Cisco Japan Blog / 脅威リサーチ / Discord などのコラボレーション アプリケーションを悪用したマルウェア攻撃の増加

• コロナ禍でテレワークが一般的になる中、攻撃者の戦術は従業員のワークフローの変化を逆手に取ったものへと移っています。
• Discord や Slack などのコラボレーション プラットフォームを利用して検出を逃れ、組織の防御を回避しているのです。
• これらのプラットフォームは必須で安全だと考えられているため、多くのネットワーク環境ではブロックされません。攻撃者の狙いはそこにあります。
• RAT（リモートアクセス型トロイの木馬）、情報窃盗、IoT マルウェアなどの脅威を仕掛ける攻撃者が、配信やコンポーネントの取得、コマンドアンドコントロール（C2）通信を実行するためにコラボレーション プラットフォームを悪用しています。

概要

コラボレーション アプリケーションの不正使用は今に始まったことではありません。インターネットの黎明期から同じ手口が使用されてきました。新しいプラットフォームやアプリケーションが普及すると、攻撃者が悪用手口を開発するということはよくあります。Telegram、Signal、WhatsApp などの通信プラットフォームは、過去数年にわたってマルウェアを拡散するために悪用されてきました。コマンドアンドコントロール通信に利用される場合もあれば、その他の不正な目的で利用される場合もあります。

2020 年には世界中で新型コロナウイルスの感染が拡大し、ほぼすべての業界で日々の働き方が一変しました。大きな変化の 1 つが、リモートワークへの移行です。これと期を同じくして、Discord や Slack などの新しいインタラクティブ コミュニケーション プラットフォームの活用が広がりました。どちらのプラットフォームもしばらく前から存在していましたが、最近になって従業員のワークフローに変化が生じたことで、ビジネス目的での活用が進みました。多くの場合、こうしたプラットフォームは、仕事でもプライベートでもコミュニケーションやコラボレーションのために利用できる充実した環境を提供します。コロナ禍が続く中、こうした新しい企業のワークフローに着目した複数の攻撃者が、戦術、手法、手順を変更したことを Talos は確認しています。新型コロナウイルス関連の情報に対する世間の関心を多くの攻撃者が利用していることについては、昨年 2 月の記事や 4 月の記事などで取り上げてきました。また、数々のコラボレーション プラットフォームが組織狙いのマルウェア攻撃に悪用される例も、この 1 年の間に大幅に増加しています。攻撃者の狙いは、プラットフォームを利用して従来型のマルスパム（罠）を拡散させたり、チャットルームを介してランサムウェアを拡散したりすることです。

マルウェア配信に利用されるコラボレーション プラットフォーム

コミュニケーション プラットフォームは今や多くの組織や従業員によって活用されていますが、悪用されるケースも増えています。プラットフォームを攻撃に利用することで、境界型セキュリティによる制御を回避し、感染力を最大化できるからです。過去 1 年間で、こうしたプラットフォームを感染プロセスの一部として活用する例がますます増えています。本ブログでは、次の 3 つのマルウェア攻撃の主要フェーズでプラットフォームがどのように使用されているかを説明します。

• 配信
• コンポーネントの取得
• C2 およびデータ漏洩

悪意のあるコンテンツをホストしたり、機密情報を盗んだり、攻撃を仕掛けるうえで、コラボレーション プラットフォームは魅力的な選択肢となります。多くの場合、こうしたプラットフォームは正当な企業活動に必要なものです。そのため、悪意のあるコンテンツをプラットフォームでホストしたり、機密情報を収集したりするためにプラットフォームを利用することで、攻撃者はコンテンツ フィルタリング メカニズムをバイパスできます。

また、Discord や Slack などのアプリケーションの利用が、潜在的な被害者に悪意のある添付ファイルを開かせる目的でソーシャルエンジニアリングを実行するための新たな手段となる場合もあります。潜在的な被害者が定期的なやり取りに使用しているチャットルームでリンクを目にすれば、ルームに添付されているファイルを開いたり、同僚からのものに見えるリンクをクリックしたりする可能性が高くなります。こうしたルームは、攻撃者と従業員の間の直接的なコミュニケーション経路となり、配信プロセスを円滑に進めるために悪用される可能性もあります。このこと自体は特に目新しい話ではありません。Discord は過去にも Thanatos ランサムウェアの配信に使用されたことがあります。ただし最近では、このメカニズムを使用して、次のようなさまざまな RAT や情報窃取ツールなどのマルウェアが配信されるようになっています。

