPは、悪意のあるドライバーを作成してロードすることでプロセスを終了しようとするWindowsユーザーランドユーティリティです。13これは、POORTRYのローダー/インストーラーとしてだけでなく、ドライバーに実行するアクションを指示するオーケストレーターとしても機能します。14

2023年4月、ALPHV (BlackCat) ランサムウェアグループは、POORTRYの更新バージョンを使用して米国の決済大手NCRを侵害し、そのAloha POSプラットフォームの停止につながりました。15、16


脆弱性の悪用

Scattered Spider は、Windows用インテルイーサネット診断ドライバー (iqvw64.sys) の脆弱性であるCVE-2015-2291を悪用することが知られています。これにより、細工された ( a) 0x80862013、(b) 0x8086200B、(c) 0x8086200F、または (d) 0x80862007 IOCTL呼び出しを介し て、ローカルユーザにサービス拒否を引き起こしたり、カーネル権限で任意のコードを実行させる可能性があります17 。Scattered SpiderはCVE-2015-2291を悪用し、Windows 用インテルイーサネット診断ドライバー (iqvw64.sys) に悪意のあるカーネルドライバーを展開しました。18

さらに、Scattered Spiderは、ForgeRock AMサーバーの欠陥であるCVE-2021-35464を悪用しました。ForgeRock AMサーバーの7.0より前のバージョンには、複数のページのjato.pageSessionパラメータにJava逆シリアル化の脆弱性があります。この悪用には認証は必要なく、細工された単一の/ccversion/*リクエストをサーバーに送信することでリモートコード実行をトリガーできます。この脆弱性は、Java 8以前のバージョンで見つかった Sun ONE Application Framework (JATO) の使用に起因して存在します。19 Scattered Spiderは、CVE-2021-35464を悪用してコードを実行し、AWSインスタンス上のApache Tomcatユーザーよりも権限を昇格させました。これは、侵害された AWSトークンを使用してインスタンスロールのアクセス許可をリクエストし、引き受けることによって実現されました。20


影響

Scattered Spiderは、機密データを窃取し、信頼できる組織インフラを利用して最終的な顧客に対する後続攻撃を行うことで知られています。21

Trellix製品の範囲

Trellixのエンドポイント、ネットワーク、メールセキュリティは、潜在的な脅威を確実に発見し、お客様に害が及ばないようにするため、IOCのチェックや行動分析を含むScattered Spiderの活動に対する多層的な検知戦略を提供しています。新しい脅威や進化する脅威の先を行くために、当社の製品は継続的に脅威インテリジェンスデータベースを監視し、更新しています。これには、Trellix Multi-Vector Virtual Execution Engine、新しいマルウェア対策コアエンジン、機械学習による振る舞い分類とAI相関エンジン、Trellix Dynamic Threat Intelligence (DTI) Cloudからのリアルタイムの脅威インテリジェンス、そして攻撃ライフサイクル全体にわたる防御が含まれ、お客様の組織をより安全に、よりレジリエントに保ちます。

Trellixの保護

製品 署名
Endpoint Security (ENS) LINUX/Agent.bj
FireEye Scanner Trojan.Linux.Generic.289912

MITRE ATT&CK テクニック/サブテクニック

MITRE ATT&CK エンタープライズ

初期アクセス

実行

持続性

権限の昇格

防御回避

認証アクセス

横方向の動き

コレクション

漏洩

影響

T1566: フィッシング

T1053: スケジュールされたタスク/ジョブ

T1053: スケジュールされたタスク/ジョブ

T1068: 権限昇格のための悪用

T1036: マスカレード

T1056: インプットキャプチャ

T1021.001: リモート サービス: リモート デスクトップ プロトコル

T1056: インプットキャプチャ

T1041: C2 チャネルを介した漏洩

T1496: リソースハイジャック

T1133: 外部リモート サービス

T1059: コマンドおよびスクリプト インタプリタ

T1133: 外部リモート サービス

T1134.001: アクセス トークンの操作: トークンのなりすまし/盗難

T1553.002: トラストコントロールの破壊: コード署名

 

