Cisco Japan Blog

脅威ソース(4 月 18 日):新しい攻撃が発生し、Formbook と LokiBot を配布

1 min read



*本記事は 4/18 に公開されたものを和訳しております

 

「脅威の発生源」ニュース レターでは、Talos からの最新情報を週ごとにお伝えします。

まだ登録をお済ませでない方は、今年の「Talos Threat Research Summit」にぜひご登録ください。Talos Threat Research Summitpopup_icon防御側による、防御側のための年次イベントとして 2 回目となる今年は、Cisco Live と同じ 6 月 9 日にサンディエゴで開催されます。昨年の参加チケットは売り切れましたので、今年もお早めにご登録ください。

今週のトップ ニュースは、間違いなく Sea Turtlepopup_icon です。Sea Turtle は、国家安全保障を担う政府機関を標的とした DNS ハイジャック キャンペーンで、世界各国に影響を与えています。Talso では水曜日に、Sea Turtle に関する調査結果を投稿しました。詳細は今回の記事でご紹介します。今週の Beers with Talos ポッドキャストでは、この Sea Turtle についても触れています。

また、Sea Turtle ほど注目を集めていませんが、HawkEye の亜種であるHawkEye Rebornpopup_icon についても今週の記事ですでに取り上げています。HawkEye Reborn はキー ロガーの一種で、最近になって犯人が別の攻撃者に移っています。新たな攻撃者は感染を拡大させるため動きを強めています。

今回の記事では LokiBot に関する新しい情報もご紹介します。

そして最後に、ブログで毎週金曜日の午後に配信される週ごとの「脅威のまとめ」popup_iconも記載しています。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認・ブロックした最も顕著な脅威についてご紹介しています。

今後予定されている Talos の公開イベント

 

イベント:Cisco Connect ソルトレイクシティpopup_icon

場所:ユタ州ソルトレイクシティ

日付:4 月 25 日

講演者:Nick Biasini

あらすじ:全日の教育イベントでは、シスコのさまざまな情報について Nick Biasini が解説します。セッションのひとつでは特に Talos について取り上げ、Talos の業務内容や運営について簡単にご説明します。また、Talos チームにとって最も頭の痛い脅威や、一般的に最も懸念すべき傾向についてもご紹介します。

サイバー セキュリティ週間の概要

  • Google 社のロケーション データ、犯罪捜査での利用が拡大中popup_icon。特定の犯罪が発生した際に同社がモバイル デバイスをスキャンすることで、周辺地域にいる人々の情報を作成していると報じられています。
  • エクアドル政府、ウィキリークス創設者 Julian Assange 氏の逮捕後となる先週末に 4,000 万件近いサイバー攻撃を受けpopup_icon、壊滅的な打撃を受けたと表明。同氏はこれまでエクアドルの大使館で逃亡生活を続けていました。
  • Google Play ストアに登録されていた複数の偽アプリにより、ユーザの Instagram ログイン情報が流出popup_icon。これらのアプリはフォロワー数を増やすのに役立つとの触れ込みで、何十万回もダウンロードされてきました。
  • Oracle 社の最新のセキュリティ アップデート、約 300 件の脆弱性を修正popup_icon。このうち 42 件は、認証情報を持たない攻撃者によってエクスプロイトされる危険性があります。
  • WhatsApp、相手によるメッセージの画面キャプチャーを阻止する新機能popup_iconを追加予定。ただし阻止できるのはローカル レベルに限られるため、会話レベルでは阻止できません。
  • シスコ、ASR 9000 シリーズのワイヤレス ルータで緊急の脆弱性popup_iconを修正。最も深刻なバグの重大度スコアは 10 段階で 9.8 でした。エクスプロイトが発生すると、ルータの所有者に対するサービス拒否攻撃につながる危険性があります。
  • Hotmail、MSN、および Outlook では、攻撃者が電子メールの内容にアクセスできていたpopup_icon可能性が指摘。Microsoft 社は今週初め、同社の一部の電子メール サービスがサイバー攻撃の標的になったことを認めました。攻撃を目撃した 1 人の従業員によると、攻撃者が一部の電子メールにアクセスできたようです。
  • Julian Assange の逮捕、余波は今でも継続popup_icon。Assange 氏の起訴は、政府の機密情報を告発するジャーナリストを中心に影響が広範囲に及ぶ可能性もあるとして、一部で批判の声も上がっています。

最近の注目すべきセキュリティ問題

件名:Formbook や LokiBot のキャンペーン、中東のエネルギー企業を攻撃
説明:2 月中旬から 3 月中旬にかけて Talos では、送信元ドメイン名を大手の石油・ガス企業に偽ったフィッシング キャンペーンを監視してきました。さらに最近では、中東の石油・ガス企業を標的とする、別の巧妙な電子メール キャンペーンも発見しています。キャンペーンでは、LokiBot や Formbook といったデータ詐取マルウェア ファミリに類似したマルウェアが使用されています。記事の末尾には、これらの攻撃に関連する IOC のリストが掲載されています。

