Talos 読者の皆様、こんにちは。
数か月にわたって取り組んできた LockBit に関する調査報告書
このホワイトペーパーには、攻撃者が標的を選び出す方法と、一部の国では比較的簡単に攻撃を仕掛けることができる理由が記載されています。
件名:「クライムウェアの武装競争:最新のマルウェア武装化技術と検出回避技術」
イベント:CactusCon
開催日:2 月 6 〜 7 日
講演者:Edmund Brumaghin、Nick Biasini
概要:近年、実際のインシデントで見つかるマルウェアサンプルの数が爆発的に増加しているため、自動分析プラットフォームの開発に多大な労力が費やされています。これらのプラットフォームは通常、制御された環境でファイルを実行し、その動作を観察して、ファイルが無害か有害かを判断します。こうした技術の利用が増えるにつれて、攻撃者は自動分析を回避して検出を逃れる技術の開発に多くのリソースを投入しています。また、マルウェアの開発者は、分析を困難にするためのさまざまな手法も導入し続けています。最近のボットネットは、セキュリティ機関や法執行機関による介入に対して復元力を高めるために、新たな手法をインフラストラクチャに導入し始めています。このプレゼンテーションでは、分析と検出を回避するために攻撃者が使用している最新技術について説明します。また、セキュリティ業界や法執行機関による介入に対して耐性のある C2 通信チャネルを確立するために攻撃者が使用している新技術についても説明します。具体例を取り上げ、これらの技術が利用されているケースを詳細に分析し、それらの技術に対する効果的な防御方法について説明します。
イベント:Cisco Live 2021
開催日:3 月 30 日 〜 4 月 1 日
講演者:Nick Biasini、他(未定)
概要:年に一度の Cisco Live カンファレンスにご参加ください。今年は初のバーチャルでの世界同時開催となります。Cisco Live では、年間を通じて技術教育やトレーニングを提供しています。カンファレンス開催中は、多数のオンデマンドセッションをご用意しています。Talos アウトリーチ担当の Nick Biasini が、デュアルユースツールとサプライチェーン攻撃を中心に、過去 1 年間の脅威とトレンドを振り返ります。その他のセッションの詳細は数週間以内に発表される予定です。
件名:SolarWinds 関連のキャンペーンは他のソフトウェアにも拡大する可能性
説明:米国政府機関や企業を標的として、外国政府の支援が疑われる攻撃が展開されました。米国政府関係者によると、攻撃の影響は SolarWinds 製品だけでなくさらに広範囲に及ぶ可能性があります。新しいレポートによれば、SolarWinds 侵害に関係のある攻撃者が、同製品の公開済みの脆弱性とは別の脆弱性をエクスプロイトして被害者のネットワークに侵入する最初の足がかりを得ている可能性があります。このキャンペーンの影響は甚大なものとなる可能性があり、当局とセキュリティ研究者は現在も解析を続けています。FireEye 社の報告によると、被害を受けた組織には、北米、ヨーロッパ、アジア、中東の政府機関や、コンサルティング会社やハイテク企業、通信会社、石油会社、ガス会社が含まれます。また、米国財務省と商務省も同じ攻撃者によると考えられる攻撃の標的になっていたことが複数の報告で示されています。
Snort SID:56660 〜 56668
AMP:Trojan.Sunburst.[A-Z]、Trojan.Teardrop.[A-Z]
ClamAV:Win.Countermeasure.Sunburst-9816012-0、Win.Countermeasure.Sunburst-9809153-0、Win.Countermeasure.Sunburst-9816013-0、Win.Countermeasure.Sunburst-9809152-0、Win.Dropper.Teardrop-9808996-3、PUA.Tool.Countermeasure.DropperRaw64TEARDROP-9808998-0
件名:LockBit ランサムウェアの攻撃者から攻撃対象とエクスプロイトした脆弱性についての情報を入手
説明:Cisco Talos は最近、LockBit ランサムウェア攻撃に関与している人物から数週間にわたって話を聞きました。そこで明かされた攻撃者の TTP(戦術、技術、手順)は、たとえ相手が技術に精通していない平凡なサイバー犯罪者であっても、組織の大小を問わず決して警戒を怠るべきでないことを改めて認識させてくれます。こうした犯罪者が標的を絞る方法や攻撃の手口は単純ですが、企業に打撃を与え、無防備な被害者が大きな被害を受ける事例が後を絶ちません。彼らはほぼ例外なく、インターネット上で簡単に利用できる使いやすく一般的なオープンソースツールに依存していることも本調査で明らかになっています。また、パッチを適用していない環境のみが標的になっていることも判明しました。
Snort SID:54910 ~ 54917
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:8cb8e8c9fafa230ecf2f9513117f7679409e6fd5a94de383a8bc49fb9cdd1ba4
MD5:176e303bd1072273689db542a7379ea9
一般的なファイル名:FlashHelperService.exe
偽装名:Flash Helper Service
検出名:W32.Variant.24cl.1201
SHA 256:b76fbd5ff8186d43364d4532243db1f16f3cca3138c1fab391f7000a73de2ea6
MD5:6a7401614945f66f1c64c6c845a60325
一般的なファイル名:pmropn.exe
偽装名:PremierOpinion
検出名:PUA.Win.Adware.Relevantknowledge::231753.in02
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:svchost.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5: 34560233e751b7e95f155b6f61e7419a
一般的なファイル名:santivirusservice.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
最新情報を入手するには、Twitter
本稿は 2021 年 02 月 04 日に Talos Group
のブログに投稿された「Threat Source newsletter (Feb. 4, 2021) 」の抄訳です。