T1210: リモート サービスの悪用

T1115: クリップボード データ

 

 

T1190: 一般向けアプリケーションの悪用

T1106: ネイティブ API

T1176: ブラウザ拡張機能

T1053: スケジュールされたタスク/ジョブ

T1134.001: アクセス トークンの操作: トークンのなりすまし/盗難

 

 

 

 

 

T1195.002: ソフトウェア サプライ チェーンの侵害

 

 

 

T1140: ファイルまたは情報の難読化解除/デコード

 

 

 

 

 

 

 

 

 

T1564: アーティファクトを非表示にする

 

 

 

 

 

MITRE ATT&CK モバイル

コレクション ネットワーク効果
T1616: 通話制御 T1451: SIMカードの交換

緩和策

  1. M1051: ソフトウェアの更新:
    社内のエンタープライズ エンドポイントおよびサーバーのパッチ管理を採用して、悪用リスクを軽減することでソフトウェアを定期的に更新する。22
  2. M1017: ユーザートレーニング。
    スピアフィッシング、ソーシャルエンジニアリング、およびユーザーインタラクションを伴うその他の手法が成功するリスクを軽減するために、敵対者によるアクセスまたは操作の試みに注意するようにユーザーをトレーニングする。23
  3. M1011: ユーザーガイダンス:
    ユーザーは、可能な場合、SIMカードの交換によって傍受されない形式の多要素認証を使用するように指示される必要がある。より安全な方法には、アプリケーションベースのワンタイムパスコード (Google Authenticator など)、ハードウェアトークン、生体認証などがある。さらに、ユーザーは、どのアプリケーションに通話ベースのアクセス許可を与えるかについて十分に注意することをお勧めする。さらに、ユーザはデフォルトのコール ハンドラを認識しないアプリケーションに変更してはならない。25
  4. M1049: ウイルス対策/マルウェア対策
    ウイルス対策は、疑わしいファイルを自動的に隔離するために使用できる。26
  5. M1040: エンドポイントでの動作防止
    ホスト侵入防止システム (HIPS) などのセキュリティ制御をエンドポイントに実装して、潜在的に悪意のあるファイル (ファイル署名が一致しないファイルなど) を特定して実行を防止する。27
  6. M1045: コード署名 
    署名付きバイナリ28 を要求し、デジタル署名検証によりバイナリとアプリケーションの整合性を強制して、信頼できないコードの実行を防ぐ。29
  7. M1038: 実行防止
  8. 必要な一般的なオペレーティングシステムユーティリティのファイル名以外の属性によって、アプリケーション制御を介したプログラムの実行を制限するツールを使用する。30さらに、攻撃者がカーネルモードでコードを実行するために悪用する可能性がある既知の脆弱なドライバーの実行をブロックすることを検討する。監査モードでドライバーのブロック ルールを検証し、実稼働展開の前に安定性を確保する。31
  9. M1021: Webベースのコンテンツの制限
    特定のWebサイトの使用の制限、ダウンロード/添付ファイルのブロック、JavaScriptのブロック、ブラウザ拡張機能の制限など32
  10. M1022: ファイルとディレクトリのアクセス許可を制限する。
    ファイルシステムのアクセス制御を使用して、C:\Windows\System32 などのフォルダーを保護する。33
  11. M1042: 機能またはプログラムを無効化または削除する
    敵対者による悪用を防ぐために、不要で脆弱性のあるソフトウェアへのアクセスを削除または拒否する。34
  12. M1048: アプリケーションの分離とサンドボックス化
  13. サンドボックスを使用することで、攻撃者が未発見またはパッチが適用されていない脆弱性を悪用して作戦を進めることを困難にする。他のタイプの仮想化やアプリケーションのマイクロセグメンテーションも、ある種の悪用の影響を軽減する可能性がある。これらのシステムには、さらなる悪用や弱点のリスクが依然として存在する可能性がある。35
  14. M1031: ネットワーク侵入防御
    侵入検出シグネチャを使用して、ネットワーク境界でトラフィックをブロックする。36
  15. M1032: 多要素認証
