背景情報
Cisco Talos は、米国内の病院および医療機関を標的として、バンキング型トロイの木馬「Trickbot」とランサムウェア「Ryuk」を駆使した攻撃が増加していることを発見しました。セキュリティジャーナリストが 2020 年 10 月 28 日に報じたところによれば、攻撃者は「おそらく数百か所」の医療センターと病院のシステムを暗号化すべく準備を進めていました。根拠は、攻撃者の通信を監視していた研究者の通報です。それを裏付けるかのように、10 月 28 日と 29 日には、24 時間の間に、米国内の 6 つの病院が Ryuk によるセキュリティ侵害を受けているとの報告がありました。
米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)、米国連邦捜査局(FBI)、米国保健福祉省(HHS)も、医療・公衆衛生分野を狙った今回の活動の存在を認め、2020 年 10 月 28 日に共同通達を出しました。通達によれば、Ryuk による攻撃者は Trickbot を使用して同業界を標的に設定していて、今回の活動は脅威の「増大と切迫」をもたらしています。併せて、Trickbot と Ryuk に関する技術分析指標も発表されました。
Talos は、攻撃者が使用する Trickbot や Ryuk などのツールを長年にわたり追い続けてきました。目下、影響を受けているお客様をサポートするとともに、警察と連携して捜査を支援しています。また、他の法執行機関および連邦機関に対する支援も進めています。
攻撃やランサムウェアなどの被害を受けている自社顧客が存在する場合、対応措置の第一歩となるのは Cisco Talos インシデント対応(CTIR)サービスとの連携です。
不測の事態に見舞われた場合は、1-844-831-7715 に電話してテクニカル アシスタンス センター(TAC)にご連絡ください。TAC から CTIR のメンバーに取り次ぎ、メンバーが電話で対応します。アカウントマネージャの方は、IRSalesSupport@cisco.com まで電子メールでご連絡いただくこともできます。https://www.cisco.com/c/en/us/products/security/sas-incident-response.html を参照してください。
インシデント対応チームによる分析情報
医療機関を狙ったランサムウェア攻撃への複数の対応事案にも、Talos が携わっています。直近 90 日間を見ると、今四半期のインシデント対応事案のうち約 20% は医療分野で起きています。米国内のある医療センターが標的となった事案では、Ryuk に加え、レッドチーム活動ツールである Cobalt Strike が使用されていました(Cobalt Strike は Ryuk と併用されることが少なくありません。詳細については、以下をご覧ください)。ただし、米国の医療センターを狙った別のインシデント対応事案では、Ryuk 以外のランサムウェアが使用されていました。現時点では Vatet または Defray であると推定されます。どちらのインシデントに関しても、Trickbot の存在は確認されていません。
2020 年 7 月以降、CTIR は、マルウェア Vatet によって米国内の医療機関が影響を受けた事案を他に少なくとも 2 件特定しています。一方の事案では、攻撃者が「.exe」を新しいサービスとして追加し、悪意のあるサービスがメモリに読み込まれていました。攻撃者は、昇格された特権を持つドメイン管理者アカウントを取得してクレデンシャルダンプを実行した後、ダンプしたパスワードストアが含まれている「.zip」ファイルも作成していました。遅くとも 2020 年 4 月以降、医療分野を標的として Vatet が使用されるようになっています。
Talos は、複数の医療機関を狙う攻撃も発見しました。BazarLoader から BazarBackdoor、そして Cobalt Strike という感染チェーンを経て、Ryuk がドロップされるものです。10 月末には、米国の政府機関に関しても同一の感染チェーンを観測しました。
CTIR は、数ヵ月にわたって Ryuk による脅威への対処に取り組んでいます。2019 年以降、CTIR が確認した脅威の圧倒的多数が Ryuk です。ここ数四半期で観測された脅威の過半数を Ryuk が占めるほどです。これは、新型コロナウイルス感染症(COVID-19)の感染拡大が始まって以降、Ryuk の攻撃者はしばしば医療機関を標的としているという一般公開レポートの内容とも一致します。
Ryuk
