Categories: 脅威リサーチ

脅威情報ニュースレター(2021 年 2 月 25 日)

Talos 読者の皆様、こんにちは。

APT(高度なサイバー攻撃)と言えば広範囲な影響が特徴であり、国家の支援を受けたハッカー集団が暗躍していると考えられています。しかし、Gamaredon に関する Talos の最新調査で、APT の攻撃者は多様化していることが判明しました。 

世界中でさまざまな APT 攻撃が仕掛けられていますが、その多くは情報を盗み出すことだけを主な目的としています。盗んだ情報を攻撃者がどのように利用するかについては、いまだ活発な議論が交わされています。

今後予定されている Talos の公開イベント

イベント:Cisco Live 2021

開催日:3 月 30 日 〜 4 月 1 日

講演者:Nick Biasini、他(未定)

概要:年に一度の Cisco Live カンファレンスにご参加ください。今年は初のバーチャルでの世界同時開催となります。Cisco Live では、年間を通じて技術教育やトレーニングを提供しています。カンファレンス開催中は、多数のオンデマンドセッションをご用意しています。Talos アウトリーチ担当の Nick Biasini が、デュアルユースツールとサプライチェーン攻撃を中心に、過去 1 年間の脅威とトレンドを振り返ります。その他のセッションの詳細は数週間以内に発表される予定です。

1 週間のサイバーセキュリティ概況

  • バイデン政権、SolarWinds 社の製品をハッキングして数千の企業や政府機関に影響を与えたとして、対ロシア制裁準備を進めているとの報道。将来、同様の攻撃から守るために、米国の防衛機関が新たな防御策の策定に取り組んでいるとも伝えられています。
  • 今週、複数の大手テクノロジー企業が SolarWinds 製品のインシデントに関して米国上院で証言。攻撃に利用されたとされる Amazon Web Services の関係者は出席を拒否しました。
  • Apple 社、同社の M1 チップを標的とした「Silver Sparrow」攻撃に対応済みと声明。Talos からも、攻撃を防ぐためのハッシュベースの保護がリリース済みです。
  • 子どもを見守る防犯カメラ企業の NurseryCam 社、サイバー攻撃によりデータが漏洩したと発表。今回のセキュリティ侵害により、保育所などに設置されているカメラを介して子どもや親の様子が盗み見られた形跡はないと同社はコメントしています。
  • ハッカー集団の「APT31」、Equation Group が開発したゼロデイ攻撃のクローンを使用して Microsoft 社製品を攻撃との報道。Microsoft 社は 2017 年に同脆弱性に対するパッチをリリースしていますが(CVE は未発行)、一部ではパッチが適用されないままソフトウェアが利用されています。
  • IBM 社による最近の調査レポート、ランサムウェア「Sodinokibi」の攻撃者が 2020 年に 1 億 2,300 万ドル以上の利益を上げたと指摘。Sodinokibi(別名 REvil)が盗み出したデータは約6TB とも言われています。
  • ボイスチャットに特化した新興の有力ソーシャルメディア Clubhouse のチャットルームが攻撃者の標的に。一部のボイスチャットやその他のデータが標的になった可能性があると警告されています。
  • ロシア政府の支援を受けた攻撃者がウクライナ政府の文書管理システムを攻撃しているとして、ウクライナ当局者が非難声明を発表。ウクライナ政府によれば、攻撃の目標は「公的機関の情報リソースの大量感染」です。
  • ビデオゲーム開発企業の CD Projekt Red、2 月初めに受けたランサムウェア攻撃の影響が長期化。攻撃によって同社の従業員の一部はリモートデスクトップで作業を行えなくなっており、開発に遅れが生じているとのことです。