• Agent Tesla
• AsyncRAT
• Formbook
• JSProxRAT
• LimeRAT
• Lokibot
• Nanocore RAT
• Phoenix Keylogger
• Remcos
• WSHRAT

それでは、プラットフォームが攻撃のライフサイクル全体でどのように使用されているかを見ていきましょう。

マルウェア配信

Discord をはじめとするアプリケーションの一部は添付ファイルをサポートしています。これが、攻撃者に狙われる理由です。企業環境でこれらのアプリケーションが使用されている場合、攻撃者にとってみれば、なおさら都合が良いでしょう。マルウェア配信に関連する主な課題の 1 つは、ファイル、ドメイン、システムが削除されたり、ブロックされたりしないようにすることです。企業で許可されている可能性が高いこうしたチャットアプリケーションを活用することで課題の一部が取り除かれ、添付ファイルがエンドユーザに届く可能性が大幅に高まります。こうしたファイルは URL 経由でアップロードされ、リンクされます。ユーザの目に触れる場所にリンクを表示する方法はいろいろあります。従来のように、電子メールに URL を記載する方法もあれば、任意のメッセージングサービスやチャットサービスで送信する方法もあります。Web サイトにリンクすることも、さまざまな場所に配置しておくこともできます。ブロックされる可能性が低いドメインで悪意のある URL をホストすれば汎用性が高まります。これは、攻撃者にとって明らかに魅力的な方法です。

Discord や Slack など多くのコラボレーション プラットフォームでは、ユーザ間でのファイルの送信はチャンネルに追加する形で行われます。ファイルは、プラットフォーム プロバイダーが運用するコンテンツ配信ネットワーク（CDN）に保存され、サーバのメンバーは、最初に添付された時点のファイルにアクセスすることができます。たとえば Discord サーバのチャンネルに直接ファイルをアップロードすると、次のようになります。

Discord の CDN にアップロード、保存されたファイルには、ハードコードされた CDN の URL を使用してアクセスすることができます。コンテンツがホストされている CDN の URL を参照するだけなので、Discord をインストールする必要はなく、どのようなシステムからでもアクセス可能です。

このような機能は Discord に固有のものではありません。Slack などの他のコラボレーション プラットフォームにも同様の機能があります。Slack の場合は、ファイルを Slack にアップロードし、そのファイルにアクセスするための外部リンクを作成できます。リンクにアクセスするために Slack をインストールする必要はありません。

外部リンクが作成されると、Discord にアップロードされたファイルとほぼ同じ方法でファイルにアクセスできるようになります。

この機能を攻撃者が悪用するようになっています。悪意のあるコンテンツをホストしておき、スパムメールなどさまざまな方法を利用して CDN の URL を参照させ、被害者をコンテンツに誘導します。Talos は、CDN でホストされているファイルへのリンクを含む悪質な電子メールキャンペーンの量が、2020 年の間に増加していることを確認しました。次のグラフは、この手口を使用して被害者のシステムにマルウェアを仕掛けるためのさまざまなファイルを配信することを狙った電子メールの量を示したものです。

この方法で悪意のあるコンテンツを配信することにより、攻撃者は次の 2 つの魅力的なメカニズムを利用して防御を回避できます。

1. HTTPS 経由でのコンテンツ配信。つまり、コンテンツにアクセスするエンドポイントとコンテンツを配信する Discord CDN の間で通信が暗号化されます。
2. 圧縮アーカイブの内容の難読化。これは、圧縮プロセスの自然な副産物です。

このメカニズムが攻撃者にとって魅力的である理由は容易に理解できます。さまざまな種類のファイルがこの方法で配信されています。ほとんどの場合、ファイルは圧縮アーカイブです。この 1 年の間に、LZH など一般的ではない形式を含め、多様な圧縮アルゴリズムが使用されていることが確認されました。以下は、こうしたキャンペーンで最もよく利用されている圧縮タイプのリストです。

• ACE
• GZ
• IMG
• ISO
• LZH
• RAR
• TAR
• ZIP
• 7Z

次のグラフは、各圧縮タイプがこれらのマルスパムキャンペーンで使用された頻度を示したものです。

ほとんどの場合、電子メール自体は近年のマルスパムで見慣れたものと変わりません。その多くはさまざまな金融取引を装っており、請求書や注文書など、被害者になり得る人にとって重要な文書に見せかけたファイルへのリンクが含まれています。

