ビットディフェンダー社は最近、NY、ロンドン、中東で超高級不動産を手掛ける世界的建築デベロッパーへのAPT攻撃を調査しました。これは実際の産業スパイ事件であり、サイバー傭兵グループが、ターゲットに気付かれることなく持続的に攻撃しデータを盗みだしていました。
https://labs.bitdefender.com/2020/08/apt-hackers-for-hire-used-for-industrial-espionage/
攻撃者は広く使用され人気のAutodeskの、当時未知の脆弱性を利用したプラグインを侵入させ社内にスパイシステムを構築していきました。通信の痕跡から攻撃の司令塔のC&Cサーバは韓国にあり、攻撃ターゲットには米国の他に日本が含まれていることが疑われています。
調査ではビットディフェンダーの対高度サイバー攻撃・多重防御層を導入することで、各層でゼロトラスト独立検出、ブロックされたことも明らかにしています。まずは実行前、実行時の防御スタックでの検出の様子です。
次に実行前防御層をあえて無効にして、実行後の検出となるEDR層ではどうだったでしょうか。導入されていたセキュリティでは見逃されていたイベントに対して、ビットディフェンダーEDRはMITRE ATT&CK®の攻撃分類から10に該当するものを見つけ出して警告を発しました。