最近の注目すべきセキュリティ問題

件名:Masslogger が Outlook、Chrome からユーザのログイン情報を盗む

説明:Cisco Talos は最近、トロイの木馬「Masslogger」の亜種を利用した攻撃を発見しました。この亜種は、Microsoft Outlook、Google Chrome、インスタントメッセンジャーなどの複数のソースからユーザのログイン情報を盗むように設計されています。フィッシングメールから始まり、最終的にはペイロードに至るマルチモジュラアプローチが攻撃に使用されています。このアプローチが採用された理由は検出回避にあると考えられますが、防御側がキルチェーンを破壊できることも多いため、弱点にもなり得ます。世間の注目はランサムウェア攻撃や大物狙いの攻撃、APT に集まっています。しかしクライムウェアを使った攻撃も依然として活発であり、ユーザのログイン情報が盗まれた場合は組織に甚大な損害が出る危険性があることを忘れてはなりません。闇サイトではこうしたログイン情報の価値が高いため、攻撃者は金銭目的で売却したり、他の攻撃で使用したりしています。

Snort SID57141 ~ 57154

OSQueryhttps://github.com/Cisco-Talos/osquery_queries/blob/master/win_forensics/potential_compiled_HTML_abuse.yaml

 

件名:Gamaredon APT が急拡散し、盗まれた情報が売却される懸念

説明:Gamaredon は、ここ数年間、親ロシア派の攻撃者として名前が挙がっています。少なくとも 2013 年からその活動が確認されてきました。非常に活発ですが、通常は人目に付くような攻撃に関与しません。Cisco Talos の見解としては、同グループのずば抜けた活動性は、最も活発なクライムウェア犯罪組織に匹敵します。Gamaredon はこれまでに数回、複数の脅威インテリジェンスレポートで取り上げられていますが、その活動を阻止する効果は特になかったようです。Gamaredon の情報収集活動は APT の第 2 層に分類してほぼ問題ないと考えられます。主な目的は情報を収集して他の連携組織と共有することであり、最終的には連携組織がその情報を目標の遂行に利用します。Talos の研究者は最近、異なる初期感染ベクトルを用いて最終的にはペイロードを使用する 4 種類の攻撃を発見しました。

Snort SID57194 〜 57196

ClamAVLnk.Malware.Gamaredon-7448135-3

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

 

SHA 2564647f1a0850a961e341a863194e921c102578a9c4ef898fa5e4b54d9fb65e57b

MD5f37167c1e62e78b0a222b8cc18c20ba7

一般的なファイル名:flashhelperservice.exe

偽装名:Flash Helper Service

検出名:W32.4647F1A085.in12.Talos

 

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5

MD58c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:svchost.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

 

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9 

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

 

SHA 2561a8a17b615799f504d1e801b7b7f15476ee94d242affc103a4359c4eb5d9ad7f

MD588781be104a4dcb13846189a2b1ea055

一般的なファイル名:ActivityElement.dp

偽装名:なし

検出名:Win.Trojan.Generic::sso.talos

 

最新情報を入手するには、Twitter で Talos をフォローしてください。SnortClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。

 

本稿は 2021 年 02 月 25 日に Talos Group のブログに投稿された「Threat Source newsletter (Feb. 25, 2021)」の抄訳です。

 

Tags: 特集脅威情報ニュースレター
2021年3月4日
TALOS Japan

Talos は、ネットワーク脅威の専門家集団です。Talos が提供する脅威インテリジェンスの情報は、既知および未知の脅威からお客様のネットワークを保護するためにシスコのセキュリティ製品によって活用されています。

Related Post

  • 脅威環境に関するサマリーレポート:Cisco Talos 2022 年の総括

    ウクライナへの継続的な支援と Log4j の脆弱性への対応は、2022 年における特に広範で影響の大きい取り組みでしたが、Talos は他にも数多くの脅威に対応しました。セキュリティコミュニティが攻撃者とマルウェアの増加に直面していたことが背景にあります。

  • Talos の『一年の総括』2022 年版

    本レポートは、さまざまなデータと専門知識を交えながら一年間の成果を網羅的に紹介しようという、シスコ社内のかつてない取り組みから生まれたものです。

  • 10 月 7 日から 10 月 14 日の 1 週間における脅威のまとめ

    本日の投稿では、10 月 7 日~ 10 月 14 日の 1 週間で Talos が確認した、最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。脅威の主な行動特性やセキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。