ランサムウェアの Ryuk は 2018 年に登場し、数々の組織に多大な脅威をもたらし続けています。初期のバージョンは、Trickbot や Emotet などの汎用型トロイの木馬によって仕込まれるものが一般的で、感染ベクトルとして利用されるのは電子メールでした。この傾向が、本年になって変化しました。Talos が知る限り、エンコードされた PowerShell コマンドを利用して初期ペイロードがダウンロードされるようになっています。非表示の管理共有に GPO 経由でバッチファイルを配布して、PowerShell でセキュリティツールやウイルス対策ツールを無効化し、バックアップを阻止するという手口となっています。BazarLoader と BazarBackdoor が関与している感染チェーンから窺えるのは、Emotet を初期感染ベクトルとして利用する手口から明確に移行していることです。Talos では、ネットワーク検出用の一般的な PowerShell スクリプト(「Get-DataInfo.ps1」)を攻撃者が利用して、ネットワーク全体をスキャンし、オンラインホストとオフラインホストを識別するスキャン出力を得ていることも把握しています。さらに、Ryuk の展開に PSExec を利用する手口からの移行が進み、WMI、BITSAdmin、Cobalt Strike の使用が増加していることもわかりました。
現在の典型的な感染チェーンは、次のようなものです。Ryuk の攻撃者は、フィッシング電子メールなどの手段を利用して攻撃対象者を感染させます。電子メールに含まれているのは、通例、マシンにマルウェアのダウンローダを仕込むための悪意のあるリンクや実行ファイルです。Cobalt Strike ビーコンやその他の悪意のあるファイルを配布して、攻撃の足場を築きます。攻撃者は、Cobalt Strike、PowerShell Empire、Mimikatz などの一般的な既製ツールでクレデンシャルを窃取します。Ryuk による攻撃者が多用するのは、スケジューリングしたタスクとサービスの作成を駆使し、標的環境で持続的に活動するという手法です。検出を回避するため、net view、net computer、ping などのネイティブツールをネットワークの偵察に使用します。侵入後、Ryuk はバックアップとシャドウコピーを削除することで、暗号化されたファイルを被害者が復元できないようにします。そして最後に、身代金額と支払い方法を記した「RyukReadMe」がダウンロードされます。
Cobalt Strike
Cobalt Strike は、他のランサムウェアインシデントに加え、数多くの Ryuk 事案でも確認されています。CTIR は、6 月から 9 月のランサムウェア事案のうち、Cobalt Strike の関係するものが 66% を超えていることを発見しました。Cobalt Strike は、セキュリティ専門家と攻撃者のどちらも活用できる多用途のツールキットであり、侵入後のエクスプロイト、コマンドアンドコントロール(C2)用のビーコン送信、ステルス、偵察に威力を発揮します。
Cobalt Strike はモジュール方式の攻撃フレームワークとなり、各モジュールが特定の機能をスタンドアロンで実行します。フレームワークの構成要素は別のモジュールをカスタマイズした派生物または新規モジュールである場合や、まったく存在しない場合もあるため、検出が困難となっています。Cobalt Strike の中核となるのはリスナーです。攻撃者は、リスナーを使用して攻撃に使用する C2 メソッドを設定できます。個々の攻撃、つまり Cobalt Strike で生成されるペイロードでは、埋め込むリスナーを標的ユーザが選択することが要件になります。この結果により、感染したホストが C2 サーバにどのように接続し、追加のペイロードと命令を取得するのかが決まるのです。
Cobalt Strike の最も強力と言える側面は、適応性に富む C2 プロファイルでしょう。このプロファイルによって、ごく低いレベル(階層)で攻撃の生成~実行の流れや難読化を管理できるようになります。Cobalt Strike は、攻撃者の管理する Web サーバを使用して、エクスプロイトや悪意のあるペイロードを配布します。
Talos は、Cobalt Strike の実行と通信を検出するための包括的なカバレッジを含め、Cobalt Strike を詳しく取り上げたホワイトペーパーをこれまでに発行しています。詳細については、こちらを参照してください。
Trickbot
CTIR が知る限り、汎用型トロイの木馬が初期ベクトルとして使用される攻撃は減少しているものの、Ryuk については Trickbot によって仕込まれる事例が長期にわたって見られます。たとえば、6 月には Trickbot を PowerTrick および Cobalt Strike と組み合わせて使用し、バックドアである Anchor とランサムウェア Ryuk を展開するという事例が観測されました。その翌月には、Ryuk の後継である Conti を Trickbot と併用する事例が観測されています。
Trickbot は、今日のサイバー犯罪者の間で幅広く使用され、積極的な開発が進められているバンキング型トロイの木馬の 1 つです。バンキング型トロイの木馬として機能するほか、ランサムウェアなど、その他のマルウェアのドロッパーとしても使用されます。Trickbot に感染した組織や個人は、持続的な感染、クレデンシャルの窃取、アカウントのロックアウト、電子メールのハイジャック、銀行預金口座の不正な送金や出金に見舞われるおそれがあります。
