MandiantとGoogle CloudのAdrian McCabe、Ryan Tomcik、Stephen Clementは、脅威アクターがデジタル分析ツールをどのように悪用しているかについてのブログ記事を公開しました。
リンク短縮サービス、IPジオロケーション、CAPTCHAなど、通常は正当な目的で使用されるツールが、攻撃を強化するために脅威アクターによってどのように使用されるのか、興味深い点がいくつかありました。
たとえば、脅威アクターは、悪意のあるURLを難読化するためにリンク短縮サービスを使用し、ユーザーがリンクが安全かどうかを識別することを困難にする可能性があります。また、特定の地理的地域のユーザーをターゲットにしたり、特定の場所からのユーザーをブロックして検出を回避したりするために、IPジオロケーションツールを使用することもできます。さらに、脅威アクターは、自動化されたツールが自身の悪意のあるインフラストラクチャまたはペイロードにアクセスするのを防ぐためにCAPTCHAツールを使用する可能性があり、セキュリティ研究者が攻撃を分析することをより困難にしています。
このブログ記事では、防御者がこれらの脅威から身を守る方法についてもガイダンスを提供しています。たとえば、防御者は、短期間に単一のホストからリンク短縮サービスへの複数のリクエストなど、疑わしいパターンを特定するためにネットワーク分析を使用できます。また、IPジオロケーションサービスまたはボット分類ツールへの接続を試みる悪意のあるプロセスを検出するために、エンドポイントセキュリティツールを使用することもできます。
全体的に、このブログ記事は、脅威アクターがデジタル分析ツールをどのように悪用しているかについての有益な概要を提供しており、防御者がこれらの脅威から身を守る方法についての実用的なガイダンスを提供しています。