    悪用中に使用される動作を探すセキュリティアプリケーションを使用すると、一部の悪用動作を軽減できる。制御フローの整合性チェックは、ソフトウェアエクスプロイトの発生を潜在的に特定して阻止するもう1つの方法である。37
  16. M1050: エクスプロイト保護
    侵入検知シグネチャを使用して、ネットワーク境界でトラフィックをブロックする。38
  17. M1019: 脅威インテリジェンスプログラム
    堅牢なサイバー脅威インテリジェンス機能を開発し、特定の組織に対してソフトウェアエクスプロイトやゼロデイを使用する可能性のある脅威の種類とレベルを特定する。39
  18. M1026: 特権アカウント管理
    ユーザーおよびユーザーグループがトークンを作成できないように権限を制限する。この設定は、ローカルシステムアカウントに対してのみ定義する必要がある。GPO: コンピューターの構成 > [ポリシー] > Windowsの設定 > セキュリティの設定 > ローカルポリシー > ユーザー権利の割り当て: トークンオブジェクトを作成する。40また、GPOを介してローカルおよびネットワーク サービスのみにプロセスレベルトークンを作成できるユーザーを定義する。 [コンピューターの構成] > [ポリシー] > Windowsの設定 > セキュリティの設定 > ローカルポリシー > ユーザー権利の割り当て: プロセスレベルトークンを置き換える。管理者は標準ユーザーとしてログインする必要がある、組み込みのアクセストークン操作コマンドrunasを使用して管理者権限でツールを実行する必要がある。41
  19. M1018: ユーザーアカウント管理
    ユーザーとアカウントを必要最小限の権限に制限する。この手法を最大限に活用するには、敵対者がローカルシステム上で管理者レベルのアクセス権を持っている必要がある。42
  20. 18. M1047:
    PowerSploitフレームワークなどの監査ツールキットには、権限の昇格に使用される可能性のある、スケジュールされたタスクの権限の弱点がないかシステムを調査するために使用できるPowerUpモジュールが含まれている。43
  21. M1028: オペレーティングシステム構成スケジュール
    されたタスクの設定を構成して、タスクをSYSTEMとして実行するのではなく、認証されたアカウントのコンテキストで強制的に実行する。関連付けられたレジストリ キーは、 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\SubmitControlにある。この設定は、GPOから構成: [コンピューターの構成] > [ポリシー] > [Windows の設定] > [セキュリティの設定] > [ローカルポリシー] > [セキュリティオプション]: ドメインコントローラー: サーバーオペレーターがタスクをスケジュールできるようにし、無効に設定する。44
  22. M1035: ネットワーク経由のリソースへのアクセスを制限する
    ファイル共有へのアクセス、システムへのリモートアクセス、不要なサービスを防止する。アクセスを制限するメカニズムには、ネットワークコンセントレーター、RDPゲートウェイなどの使用が含まれる場合がある。45
  23. M1030: Network Segmentation
    Architect は、重要なシステム、機能、またはリソースを分離するためにネットワークのセクションを作成する。物理的および論理的セグメンテーションを使用して、機密性の高いシステムや情報へのアクセスを防ぐ。DMZを使用して、内部ネットワークから公開すべきではないインターネットに接続されたサービスを含める。個別の Virtual Private Cloud (VPC) インスタンスを構成して、重要なクラウドシステムを分離する。46
  24. M1033: ソフトウェアのインストールを制限する
    ユーザーまたはグループが未承認のソフトウェアをインストールするのをブロックする。47
  25. M1016: 脆弱性スキャン
    脆弱性スキャンは、悪用される可能性のあるソフトウェアの脆弱性を見つけて修復するために使用される。48
  26. M0810: 帯域外通信チャネル
    通信障害やデータ整合性攻撃時の通信要件をサポートする代替方法を用意する。49
  27. M1057: データ損失防止
    データ損失防止 (DLP) 戦略を使用して、機密データを分類し、個人を特定できる情報 (PII) を示すデータ形式を特定し、機密データの漏洩を制限する。50

