Talos 読者の皆様、こんにちは。
APT(高度なサイバー攻撃)と言えば広範囲な影響が特徴であり、国家の支援を受けたハッカー集団が暗躍していると考えられています。しかし、Gamaredon に関する Talos の最新調査で、APT の攻撃者は多様化していることが判明しました。
世界中でさまざまな APT 攻撃が仕掛けられていますが、その多くは情報を盗み出すことだけを主な目的としています。盗んだ情報を攻撃者がどのように利用するかについては、いまだ活発な議論が交わされています。
今後予定されている Talos の公開イベント
イベント:Cisco Live 2021
開催日:3 月 30 日 〜 4 月 1 日
講演者:Nick Biasini、他(未定)
概要:年に一度の Cisco Live カンファレンスにご参加ください。今年は初のバーチャルでの世界同時開催となります。Cisco Live では、年間を通じて技術教育やトレーニングを提供しています。カンファレンス開催中は、多数のオンデマンドセッションをご用意しています。Talos アウトリーチ担当の Nick Biasini が、デュアルユースツールとサプライチェーン攻撃を中心に、過去 1 年間の脅威とトレンドを振り返ります。その他のセッションの詳細は数週間以内に発表される予定です。
1 週間のサイバーセキュリティ概況
- バイデン政権、SolarWinds 社の製品をハッキングして数千の企業や政府機関に影響を与えたとして、対ロシア制裁準備を進めているとの報道。将来、同様の攻撃から守るために、米国の防衛機関が新たな防御策の策定に取り組んでいるとも伝えられています。
- 今週、複数の大手テクノロジー企業が SolarWinds 製品のインシデントに関して米国上院で証言。攻撃に利用されたとされる Amazon Web Services の関係者は出席を拒否しました。
- Apple 社、同社の M1 チップを標的とした「Silver Sparrow」攻撃に対応済みと声明。Talos からも、攻撃を防ぐためのハッシュベースの保護がリリース済みです。
- 子どもを見守る防犯カメラ企業の NurseryCam 社、サイバー攻撃によりデータが漏洩したと発表。今回のセキュリティ侵害により、保育所などに設置されているカメラを介して子どもや親の様子が盗み見られた形跡はないと同社はコメントしています。
- ハッカー集団の「APT31」、Equation Group が開発したゼロデイ攻撃のクローンを使用して Microsoft 社製品を攻撃との報道。Microsoft 社は 2017 年に同脆弱性に対するパッチをリリースしていますが(CVE は未発行)、一部ではパッチが適用されないままソフトウェアが利用されています。
- IBM 社による最近の調査レポート、ランサムウェア「Sodinokibi」の攻撃者が 2020 年に 1 億 2,300 万ドル以上の利益を上げたと指摘。Sodinokibi(別名 REvil)が盗み出したデータは約6TB とも言われています。
- ボイスチャットに特化した新興の有力ソーシャルメディア Clubhouse のチャットルームが攻撃者の標的に。一部のボイスチャットやその他のデータが標的になった可能性があると警告されています。
- ロシア政府の支援を受けた攻撃者がウクライナ政府の文書管理システムを攻撃しているとして、ウクライナ当局者が非難声明を発表。ウクライナ政府によれば、攻撃の目標は「公的機関の情報リソースの大量感染」です。
- ビデオゲーム開発企業の CD Projekt Red、2 月初めに受けたランサムウェア攻撃の影響が長期化。攻撃によって同社の従業員の一部はリモートデスクトップで作業を行えなくなっており、開発に遅れが生じているとのことです。
最近の注目すべきセキュリティ問題
件名:Masslogger が Outlook、Chrome からユーザのログイン情報を盗む
説明:Cisco Talos は最近、トロイの木馬「Masslogger」の亜種を利用した攻撃を発見しました。この亜種は、Microsoft Outlook、Google Chrome、インスタントメッセンジャーなどの複数のソースからユーザのログイン情報を盗むように設計されています。フィッシングメールから始まり、最終的にはペイロードに至るマルチモジュラアプローチが攻撃に使用されています。このアプローチが採用された理由は検出回避にあると考えられますが、防御側がキルチェーンを破壊できることも多いため、弱点にもなり得ます。世間の注目はランサムウェア攻撃や大物狙いの攻撃、APT に集まっています。しかしクライムウェアを使った攻撃も依然として活発であり、ユーザのログイン情報が盗まれた場合は組織に甚大な損害が出る危険性があることを忘れてはなりません。闇サイトではこうしたログイン情報の価値が高いため、攻撃者は金銭目的で売却したり、他の攻撃で使用したりしています。
Snort SID:57141 ~ 57154
OSQuery:https://github.com/Cisco-Talos/osquery_queries/blob/master/win_forensics/potential_compiled_HTML_abuse.yaml
件名:Gamaredon APT が急拡散し、盗まれた情報が売却される懸念
説明:Gamaredon は、ここ数年間、親ロシア派の攻撃者として名前が挙がっています。少なくとも 2013 年からその活動が確認されてきました。非常に活発ですが、通常は人目に付くような攻撃に関与しません。Cisco Talos の見解としては、同グループのずば抜けた活動性は、最も活発なクライムウェア犯罪組織に匹敵します。Gamaredon はこれまでに数回、複数の脅威インテリジェンスレポートで取り上げられていますが、その活動を阻止する効果は特になかったようです。Gamaredon の情報収集活動は APT の第 2 層に分類してほぼ問題ないと考えられます。主な目的は情報を収集して他の連携組織と共有することであり、最終的には連携組織がその情報を目標の遂行に利用します。Talos の研究者は最近、異なる初期感染ベクトルを用いて最終的にはペイロードを使用する 4 種類の攻撃を発見しました。
Snort SID:57194 〜 57196
ClamAV:Lnk.Malware.Gamaredon-7448135-3
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:4647f1a0850a961e341a863194e921c102578a9c4ef898fa5e4b54d9fb65e57b
MD5:f37167c1e62e78b0a222b8cc18c20ba7
一般的なファイル名:flashhelperservice.exe
偽装名:Flash Helper Service
検出名:W32.4647F1A085.in12.Talos
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:svchost.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:1a8a17b615799f504d1e801b7b7f15476ee94d242affc103a4359c4eb5d9ad7f
MD5:88781be104a4dcb13846189a2b1ea055
一般的なファイル名:ActivityElement.dp
偽装名:なし
検出名:Win.Trojan.Generic::sso.talos
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 02 月 25 日に Talos Group のブログに投稿された「Threat Source newsletter (Feb. 25, 2021)」の抄訳です。