Trickbot の主な拡散経路は、悪意のある URL または兵器化した添付ファイルが含まれているスパム電子メールです。ダウンロードされた Trickbot は、コマンドアンドコントロール(C2)サーバに接続し、攻撃対象者のデータをアップロードして、後続のさまざまな活動の命令を受信します。Trickbot は、ユーザ名とパスワードをブルートフォース方式で入力し、感染したユーザのアカウントからマルスパムを送信して、パッチ未適用のシステムを EternalBlue エクスプロイトで攻撃することにより、ネットワーク全体に拡散します。
Outlook
攻撃者が医療機関を標的とすることが多いのには、いくつもの理由があります。COVID-19 の感染拡大に伴う患者の急増によって、医療機関が身代金を支払う可能性が高まっているほか、医療機関のシステムには旧型またはパッチ未適用のものが少なからず存在しているため、攻撃者はおそらく格好の標的と見ているのです。Talos は、Ryuk に感染した兆候がないかどうかを慎重に監視するよう、すべての組織に促しています。特に監視が必要なのは、クレデンシャル窃取ソフトウェアの展開、ラテラルムーブメント、疑わしい PowerShell アクティビティなど、ランサムウェアが仕込まれる前のイベントです。後に Ryuk への感染が判明したシステムでは、この他にもいくつかのマルウェアファミリが観測されています。このため、シスコのパートナーに対しては、以下の監視を促しています。
- Trickbot
- Emotet
- BazarLoader/BazarBackdoor
- Cobalt Strike
- Qbot
シスコのセキュリティソリューション
オンプレミスとクラウドに展開されるシスコのセキュリティソリューションには、この脅威に対する数々の緩和策が導入されています。
Cisco Advanced Malware Protection:
Cisco Advanced Malware Protection(Cisco AMP)は、エンドポイント上で何層にもわたる保護を提供します。初期感染、偵察、ラテラルムーブメント、ファイル暗号化を検出して阻止するための複数のエンジンが搭載されています。
- Malicious Activity Protection(MAP)は、プロセスの実行時に悪意のあるアクションを特定することで、エンドポイントをランサムウェア攻撃から保護し、データが暗号化されるのを防ぎます。
- 推奨設定:検疫
- システムプロセスの保護(SPP)は、他のプロセスによるメモリインジェクション攻撃によって重要な Windows システムプロセスが侵害されないように保護します。これにより、ラテラルムーブメントを目的としてクレデンシャルが侵害される可能性を低減させます。
- 推奨設定:保護
- スクリプト保護は、悪意のあるスクリプトファイルの実行を阻止します。
- 推奨設定:検疫
- エクスプロイト防止は、未修正ソフトウェアの脆弱性をターゲットとするマルウェアやゼロデイ攻撃で一般的に使用されるメモリインジェクション攻撃からエンドポイントを保護します。このエンジンによって、Cobalt Strike、Emotet、Trickbot の数多くのインスタンスが阻止されます。
- 推奨設定:ブロック
- 動作保護は、保護モードでの悪意のある活動に関するアラート、ファイルの検疫、プロセスの終了によって、一連の動作シグネチャと一致する活動の阻止を支援します。
- 推奨設定:保護
Cisco E メール セキュリティ アプライアンス(ESA)またはクラウド提供型
- Cloud URL Analysis(CUA)は、悪意のある URL が記載されている電子メールからエンドユーザを保護できるようにします。Ryuk は、悪意のある URL を画像ベースの添付ファイルと組み合わせて、ユーザをリンクのクリックに誘導して攻撃チェーンを開始します。
- Cisco Advanced Phishing Protection(APP)は、ソーシャルエンジニアリング、なりすまし、ビジネスメール詐欺(BEC)などのアイデンティティ偽装による攻撃を発見し、阻止するクラウドサービスです。Ryuk の初期攻撃ベクトルとして、きわめて広く用いられているのがフィッシングです。
- アウトブレイクフィルタ(OF)は、新たな分析情報を収集すると同時に、脅威の検疫を実施するための保護の層を追加します。キャンペーンによる最初の感染を捉えるうえで、カギとなる機能です。
- スパム対策:Cisco ESA のスパム対策エンジンは、きわめて柔軟に設定できます。Ryuk を駆使した最近の電子メールキャンペーンに表れる、明確に表現することが困難な数々の特徴を導入時の標準設定のままで捕捉し、対処します。