このメッセージは、あまり見かけないメールのうちの 1 つです。新型コロナウイルス感染症を題材にした電子メールで、世界保健機関（WHO）から送信されたことを装い、感染防止に関する新しいドキュメントをダウンロードするよう要請しています。このドキュメントはある理由があって Discord でホストされていました。リンクをたどると、バッチファイル（.bat）を含む ZIP ファイルが見つかりました。Google ドライブから Word ドキュメントをダウンロードするバッチファイルであり、このドキュメントを開くとマクロがトリガーされます。ファイルを閉じる際にマクロが作動し、感染している Web サイトからトロイの木馬「Nymaim」をダウンロードします。この感染プロセスは非常に複雑です。Discord や Google ドライブなどの複数のサービスが関係しているだけでなく、複数のファイルを開かなければ最終的な感染に至りません。

Discord を利用した電子メールメッセージでは、英語、スペイン語、フランス語、ドイツ語、ポルトガル語など、さまざまな言語が使用されている点にも注目する必要があります。以下はドイツ語のキャンペーンの例です。

この例では、30% の保証金について記載されたファイルが添付されています。ただし、一見添付ファイルのように見えるものの、実際はそのように見せかけた画像です。メッセージのソースを確認すれば、攻撃者の狙いをさらに詳しく見抜くことができます。

太字のテキストを見ると、この画像が実際には Discord でホストされている ISO ファイルへのリンクであることがわかります。ユーザがローカルでファイルを開くつもりで画像をクリックすると、Web ブラウザで ISO ファイルがダウンロードされます。この ISO ファイルには「30 Percento,pdf .exe」という PE32 ペイロードが含まれており、結果的に情報窃取マルウェア「Formbook」がダウンロードされることになります。さらに紛らわしいのがファイルの名前です。攻撃者の側からすればうっかりミスかもしれませんが、メールの内容がドイツ語で書かれているにもかかわらず、添付ファイルの名前には、パーセントを意味するイタリア語の「percento」が使われています。ドイツ語なら「prozent」とするべきところです。これらは、Discord を悪用した数多くの例のほんの一部にすぎません。大半は、Talos が常々確認しているような請求書、発送、FAX を装うよくある形のキャンペーンでした。

前述したように、電子メールに記載されているハイパーリンクの参照先は、通常、Discord や Slack などの各種コラボレーション プラットフォームの CDN でホストされている圧縮アーカイブです。圧縮アーカイブには、PE32 ファイル、JavaScript ドロッパーなどの悪意のあるコンポーネントが含まれています。こうしたコンポーネントを使って、感染プロセスの開始、追加のペイロードの取得、攻撃者へのリモートアクセス機能の提供、窃盗後に収益化できる機密情報の収集が行われます。

コンポーネントの取得

最初の感染プロセスの実行中やそれ以降のステージで悪意のある別のコンテンツを取得するために CDN を利用する例も確認されています。最近の多くのマルウェア感染では、複数の段階を経て進行する感染プロセスの第 1 段階で、最初の実行可能ファイルやスクリプトが被害者に配信されます。ほとんどの場合、これと同時に追加のバイナリの配信も行われます。このバイナリは、マルウェアが備えている全体的な機能の各種プロセスを実行するモジュールとして動作します。

Talos は、感染プロセスのさまざまな段階で取得される悪意のあるバイナリをホストするためにコラボレーション プラットフォームの CDN が使用されている例を複数確認しました。あらゆるマルウェアリポジトリで、これと同じ例が数多く見つかっています。たとえば Discord の CDN にアクセスしているサンプルを VirusTotal で検索すると、約 2 万件が検出されます。

この手口は、RAT や情報窃盗ツールなど、感染システムから機密情報を取得するために一般的に使用されるマルウェアの配信キャンペーンで頻繁に使用されていました。次のスクリーンショットに示す例では、第 1 段階のペイロードが Discord の CDN から ASCII BLOB を取得します。

その後、Discord の CDN から取得されたデータが変換され、最終的なペイロードがリモートプロセスに挿入されます（このケースでは「C:\Program Files (x86)\Internet Explorer\ieinstal.exe」から作成）。

この例で最後に登場するマルウェアは Remcos です。Remcos は市販されている RAT であり、システムへの不正アクセスを目的として頻繁に使用されています。

