Cisco Japan Blog

脅威情報ニュースレター(2021 年 2 月 4 日)

1 min read



 

Talos 読者の皆様、こんにちは。

数か月にわたって取り組んできた LockBit に関する調査報告書popup_iconを、ようやく公開できる運びになりました。Talos の研究者数名がランサムウェア攻撃を実行している人物から話を聞き、日々の攻撃の目標とその手口について詳しい情報を入手しています。 

このホワイトペーパーには、攻撃者が標的を選び出す方法と、一部の国では比較的簡単に攻撃を仕掛けることができる理由が記載されています。

今後予定されている Talos の公開イベント

件名:「クライムウェアの武装競争:最新のマルウェア武装化技術と検出回避技術」 popup_icon

イベント:CactusCon

開催日:2 月 6 〜 7 日

講演者:Edmund Brumaghin、Nick Biasini

概要:近年、実際のインシデントで見つかるマルウェアサンプルの数が爆発的に増加しているため、自動分析プラットフォームの開発に多大な労力が費やされています。これらのプラットフォームは通常、制御された環境でファイルを実行し、その動作を観察して、ファイルが無害か有害かを判断します。こうした技術の利用が増えるにつれて、攻撃者は自動分析を回避して検出を逃れる技術の開発に多くのリソースを投入しています。また、マルウェアの開発者は、分析を困難にするためのさまざまな手法も導入し続けています。最近のボットネットは、セキュリティ機関や法執行機関による介入に対して復元力を高めるために、新たな手法をインフラストラクチャに導入し始めています。このプレゼンテーションでは、分析と検出を回避するために攻撃者が使用している最新技術について説明します。また、セキュリティ業界や法執行機関による介入に対して耐性のある C2 通信チャネルを確立するために攻撃者が使用している新技術についても説明します。具体例を取り上げ、これらの技術が利用されているケースを詳細に分析し、それらの技術に対する効果的な防御方法について説明します。

イベント:Cisco Live 2021popup_icon

開催日:3 月 30 日 〜 4 月 1 日

講演者:Nick Biasini、他(未定)

概要:年に一度の Cisco Live カンファレンスにご参加ください。今年は初のバーチャルでの世界同時開催となります。Cisco Live では、年間を通じて技術教育やトレーニングを提供しています。カンファレンス開催中は、多数のオンデマンドセッションをご用意しています。Talos アウトリーチ担当の Nick Biasini が、デュアルユースツールとサプライチェーン攻撃を中心に、過去 1 年間の脅威とトレンドを振り返ります。その他のセッションの詳細は数週間以内に発表される予定です。

1 週間のサイバーセキュリティ概況

  • 米国と欧州の法執行機関、共同作戦により Emotet ボットネットを解体popup_icon。共同作戦が功を奏したことで、C2 ドメインを乗っ取りトラフィックをリダイレクトする悪名高い脅威が解体されました。
  • Apple 社が進めるプライバシー設定の変更を受け、Facebook 社はパーソナライズされた広告のオプトインをユーザに促すpopup_icon通知を予定。今後リリースされるバージョンの iOS では、アプリが収集する情報の種類をユーザが制限できるようになります。
  • 中国政府の支援を受けたハッカー集団popup_icon、公開済みの脆弱性とは異なる SolarWinds の脆弱性をエクスプロイトしていた可能性が浮上。米国農務省が侵害を受けたと見られています。
  • ランサムウェア攻撃(ロックされたファイルへのアクセス権と引き換えに身代金を要求)で、支払いに応じる被害者が減少。ただし、その影響を受けて攻撃者が要求する身代金の金額は上昇popup_iconしています。
  • 今週、Reddit で人気が急上昇中の WallStreetBets サブレディットにボットが大量参入popup_icon。このサブレディットは最近の GameStop 株急騰の震源地となっており、他の株式への投資をユーザに促すためにボットが利用されました。
  • 先月発生した米国議会議事堂への襲撃事件により、顔認識技術の利便性が判明。特別な技能のないインターネットユーザでも、複数の参加者を特定してpopup_icon法執行機関に通報することができました。
  • サウスカロライナ州のある郡、サイバー攻撃を受けてから数週間が経過するも依然復旧の目途が立たずpopup_icon。裁判所と財務官事務所が通常の業務に戻るにはさらに数日かかる可能性があると地方自治体の関係者は述べています。
  • 人気のチャットプラットフォーム Discord で暗号通貨詐欺が増加popup_icon。仮想通貨を無料で提供すると持ちかけて悪意のあるリンクにユーザを誘導するプライベートサーバを狙った詐欺が発生しています。
  • トロイの木馬 Agent Tesla の新バージョンpopup_iconに新しい配信方法と検出回避技術が追加。Microsoft 社の Anti-Malware Software Interface を標的として検出を回避するとセキュリティ研究者は語っています。