- SenderBase レピュテーションスコア(SBRS):メッセージの着信時、ESA は接続元の IP アドレスとレピュテーションを最初に調査します。Ryuk の場合、最近のキャンペーンの送信元は、SendGrid のインフラストラクチャを利用したなりすましの電子メールアドレスです。SendGrid は著名な電子メールサービスプロバイダー(ESP)ですが、無条件の利用を認めることなくチェックの対象とします。
- メッセージのコンプライアンス:Ryuk は、多くの攻撃者と同様に多くの電子メールキャンペーンでなりすましドメインを利用しています。ESA は、Sender Policy Framework(SPF)、DomainKeys Identified Mail(DKIM)、Domain-based Message Authentication, Reporting and Conformance(DMARC)を適用するように設定できます。
Cisco Umbrella のセキュリティ設定(ブロックするカテゴリ):
- マルウェア
- 新たに確認されたドメイン
- セキュリティカテゴリの「新たに確認されたドメイン」(NSD)は、それまでルックアップが確認されたことのないドメインについて、DNS ログをチェックしてルックアップを確認することを目的としています。当該のドメインが実際に IP アドレスへと解決されるかどうかにかかわらず、クライアントからのルックアップを確認し、そのルックアップが DNS ルックアップのレコードになかった場合は「新たに確認」として記録します。ドメインが実際に解決されない場合、当該のドメインはマルウェアによって ping されているものの、その時点では何のコンテンツもホスティングされていないことになります。このような現象が見られるのは、通例、ハードコードされたホスト名をマルウェアが循環的に試して、再接続先となるコマンドアンドコントロール ホストを発見しようとしている場合です。このセキュリティカテゴリは、ここで説明した事項に合致するドメインを識別するうえで役立ちます。
- コマンドアンドコントロール コールバック
- フィッシング攻撃
- 損害が発生する可能性があるドメイン
シスコの次世代ファイアウォール(NGFW):Cisco FirePOWER Threat Defense
- Talos は、この種の攻撃を対象とする多数の侵入防御システム(IPS)ルールをこれまでに作成しています。個別のシグネチャの詳細については、以下の「Talos によるカバレッジの詳細」を参照してください。
- Cisco NGFW は、次世代の IPS 機能に加え、ファイルベースのマルウェアとランサムウェアから保護する能力を備えています。さらに、ユーザとアプリケーションの両方を認識する網羅的なレイヤ 7 ファイアウォール機能も提供します。
- マルウェアの伝搬に対して優れた防御効果を発揮する、セグメンテーション機能を備えています。
- Cisco Identity Services Engine(ISE)や Cisco Tetration などのソリューションによる迅速な脅威封じ込めを利用して、感染が発見されたホストを動的に検疫します。
Cisco Duo:多要素認証(MFA)およびホストベースの信頼
- Cisco Duo は、従業員に関するゼロトラストのポリシーを提供します。
- 攻撃者は、攻撃の一環としてクレデンシャルを窃取することが一般的であるため、多要素認証のメカニズムを導入することが重要になります。
- Cisco Duo を利用すると、Microsoft Active Directory や Office 365 を含む数百種のアプリケーションについて、多要素認証(MFA)を容易に展開できます。
- Cisco Duo の他に類を見ない特長の 1 つは、認証を要求しているデバイスのポスチャアセスメントを実施して、ホストセキュリティポリシーの遵守も確認できることです。
Cisco Tetration:
Cisco Tetration は、ワークロードの種類や処理の場所にかかわらず、アプリケーションを実行するシステムのセキュリティを強化することに特化したワークロード セキュリティ ソリューションです。複数の層にわたる可視化と制御を実現して、攻撃対象領域を縮小し、ラテラルムーブメントを防止します。システムのセキュリティ強化とセグメンテーションは、Ryuk などのランサムウェア攻撃による被害を抑えるうえで不可欠です。
- ソフトウェア定義型かつゼロトラストベースのマイクロセグメンテーション:Cisco Tetration では、リモートアクセスに使用されるものや脆弱性のあるソフトウェアに接続するものなど、リスクの高いポートをエージェントベースの分散ファイアウォールによって迅速にロックダウンできます。セキュリティゾーンの内側であってもリモートアクセスの許可リストを容易に適用できるため、Ryuk が攻撃対象の環境を偵察する際の手法であるラテラルムーブメントを防止できます。さらに、ネットワークに変更を加えることなく、セキュリティ侵害を受けるリスクの高いアプリケーションから機密データを取り扱うアプリケーションを分離できます。