Remcos による感染でよく見られるように、マルウェアは C2 と通信し、攻撃者が制御する DDNS サーバを介してデータを盗み出します。攻撃者は、システム再起動後にマルウェアを起動するレジストリ実行エントリを作成することによって永続化を実現しています。

AsyncRAT キャンペーンでも同様の例が確認されています。この攻撃で使用されている最初のマルウェアダウンローダは「Word_Nitro_Kodlari」というタイトルの Microsoft Word ドキュメントで、Discord Nitro コード（サービスのプレミアムバージョンへのアクセス）に関連したドキュメントを装っています。Discord Nitro コードは、Talos が分析したさまざまなマルウェアキャンペーンで題材としてよく利用されています。この場合、Word 文書を開いても何も表示されませんが、マクロが埋め込まれています。

Word ドキュメントには、ドキュメントを開くと実行されるマクロが含まれています。このマクロを以下に示します。

このマクロによって、次のステージのペイロードを取得する PowerShell の難読化が解除され、実行されます。

このケースのペイロードは Discord の CDN でホストされている AsyncRAT でした。以下のスクリーンショットは、ペイロードの取得の例です。

また別の Discord の悪用例として、脆弱性を頻繁にエクスプロイトしている攻撃者からペイロードを取得するというものがあります。現在活発な活動を見せている大規模なボットネットの 1 つに Mirai があります。Mirai は主に Linux を実行する IoT デバイスで構成されています。有名なボットネットであり、さまざまな DDoS やその他のキャンペーンに関連しています。Mirai は特に有名かもしれませんが、この分野で活動しているボットネットや脅威は他にも存在します。たとえば Qbot などです。IoT マルウェアの亜種である Qbot は、他の IoT マルウェアと同様に動作し、DDoS 攻撃を実行したり、追加のペイロードをダウンロードしたりする機能を提供します。SSH への総当たり攻撃などを可能にするために使用されることもあります。

最近、Mirai のアクティビティのように見える攻撃が活発化していました。詳しく調べてみると、実際には複数のオペレーティングシステムに影響を与える IoT マルウェアの亜種 Qbot のアクティビティでした。Talos が注目したのは、Qbot の x86 バージョンが保存されていた場所です。

この種のコマンドは、Mirai のアクティビティを分析してきた人であれば見慣れているはずです。以前確認された YARN の未認証コマンド実行の脆弱性を悪用した他のキャンペーンとも一致しています。今回の調査で目を引いたのは、マルウェア（Qbot の x86 バージョン）の共有・配信に、ここでも Discord が悪用されている点です。この例からわかるのは、Linux などの非標準のオペレーティングシステム、より具体的に言えば IoT デバイスにまで、Discord を利用してマルウェアを配信できるということです。

C2 およびデータ漏洩

Discord と Slack は、機密情報の漏洩や、感染したシステムからの情報の送信にも利用されています。多くの場合、こうしたアクティビティは Discord の API を介して行われます。この API は、攻撃に利用できる堅牢なメカニズムを提供します。では、Discord の API がどのように利用されているのか、またどのようなマルウェアに使用されているのかを見てみましょう。

ウェブフック

Discord を悪用するマルウェアサンプルは、通常、C2 通信に Discord の API のウェブフック機能を使用します。ウェブフックは、指定された Discord サーバにアラートや自動メッセージを送信するように設計されています。一般的に GitHub や DataDog などの他のサービスと連携して利用されます。ウェブフックの本質は、クライアントがメッセージを送信する先の URL です。この URL から指定されたチャンネルにメッセージが投稿される仕組みで、実際の Discord アプリケーションは一切使用されません。

ウェブフックの用途は、C2 通信だけではありません。あらゆるデータをウェブフックに送信できるため、データ漏洩が可能になります。データの窃取にウェブフック機能を使用するメリットはいくつかあります。最もわかりやすいのは使いやすさです。このほか、Discord のドメインを使用して HTTPS 経由でデータを漏洩させることができるのは重要な利点です。他の Discord ネットワークトラフィックに紛れ込むことができるというわけです。ウェブフックの形式は、ほとんどのユーザにはまったく無害に見えます。

Discord のウェブフックは汎用性とアクセス性に優れているため、一部の攻撃者にとっては確かな選択肢となります。アクセストークンを数個盗むだけで、ほとんど労力をかけずに、真に効果的なインフラストラクチャをマルウェアキャンペーンに使用できます。匿名性の高さも非常に魅力的な要素であり、利用しないわけにはいかないでしょう。