件名:Internet Explorer、起動していない場合でもエクスプロイトされる危険性のある脆弱性が発見popup_icon
説明:この脆弱性は Microsoft Internet Explorer が MHT ファイルを処理する方法に起因しています。細工された MHT ファイルをユーザが開くと、攻撃者はローカル ファイルを抽出して、ローカルにインストールされたプログラムのバージョン情報を不正に取得できる可能性があります。この不正操作は、ユーザによる操作がない場合に自動で実行される可能性もあります。
Snort SID49799、49800

今週最も多く見られたマルウェアファイル

SHA 2563f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3popup_icon
MD547b97de62ae8b2b927542aa5d7f3c858
典型的なファイル名:?qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos

SHA 2568f236ac211c340f43568e545f40c31b5feed78bdf178f13abe498a1f24557d56popup_icon
MD54cf6cc9fafde5d516be35f73615d3f00
典型的なファイル名:max.exe
偽装名:易语言程序
検出名:Win.Dropper.Armadillo::1201

SHA 25646bc86cff88521671e70edbbadbc17590305c8f91169f777635e8f529ac21044popup_icon
MD5b89b37a90d0a080c34bbba0d53bd66df
典型的なファイル名:cab.exe
偽装名:Orgs ps
検出名:W32.GenericKD:Trojangen.22ek.1201

SHA 256790c213e1227adefd2d564217de86ac9fe660946e1240b5415c55770a951abfdpopup_icon
MD5147ba798e448eb3caa7e477e7fb3a959
典型的なファイル名:ups.exe
偽装名:TODO: <?品名>
検出名:W32.Variant:XMRig.22fc.1201

SHA 256d05a8eaf45675b2e0cd6224723ededa92c8bb9515ec801b8b11ad770e9e1e7edpopup_icon
MD56372f770cddb40efefc57136930f4eb7
典型的なファイル名:maftask.zip
偽装名:N/A
検出名:PUA.Osx.Adware.Gt32supportgeeks::tpd

侵害の兆候

ドメイン

plenoils[.]com
sharedrive[.]top
alkzonobel[.]com
web2prox[.]com
office[.]webxpo[.]us

IPS

84[.]38[.]132[.]25
173[.]198[.]217[.]123
37[.]49[.]225[.]195
URL
hxxps://sharedrive[.]top/?qp
hxxp://sunny-displays[.]com:80/old/lk/fre.php
hxxp://sunny-displays[.]com/secured/lk/PvqDq929BSx_A_D_M1n_a.php
hxxp://modernizingforeignassistance[.]net/wp-content/plugins/projects/we.hta
hxxp://37[.]49[.]225[.]195/hook/logs/fre.php

電子メール
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電子メール アドレス
Nasser[.]K[.]@plenoils[.]com
g9825@live[.]com
mailer@matterbusiness[.]xyz
inf0-greenhillsports@outlook[.]de
youzs@ropasz[.]ml
punker@biven[.]ml
otaz@viotaz[.]ml
riyanlepine@drylnewby[.]cf
webxpoinc@yahoo[.]com
chosipongs@gmail[.]com

FORMBOOK MMUTEX

8-3503835SZBFHHZ

マルウェアの SHA256

d667c0c158786889fafa273d81bce9980bdc6ab54ea58bd2a558e248598158ac maldoc
ae55388db9f39945f3aee9e6c2a66bacfe6483eb83341b0982a6741c83a28a34 maldoc
e27d1d4de73d75968cacc3a581e54f71fef372a8661297c59a8d1a8cea60a51d .hta file
8220331b94a0dc7207246b0a2193ba2335bb70c673a085f52de0bb66786c86ce
3497d5897559c595f1ebd982171d74770dd135973eb6ea62f8fad6fec6438acc
2718ac89d522881522af2fb0b552ef55e25308544b594ed64e7f15f31acdec73

その他の MALDOC
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ALKZONOBEL[.]COM を参照するファイル

b0dc50e22a2c3fe76831f2990dcd7b1b0ca969113c2d0c962d84c5e8b02ae75f maldoc
1365104bee40dc25b0df2e9102961c9fbce10658cce9f15b9f45d0e60e18d3a9 maldoc
c08fafb05053df47f2f830d0c6d7fe34be30b13bd2280ab2db6249d7dae6b5fb maldoc

WEB2PROX[.]COM を参照するファイル

5b3c39e9d85ac947f830ed02988277f6460b991aa050063545cffb147029fd51 maldoc
PO58609.doc
811c32c017d340fe1d198ff441b14d95c7101bd04cd4fdeaaaf03124700bf3ef
PO58610.doc
1c3c62a64dcb66595eb8140fc73a9e0cbfdc9fe5f73f802489c04a460fa6e6ba

[1] https://cysinfo.com/nefarious-macro-malware-drops-loki-bot-across-gcc-countries/
[2] https://antifraudintl.org/threads/marie-louise-el-ammar-seko-lebanon-sarl.105031/
[3] https://www.reverse.it/sample/811c32c017d340fe1d198ff441b14d95c7101bd04cd4fdeaaaf03124700bf3ef?environmentId=4
[4] https://www.reverse.it/sample/1c3c62a64dcb66595eb8140fc73a9e0cbfdc9fe5f73f802489c04a460fa6e6ba?environmentId=1

 

本稿は 2019年4月18日に Talos Grouppopup_icon のブログに投稿された「hreat Source (April 18): New attacks distribute Formbook, LokiBotpopup_icon」の抄訳です。

コメントを書く