- 脆弱性と攻撃対象領域の検出:開放されている未使用のポートは、きわめて高いリスクを招きます。Cisco Tetration は、脆弱性のあるソフトウェアを識別し、アプリケーションの挙動やネットワークでの挙動と照らし合わせて分析したうえで、開放されている最も高リスクのポートと、アプリケーションに影響を及ぼすことなく安全に閉じることができるポートを特定します。特定されたポートは、Cisco Tetration の分散ファイアウォールで閉じることができます。
- ネットワーク セグメンテーション ポリシーの自動検出:Cisco Tetration は、ワークロードに適用されるゼロトラストの最小特権セグメンテーションポリシーを自動的に発見して、ネットワークのセグメンテーションを促進します。これらのポリシーの推奨事項を Cisco Tetration の分散ファイアウォールで適用することにより、ラテラルムーブメントを制限し、ランサムウェア攻撃の対象となる範囲を限定できます。
- プロセスのベースライン化:Cisco Tetration は、標的となるワークロードに関する独自の分析機能を備えています。また、異常なプロセス、コマンド、シェルコードが実行されたときにアラートを発行できます。
Talos によるカバレッジの詳細
カバレッジには、Snort ルールと ClamAV シグネチャが含まれます。これらのシグネチャおよびルールは、NGFW や Cisco AMP for Endpoints をはじめとするシスコのセキュリティソリューションに導入されます。
Snort:
Ryuk
- 50644, 50645, 53332, 53333, 53335, 53336
Emotet
- 43890, 43891, 44559, 44560, 47616, 47617, 48402, 51971, 52029, 53108, 53353, 53354, 55931, 56003, 143892, 49888, 49889, 53770, 53771, 54804, 54805, 54900, 54901, 54924, 54925, 55253, 55254, 55591, 55592, 55781, 55782, 55787, 55788, 55869, 55870, 55873, 55874, 55929, 55930, 56046, 56047, 51967, 51968, 51969, 51970, 53355, 53356, 53357, 53358, 53359, 53360
Trickbot
- 40643, 40644, 44399, 44400, 44401, 44402, 44403, 44404, 44405, 44406, 44407, 44408, 44409, 44410, 44411, 44412, 44413, 44414, 44415, 47618, 50712, 50713, 50714, 50715, 54014, 54061, 54062, 54063, 54064, 54065, 54066, 54067, 54068, 54069, 54070, 54071, 54072, 54073, 54074, 54075, 54076, 54077, 54078, 54079, 54080, 54199, 54200, 54201, 54202, 54203, 54204, 54205, 54206, 54207, 54208, 54209, 54210, 54211, 54212, 54213, 55002, 55003, 55004, 55005
PowerShell Empire
- 38259, 38260, 38261, 44561, 44562, 44563, 44564, 45352, 52063, 52064
Cobalt Strike
- 53656, 53657, 53658, 53659, 45907, 45908, 53972, 53973, 53974, 53975, 30229, 30471, 30480, 53757, 53758, 54095, 54096, 8068, 54110, 54111, 54112, 54113, 54114, 54115, 54116, 54117, 54169, 54170, 54171, 54172, 54173, 54174, 54175, 54183, 13913, 23878, 38038, 54180, 54181, 54182
ClamAV:
- Ransomware.Ryuk-6892922-0
- Ransomware.Ryuk-6913477-0
- Ransomware.Ryuk-6913478-0
- Ransomware.Ryuk-6948432-0
- Ransomware.Ryuk-6945777-1
- Ransomware.Ryuk-7008184-0
- Ransomware.Ryuk-7052721-0
- Ransomware.Ryuk-7159810-0
- Packed.Ryuk-7159811-0
- Ransomware.Ryuk-7385323-0
- Ransomware.Ryuk-7549046-0
- Malware.Ryuk-7577906-0