ステータスの更新

一部のケースでは、新しいシステムが感染すると、マルウェアから Discord を利用して攻撃者にアラートが送信されるようになっていました。ある例では、マルウェアが Discord を介して通信を行い、新しいシステムが利用可能になったというアラートと、感染したシステムが C2 チャネルを確立するために通信を試みた宛先の詳細を攻撃者に送信していました。この例で攻撃者が C2 通信に使用しているのは Portmap サービスです。2019 年 9 月の記事と 2020 年 10 月の記事で取り上げたように、Portmap は C2 インフラストラクチャを難読化するために使用される一般的なメカニズムです。

システムの列挙

多くの場合、マルウェアは Discord の API を使用して、感染したシステムに関する情報を攻撃者に送り返します。ボット登録プロセス中の侵害後の C2 トラフィックと同様です。攻撃者がシステムで WMI コマンドを実行し、Webhook API を使用してコマンドライン出力を攻撃者の Discord サーバに 1 行ずつ転送していた例もあります。

まず、感染したシステムの %TEMP% ディレクトリにバッチファイルと「DiscordSendWebhook」という実行可能ファイルを書き込みます。以下は、バッチファイルの例です。

次に、マルウェアはバッチファイルを実行し、さまざまなコマンドの出力をテキストベースのログファイルに書き込みます。その後、前もって作成、実行しておいた「DiscordSendWebhook.exe」を使用して、ログファイルの内容を攻撃者に送信します。

以下は、感染したシステムによって行われた API リクエストの例です。このプロセスは、WMI コマンド出力の行ごとに繰り返されます。

Discord の API を悪用すれば、マルウェアで堅牢な C2 機能を利用できるようになることがわかります。さらに、C2 サーバインフラストラクチャを独自に運用するコストを削減し、アクティビティを実行するために必要なリソースを最小限に抑えることも可能です。

ランサムウェア「Pay2Decrypt」

ボット登録、データ漏洩、感染後の C2 通信など、さまざまな目的で Discord の API を利用するランサムウェアのサンプルも確認しています。一例として、ランサムウェア「Pay2Decrypt」の亜種「LEAKGAP」に関連する一連のキャンペーンがあります。このランサムウェアは、攻撃者との通信に Discord のウェブフックを使用します。感染プロセス中に以下のスクリーンショットに示すような API リクエスト/応答を使用して、システムを攻撃者の Discord インスタンスに登録します。

感染したシステムでのマルウェアの動作に関するステータスの更新情報も、同じ API を使用して攻撃者に送信されます。

感染が成功すると、被害者はシステムに保存されているデータを利用できなくなります。また、次の身代金要求メッセージが表示されます。

C2 通信に Discord の API を利用する新しいサンプルが定期的に確認されています。RAT の中には、同じメカニズムを使用して感染システムへのリモートアクセスを実行するように特別に設計されているものもあります。正当なネットワークトラフィックに紛れ込むことによって企業環境での検出を回避する目的でこれらのチャネルを悪用する攻撃者が増えており、この傾向は今後も続くでしょう。

トークン窃盗

マルウェアキャンペーンを実施する際の最も重要なタスクの 1 つは、匿名を維持することです。Discord を悪用しながら匿名を維持する最も効果的な方法の 1 つは、別のユーザのアカウントをハイジャックすることです。

Discord のアクセストークンはユーザごとに生成される一意の英数字文字列で、本来はそのユーザのアカウントの「キー」です。第三者がこのトークンにアクセスできれば、アカウントを完全に制御できます。

本記事の執筆時点では、Discord には盗まれたアクセストークンによる偽装を防ぐためのクライアント検証機能は実装されていません。そのため、GitHub などのフォーラムでは、大量の Discord トークン窃盗プログラムが実装、配信されています。Discord は、ゲームコミュニティで最も普及しているチャットおよびコラボレーション プラットフォームの 1 つです。そのため、多くの場合、トークン窃盗プログラムはオンラインゲームに関連する有用なユーティリティを装っています。以下は、この記事の執筆時点で GitHub でホストされているトークン窃盗プログラムの一部です。

• https://github.com/notkohlrexo/Discord-Token-Stealer
• https://github.com/Cazcez/AnarchyGrabber
• https://github.com/iklevente/WebhookDiscordTokenGrabber
• https://github.com/Itroublve/Token-Browser-Password-Stealer-Creator
• https://github.com/wodxgod/Discord-Token-Grabber