最近の注目すべきセキュリティ問題

件名:SolarWinds 関連のキャンペーンは他のソフトウェアにも拡大する可能性popup_icon

説明:米国政府機関や企業を標的として、外国政府の支援が疑われる攻撃が展開されました。米国政府関係者によると、攻撃の影響は SolarWinds 製品だけでなくさらに広範囲に及ぶ可能性があります。新しいレポートによれば、SolarWinds 侵害に関係のある攻撃者が、同製品の公開済みの脆弱性とは別の脆弱性をエクスプロイトして被害者のネットワークに侵入する最初の足がかりを得ている可能性があります。このキャンペーンの影響は甚大なものとなる可能性があり、当局とセキュリティ研究者は現在も解析を続けています。FireEye 社の報告によると、被害を受けた組織には、北米、ヨーロッパ、アジア、中東の政府機関や、コンサルティング会社やハイテク企業、通信会社、石油会社、ガス会社が含まれます。また、米国財務省と商務省も同じ攻撃者によると考えられる攻撃の標的になっていたことが複数の報告で示されています。

Snort SID56660 〜 56668

AMPTrojan.Sunburst.[A-Z]、Trojan.Teardrop.[A-Z]

ClamAVWin.Countermeasure.Sunburst-9816012-0、Win.Countermeasure.Sunburst-9809153-0、Win.Countermeasure.Sunburst-9816013-0、Win.Countermeasure.Sunburst-9809152-0、Win.Dropper.Teardrop-9808996-3、PUA.Tool.Countermeasure.DropperRaw64TEARDROP-9808998-0

件名:LockBit ランサムウェアの攻撃者から攻撃対象とエクスプロイトした脆弱性についての情報を入手popup_icon

説明:Cisco Talos は最近、LockBit ランサムウェア攻撃に関与している人物から数週間にわたって話を聞きました。そこで明かされた攻撃者の TTP(戦術、技術、手順)は、たとえ相手が技術に精通していない平凡なサイバー犯罪者であっても、組織の大小を問わず決して警戒を怠るべきでないことを改めて認識させてくれます。こうした犯罪者が標的を絞る方法や攻撃の手口は単純ですが、企業に打撃を与え、無防備な被害者が大きな被害を受ける事例が後を絶ちません。彼らはほぼ例外なく、インターネット上で簡単に利用できる使いやすく一般的なオープンソースツールに依存していることも本調査で明らかになっています。また、パッチを適用していない環境のみが標的になっていることも判明しました。

Snort SID54910 ~ 54917

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 2568cb8e8c9fafa230ecf2f9513117f7679409e6fd5a94de383a8bc49fb9cdd1ba4popup_icon

MD5176e303bd1072273689db542a7379ea9

一般的なファイル名:FlashHelperService.exe

偽装名:Flash Helper Service

検出名:W32.Variant.24cl.1201

SHA 256b76fbd5ff8186d43364d4532243db1f16f3cca3138c1fab391f7000a73de2ea6popup_icon

MD56a7401614945f66f1c64c6c845a60325

一般的なファイル名:pmropn.exe

偽装名:PremierOpinion

検出名:PUA.Win.Adware.Relevantknowledge::231753.in02

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon

MD58c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:svchost.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon

MD5 34560233e751b7e95f155b6f61e7419a

一般的なファイル名:santivirusservice.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 02 月 04 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Feb. 4, 2021)popup_icon」の抄訳です。

コメントを書く