- Ransomware.Ryuk-7618216-0
- Ransomware.Ryuk-9774780-0
- Trojan.Ryuk-9775881-0
- Downloader.Ryuk-9776080-0
- Ransomware.Ryuk-9778872-0
- Ransomware.Ryuk-9779552-0
- Ransomware.Ryuk-6688842-0
- Ransomware.Ryuk-7181475-0
- Dropper.PhishingLure-6443153-0
- Downloader.Emotet-7540380-0
- Downloader.Emotet-9310858-1
- Downloader.Emotet-9343215-0
- Downloader.Emotet-9343219-0
- Downloader.Emotet-9348583-0
- Downloader.Sagent-9240956-0
- Dropper.Agent-6367748-0
- Dropper.Generic-7535875-0
- Macro.Emotet-6374344-0
- Packed.Trickbot-9783085-0
- Malware.Trickbot-9764475-0
- Trojan.CobaltStrike-7899871-1
- Trojan.CobaltStrike-7899872-1
- Trojan.Meterpreter-7385375-0
- Trojan.MSShellcode-5
- Trojan.CobaltStrike-7913051-0
- Trojan.CobaltStrike-7917400-0
- Trojan.CobaltStrike-7932561-0
- Trojan.CobaltStrike-7932562-0
- Trojan.CobaltStrike-7932563-0
- Trojan.CobaltStrike-7932564-0
- Trojan.CobaltStrike-8001474-0
- Trojan.CobaltStrike-8001477-1
- Malware.CobaltStrike-8008971-0
脅威の緩和に向けた手引き
CISA、FBI、HHS は、共同通達の中で次の緩和策を提示しています。
- ビジネス継続性計画を策定および順守して、サービスの中断を最小限に抑える。
- 製造元がアップデートを公開した場合、OS、ソフトウェア、ファームウェアにパッチをただちに適用する。
- 医療・公衆衛生分野の組織が所有するデバイスの全バージョンの OS の設定を確認し、ローカル管理権限が無効になっているためにローカルユーザでは修正できない問題が発生することを阻止する。
- ネットワーク上のシステムおよびアカウントのパスワードを定期的に変更し、別のアカウントにパスワードを使いまわすことを避ける。
- 可能な場合は多要素認証を使用する。
- 未使用のリモートアクセスポートとリモート デスクトップ プロトコル(RDP)ポートを無効にし、リモートアクセスと RDP のログを継続的に確認する。
- アプリケーションとリモートアクセスに関する許可リストを導入し、システムでの実行を許可するのを策定済みのセキュリティポリシーで許可されている既知のプログラムのみに制限する。
- 管理者特権を持つユーザアカウントを監査し、特権を最小限とすることを念頭に置いてアクセス制御を設定する。
- ログを監査して、新規のアカウントが正規のものであることを確認する。
- 開放されているかリッスン中となっているポートをスキャンし、必要のないポートは設定を修正する。
- 重要な資産を洗い出す。それらのシステムのバックアップを作成して、ネットワークから切り離された場所にバックアップを保管する。
- ネットワークのセグメンテーションを導入する。機密データは、電子メール環境と同一のサーバまたはネットワークセグメントに配置しない。
- ウイルス対策とマルウェア対策のソリューションを設定して、自動更新する。スキャンを定期的に実行する。
Talos は、ランサムウェア攻撃による被害の防御や低減に役立つベストプラクティスもこれまでに公開しています。これには、緩衝地帯(DMZ)のセキュリティ強化、電子メールセキュリティとフィッシングに関する包括的なトレーニングの提供、ネットワークのセグメンテーションが含まれます。ユーザ、マイクロサービス、デバイスのアクセスを管理してゼロトラストの方法論を導入すると、ランサムウェア攻撃の範囲拡大を招くおそれのあるラテラルムーブメントも防止できます。
IOC(侵入の痕跡)
Ryuk の IOC については、セキュリティ研究者がリポジトリにまとめています。こちらを参照してください。
本稿は 2020 年 10 月 30 日に Talos Group のブログに投稿された「Cisco Talos Advisory on Adversaries Targeting the Healthcare and Public Health Sector」の抄訳です。