こうしたトークン窃盗プログラムは、C# や Python などの言語で記述されています。使用されている言語によって違いますが、スクリプト形式かコンパイル済みバイナリ形式で実装されます。アクセストークンを盗むプロセスは非常にシンプルなので、窃盗プログラムは比較的簡単に作成できます。上記の「ウェブフック」のセクションで説明したように、適切なディレクトリにトークンを配置し、ウェブフック経由で攻撃者に送り返すだけでトークンを盗むことができます。さらに、Masslogger のような有名な情報窃取型マルウェアも、Discord のトークン窃取プログラムを実装したことが確認されています。

トークンを窃取した攻撃者は、アカウントの所有者になりすますことができます。通常、侵害されたアカウントは、マルウェアキャンペーンの活動の匿名性を上げるために使用されます。盗まれたアカウントを不正使用する一般的な目的は、Discord の CDN へのペイロードのアップロード、他のユーザに対するソーシャルエンジニアリング攻撃、ウェブフックの生成などです。

人気ゲーム「Growtopia」を題材にした窃取プログラムが登場

まとめ

攻撃者は、システムでマルウェアを実行するための新しい効果的な方法を常に模索していますが、最大の課題の 1 つがマルウェアの配信です。Discord や Slack などのチャットアプリケーションの人気が高まっています。このため組織は、こうしたアプリケーションがどのように悪用される可能性があるのか、またどの程度社内での利用を許可すべきかを評価する必要があります。本ブログの中で何度も触れたとおり、この手のアプリケーションには、誰もがコンテンツを利用できるようにするためのコンテンツ配信ネットワーク（CDN）が必要です。この点に、攻撃者も注目しています。こうしたチャットアプリケーションの悪用は、短期的にも長期的にも増加の一途をたどるでしょう。より多くのアプリケーションが利用されるようになると、そうしたアプリケーションの人気の盛衰に伴って、新しい攻撃手口が生み出され続けることになります。

防御する側としては、許可するチャットアプリケーションと許可理由を判断し、それぞれのアプリケーションに関連するリスクを管理者に明確に伝える必要があります。チャットアプリケーションをビジネス目的で使用しない企業の場合、コンテンツ配信に悪用される可能性のあるドメインの一部をブロックするなど、リスクを軽減するための対策を検討したほうがよいでしょう。Talos は、攻撃者の手口の進化を継続的に観察してきました。電子メールベースの脅威に限っても、以前はファイルを直接電子メールに添付していたのが、独自のインフラストラクチャでホストしたり、ファイル共有サービスを使用したりするようになり、今ではチャットアプリケーションを悪用するようになっています。攻撃者の至上目的は、マルウェアを標的のシステムに侵入させることです。Talos がこれまで幾度も目の当たりにしてきたように、攻撃者は目的達成のためであれば手段は問わないはずです。

カバレッジ

お客様がこの脅威を検出してブロックするための方法を以下に記載します。

Advanced Malware Protection（AMP）は、記事中で説明したマルウェアの実行を阻止するのに最適です。次のスクリーンショットは、AMP がこの脅威からお客様を保護する様子を示しています。こちらから AMP を無料でお試しいただけます。

Cisco クラウド Web セキュリティ（CWS）または Web セキュリティアプライアンス（WSA）の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、上述したような攻撃で使用されるマルウェアを検出します。

Cisco Secure Email セキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。

次世代ファイアウォール（NGFW）、次世代侵入防御システム（NGIPS）、および Meraki MX などのネットワーク セキュリティ アプライアンスは、今回の脅威に関連する悪意のあるアクティビティを検出します。

Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を組み込みます。

Umbrella（シスコのセキュア インターネット ゲートウェイ（SIG））は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。

特定の環境および脅威データに対する追加の保護機能は、Firepower Management Center から入手できます。

侵入の痕跡（IOC）

マルウェアキャンペーンに関連して、次のような侵害の兆候が確認されています。

ハッシュ（SHA256）

これらのマルウェアキャンペーンに関連するファイルの SHA256 ハッシュのリストについては、こちらをご覧ください。

ドメイン

これらのマルウェアキャンペーンに関連するドメインのリストはこちらをご覧ください。

本稿は 2021 年 04 月 07 日に Talos Group のブログに投稿された「Sowing Discord: Reaping the benefits of collaboration app abuse」の抄訳です。

Authors

TALOS Japan