IOC

IPv4

IPV4 説明
100.35.70.106 攻撃者のリモートアクセス
104.247.82.11 攻撃者のリモートアクセス
105.101.56.49 攻撃者のリモートアクセス
105.158.12.236 攻撃者のリモートアクセス
119.93.5.239 攻撃者のリモートアクセス
134.209.48.68 攻撃者のリモートアクセス
136.144.19.51 攻撃者のMFA登録
136.144.43.81 攻撃者のリモートアクセス
137.220.61.53 攻撃者のリモートアクセス
138.68.27.0 攻撃者のリモートアクセス
141.94.177.172 攻撃者のリモートアクセス
142.93.229.86 攻撃者のリモートアクセス
143.244.214.243 攻撃者のリモートアクセス
144.76.136.153 データ流出に使用されたtransfer.shに関連するIP
146.190.44.66 攻撃者のリモートアクセス
146.70.103.228 攻撃者のMFA登録
146.70.107.71 攻撃者のリモートアクセス
146.70.112.126 攻撃者のリモートアクセス
146.70.127.42 攻撃者のMFA登録
146.70.45.166 攻撃者のリモートアクセス
146.70.45.182 攻撃者のリモートアクセス
149.28.125.96 攻撃者のリモートアクセス
152.89.196.111 攻撃者のリモートアクセス
157.245.4.113 攻撃者のリモートアクセス
159.223.208.47 攻撃者のリモートアクセス
159.223.213.174 攻撃者のリモートアクセス
159.223.238.0 攻撃者のリモートアクセス
162.118.200.173 攻撃者のリモートアクセス
162.19.135.215 攻撃者のリモートアクセス
164.92.234.104 攻撃者のリモートアクセス
165.22.201.77 攻撃者のリモートアクセス
165.22.201.77 攻撃者のリモートアクセス
165.22.201.77 攻撃者のリモートアクセス
167.99.221.10 攻撃者のリモートアクセス
169.150.203.51 攻撃者のリモートアクセス
172.96.11.245 攻撃者のリモートアクセス
172.98.33.195 攻撃者のリモートアクセス
173.239.204.129 攻撃者のMFA登録
173.239.204.130 攻撃者のリモートアクセス
173.239.204.131 攻撃者のMFA登録
173.239.204.132 攻撃者のリモートアクセス
173.239.204.133 攻撃者のリモートアクセス
173.239.204.134 攻撃者のリモートアクセス
180.190.113.87 攻撃者のログインに失敗
185.120.144.101 攻撃者のリモートアクセス
185.123.143.197 攻撃者のリモートアクセス
185.123.143.201 攻撃者のリモートアクセス
185.123.143.205 攻撃者のリモートアクセス
185.123.143.217 攻撃者のリモートアクセス
185.156.46.141 攻撃者のリモートアクセス
185.181.102.18 攻撃者のリモートアクセス
185.195.19.206 攻撃者のリモートアクセス
185.195.19.207 攻撃者のリモートアクセス
185.202.220.239 攻撃者のリモートアクセス
185.202.220.65 攻撃者のリモートアクセス
185.240.244.3 登録された認証アプリと敵対するVPNログイン
185.243.218.41 攻撃者のリモートアクセス
185.247.70.229 攻撃者のリモートアクセス
185.45.15.217 攻撃者のリモートアクセス
185.56.80.28 攻撃者のリモートアクセス
185.56.80.28 攻撃者のリモートアクセス
188.166.101.65 逆SSHトンネル
188.166.117.31 攻撃者のリモートアクセス
188.166.92.55 攻撃者のリモートアクセス
188.214.129.7 攻撃者のリモートアクセス
192.166.244.248 攻撃者のリモートアクセス
193.149.129.177 攻撃者のリモートアクセス
193.27.13.184 攻撃者のリモートアクセス
193.37.255.114 攻撃者のリモートアクセス
194.37.96.188 攻撃者のリモートアクセス
195.206.105.118 攻撃者のリモートアクセス
195.206.107.147 攻撃者のリモートアクセス
198.44.136.180 攻撃者のMFA登録
198.54.133.45 攻撃者のリモートアクセス
198.54.133.52 攻撃者のリモートアクセス
207.148.0.54 攻撃者のリモートアクセス
213.226.123.104 攻撃者のリモートアクセス
217.138.198.196 攻撃者のリモートアクセス
217.138.222.94 攻撃者のリモートアクセス
23.106.248.251 攻撃者のリモートアクセス
31.222.238.70 攻撃者のリモートアクセス
35.175.153.217 攻撃者のリモートアクセス
35.175.153.217 攻撃者のリモートアクセス
37.19.200.142 攻撃者のリモートアクセス
37.19.200.151 攻撃者のリモートアクセス
37.19.200.155 攻撃者のリモートアクセス
45.132.227.211 攻撃者のリモートアクセス
45.132.227.213 攻撃者のリモートアクセス
45.134.140.171
被害者のSharePointから文書をダウンロードするために使用された攻撃者のIP
45.134.140.177 攻撃者のリモートアクセス
45.156.85.140 攻撃者のリモートアクセス
45.156.85.140 攻撃者のリモートアクセス
45.32.221.250 攻撃者のリモートアクセス
45.86.200.81 攻撃者のリモートアクセス
45.91.21.61 攻撃者のリモートアクセス
5.182.37.59 攻撃者のリモートアクセス
51.210.161.12 攻撃者のリモートアクセス
51.89.138.221 攻撃者のMFA登録
62.182.98.170 攻撃者のリモートアクセス
64.190.113.28 攻撃者のリモートアクセス
64.227.30.114 攻撃者のリモートアクセス
67.43.235.122 攻撃者のリモートアクセス
68.235.43.20 攻撃者のリモートアクセス
68.235.43.21 攻撃者のリモートアクセス
68.235.43.38 失敗した攻撃者のログイン活動
79.137.196.160 攻撃者のリモートアクセス
82.180.146.31 失敗した攻撃者のログイン活動
83.97.20.88 攻撃者のリモートアクセス
89.46.114.164 失敗した攻撃者のログイン活動
89.46.114.66 攻撃者のリモートアクセス
91.242.237.100 攻撃者のリモートアクセス
92.99.114.231 攻撃者のリモートアクセス
93.115.7.238 攻撃者のリモートアクセス
98.100.141.70 攻撃者のリモートアクセス

