Cisco Japan Blog / 脅威リサーチ / 「Magic Hound」に対するシスコのカバレッジ

「Magic Hound」とは、サウジアラビアの組織や同国で事業を展開する組織を対象とした、（一見限定された）一連のマルウェア配布キャンペーンを指すコードネームです。これまで Talos が確認してきた他のマルウェア配布キャンペーンと同様に、今回の一連のキャンペーンでもフィッシング メールが使用されています。フィッシング メールの中には、攻撃者が制御するサーバ上にホストされた悪意のある Word ドキュメントへのリンクが記載されています。ドキュメントを開くと、マクロを有効にするようユーザーに指示するメッセージが表示されます。実際にマクロを有効にすると攻撃者のスクリプトが起動して別のマルウェアをダウンロードし、システムを侵害します。一部のより巧妙なキャンペーンとは異なり、「Magic Hound」では汎用のマルウェアやツールが利用されています。これらのマルウェアやツールには、IRC ボットなどのツール、Metasploit Meterpreter ペイロード、およびオープン ソースのリモート監視ツール（RAT）も含まれています。

今回の標的型攻撃では「Magic Hound」だけでなく他の類似攻撃も確認されており、時間の経過とともに攻撃手口が変化しているため、Talos ではお客様を保護できるよう必要なカバレッジを提供しています。

カバレッジ

「Magic Hound」に対するシスコのカバレッジは、シスコのセキュリティ製品、サービス、およびオープン ソース テクノロジーを通じて提供されています。なお、脅威の進化に応じて、新しいカバレッジが開発され、既存のカバレッジが変更、修正される場合があることにご注意ください。そのため、この投稿の情報は正式に確定したものとは言えません。最新の情報については、FireSIGHT Management Center または Snort.org を参照してください。

Snort ルール

• 41655-41659

AMP による検出

• C21074F340.magichound.hunt.talos
• W32.EA139A73F8.magichound.hunt.talos
• W32.DA2ABDC951.magichound.hunt.talos
• W32.0D3AE68286.magichound.hunt.talos
• W32.F0ECC4388F.magichound.hunt.talos
• W32.860F4CD443.magichound.hunt.talos
• W32.B42B118621.magichound.hunt.talos
• W32.4BEEE6E7AA.magichound.hunt.talos
• W32.5E0E09C986.magichound.hunt.talos
• W32.3161F9087D.magichound.hunt.talos
• W32.B6C159CAD5.magichound.hunt.talos
• W32.6A7537F2CE.magichound.hunt.talos
• W32.16D87FBD86.magichound.hunt.talos
• W32.92BC7D0444.magichound.hunt.talos
• W32.86D3409C90.magichound.hunt.talos
• W32.C3A8F51763.magichound.hunt.talos
• W32.A390365DDF.magichound.hunt.talos
• W32.D2FFC757A1.magichound.hunt.talos
• W32.79C9894B50.magichound.hunt.talos
• W32.2F7F358250.magichound.hunt.talos
• W32.8C2E4AA8D7.magichound.hunt.talos
• W32.ABE8E86B78.magichound.hunt.talos
• W32.9E4D2E983F.magichound.hunt.talos
• W32.E57F77CC3D.magichound.hunt.talos
• W32.CA6E823DED.magichound.hunt.talos
• W32.EAAECABB43.magichound.hunt.talos
• W32.1C3E527E49.magichound.hunt.talos
• W32.29A659FB0E.magichound.hunt.talos
• W32.218FAC3D06.magichound.hunt.talos
• W32.E5B643CB6E.magichound.hunt.talos
• W32.71E584E7E1.magichound.hunt.talos
• W32.388B26E22F.magichound.hunt.talos
• W32.33EE8A57E1.magichound.hunt.talos
• W32.5469FACC26.magichound.hunt.talos
• W32.528714AAAA.magichound.hunt.talos
• W32.66D24A5293.magichound.hunt.talos
• W32.CFCE482710.magichound.hunt.talos
• W32.68DB2B363A.magichound.hunt.talos
• W32.E837F6B814.magichound.hunt.talos
• W32.F912D40DE9.magichound.hunt.talos
• W32.AF0AE0FA87.magichound.hunt.talos
• W32.6D1A50CA3E.magichound.hunt.talos
• W32.6C195EA18C.magichound.hunt.talos
• W32.97943739CC.magichound.hunt.talos
• W32.7E57E35F8F.magichound.hunt.talos
• W32.DB453B8DE1.magichound.hunt.talos
• W32.82779504D3.magichound.hunt.talos
• W32.1C550DC73B.magichound.hunt.talos
• W32.7CDBF5C035.magichound.hunt.talos
• W32.B2EA3FCD2B.magichound.hunt.talos
• W32.3F23972A0E.magichound.hunt.talos
• W32.133959BE83.magichound.hunt.talos
• W32.BA3560D3C7.magichound.hunt.talos
• W32.D8731A94D1.magichound.hunt.talos
• W32.D08D737FA5.magichound.hunt.talos

ドメインまたは IP アドレスの検出

• analytics-google[.]org
• microsoftexplorerservices[.]cloud
• msservice[.]site
• service.chrome-up[.]date
• service1.chrome-up[.]date
• servicesystem.serveirc[.]com
• syn.timezone[.]live
• timezone[.]live
• www.microsoftsubsystem.com-adm[.]in
• www1.chrome-up[.]date
• www3.chrome-up[.]date
• www5.chrome-up[.]date
• www7.chrome-up[.]date
• 104.218.120[.]128
• 104.238.184[.]252
• 139.59.46[.]154
• 45.56.123[.]129
• 45.58.37[.]142
• 45.76.128[.]165
• 69.87.223[.]26
• 89.107.60[.]11
• 89.107.62[.]39

その他の対応策

「Magic Hound」の攻撃者は、組織のネットワークに足掛かりを得る目的でフィッシング電子メールとソーシャル エンジニアリングを利用し続けています。また、メールセキュリティ意識向上プログラムだけでなく、スパムやフィッシング詐欺に対抗するための包括的な戦略の必要性を浮き彫りにしています。未知の電子メールや、送信元が未確認の電子メールに含まれるリンクは決して開かないでください。

Advanced Malware Protection（AMP）は、これらの攻撃者によるマルウェアの実行の阻止に最適です。

CWS や WSA の Web スキャンは、悪意のある Web サイトへのアクセスを阻止し、それらの攻撃に使用されるマルウェアを検出します。

E メール セキュリティ は、攻撃の一環として攻撃者が送りつける、悪意のある電子メールをブロックします。

IPS や NGFW のネットワーク セキュリティ保護機能は、攻撃者による不正なネットワーク アクティビティを検出できる最新のシグネチャを備えています。

AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を組み込みます。

Umbrella は悪意のあるアクティビティに関連付けられているドメインの DNS 解決を防止します。

本稿は 2017年2月16日に Talos Group のブログに投稿された「Cisco Coverage for ‘Magic Hound’」の抄訳です。

Authors

TALOS Japan