IPv6

IPV6 説明
2a01:4f8:200:1097::2 データ抽出に使用されるtransfer.shに関連付けられたIPv6

CIDR

CIDR 説明
2a01:4f8:200:1097::2 データ抽出に使用されるtransfer.shに関連付けられたIPv6

SHA256

SHA256 File Name Description
N/A change.m31!!! 攻撃者が広範囲に使用したパスワード
3ea2d190879c8933363b222c686009b81ba8af9eb6ae3696d2f420e187467f08 <redacted>.exe パックド・フリート・デッキ・バイナリー
cce5e2ccb9836e780c6aa075ef8c0aeb8fec61f21bbef9e01bdee025d2892005 IIatZ バックコネクTCPマルウェアが、C2からのシェルコードの読み取りと実行に使用され、OpenAMエクスプロイトを介して実行
acadf15ec363fe3cc373091cbe879e64f935139363a8e8df18fd9e59317cc918 insomnia.exe APIデバッグユーティリティ
N/A linpeas.log LINPeasローカル特権エスカレーション列挙ツール出力ログ
N/A linpeas.sh LINPeasローカル特権エスカレーション列挙ツール
982dda5eec52dd54ff6b0b04fd9ba8f4c566534b78f6a46dada624af0316044e ファイルロック解除ツール(ロックされたファイルの削除用)
443dc750c35afc136bfea6db9b5ccbdb6adb63d3585533c0cf55271eddf29f58 mpbec ポート4444と8888で67.43.235.122への接続を確立するために使用される “Midgetpack “パックバイナリ

参考文献

1https://www.bleepingcomputer.com/news/security/malicious-windows-kernel-drivers-used-in-blackcat-ransomware-attacks/
2https://www.bleepingcomputer.com/news/security/hackers-use-azure-serial-console-for-stealthy-access-to-vms/
3https://occamsec.com/scattered-spider-iocs/
4https://unit42.paloaltonetworks.com/muddled-libra/
5https://www.crowdstrike.com/blog/analysis-of-intrusion-campaign-targeting-telecom-and-bpo-companies/
5https://www.crowdstrike.com/blog/analysis-of-intrusion-campaign-targeting-telecom-and-bpo-companies/
7https://thehackernews.com/2022/12/ransomware-attackers-use-microsoft.html
8https://msrc.microsoft.com/update-guide/vulnerability/ADV220005
9https://sec.okta.com/scatterswine
https://www.bleepingcomputer.com/news/security/malicious-windows-kernel-drivers-used-in-blackcat-ransomware-attacks/
10https://www.mandiant.com/resources/blog/hunting-attestation-signed-malware
11https://www.bleepingcomputer.com/news/microsoft/microsoft-signed-malicious-windows-drivers-used-in-ransomware-attacks/
12https://www.mandiant.com/resources/blog/hunting-attestation-signed-malware
13https://www.sentinelone.com/labs/driving-through-defenses-targeted-attacks-leverage-signed-malicious-microsoft-drivers/
14https://securityaffairs.com/146536/malware/blackcat-ransomware-uses-kernel-driver.html
15https://status.aloha.ncr.com/incidents/cnl38krr6n6b
16https://nvd.nist.gov/vuln/detail/CVE-2015-2291
17https://www.crowdstrike.com/blog/scattered-spider-attempts-to-avoid-detection-with-bring-your-own-vulnerable-driver-tactic/
18https://nvd.nist.gov/vuln/detail/CVE-2021-35464
19https://www.sisainfosec.com/threat-a-licious/scattered-spider-a-sophisticated-threat-actor-that-can-reverse-defense-mitigation/#:~:text=Scattered%20Spider%2C%20a%20financially%20motivated,sites%2C%20and%20employing%20MFA%20fatigue.
20https://unit42.paloaltonetworks.com/muddled-libra/
21https://attack.mitre.org/mitigations/M1051/
22https://attack.mitre.org/mitigations/M1017/
23https://cyber-kill-chain.ch/mitigations/M1011/
24https://attack.mitre.org/mitigations/M1011/
25https://attack.mitre.org/mitigations/M1049/
26https://attack.mitre.org/mitigations/M1040/
27https://attack.mitre.org/mitigations/M1045/
28https://attack.mitre.org/mitigations/M0945/
29https://attack.mitre.org/mitigations/M1038/
31https://attack.mitre.org/mitigations/M1038/
32https://attack.mitre.org/mitigations/M1021/
33https://attack.mitre.org/mitigations/M1022/
34https://attack.mitre.org/mitigations/M1042/
35https://attack.mitre.org/mitigations/M1048/
36https://attack.mitre.org/mitigations/M1031/
37https://attack.mitre.org/mitigations/M1032/
38https://attack.mitre.org/mitigations/M1050/
39https://attack.mitre.org/mitigations/M1019/
40https://attack.mitre.org/techniques/T1134/
41https://attack.mitre.org/mitigations/M1026/
42https://attack.mitre.org/mitigations/M1018/
43https://attack.mitre.org/mitigations/M1047/
44https://attack.mitre.org/mitigations/M1028/
45https://attack.mitre.org/mitigations/M1035/
46https://attack.mitre.org/mitigations/M1030/
47https://attack.mitre.org/mitigations/M1033/
48https://attack.mitre.org/mitigations/M1016/
49https://attack.mitre.org/mitigations/M0810/
50https://attack.mitre.org/mitigations/M1057/

※本ページの内容は2023年8月17日(US時間)更新の以下のTrellix Storiesの内容です。
原文: Scattered Spider: The Modus Operandi
著者: Phelix Oluoch