Talos 読者の皆様、こんにちは。
セキュリティ業界はどこも似たような状況ですが、今週は Kaseya サプライチェーン攻撃の話題一色でした。昨日、考えられる限りのソーシャル メディア プラットフォームでライブ動画配信を行いました。あらゆる人に向けて現在の状況について最新情報をお伝えするとともに、ユーザを保護し続けるための推奨事項を提供していますのでご覧になってください。
また、今回の攻撃と、これに関連するランサムウェア攻撃に関する最新のカバレッジについては、Talos のブログ記事でご確認いただけます。ブログ記事は、情報が入り次第随時更新します。
今後予定されている Talos の公開イベント
チャット、詐欺、クラック:マルウェア攻撃におけるコラボレーション プラットフォームの悪用(Chats, Cheats, and Cracks: Abuse of Collaboration Platforms in Malware Campaigns)、オハイオ情報セキュリティフォーラム(OISF)年次総会にて
講演者:Edmund Brumaghin
開催日:2021 年 7 月 10 日
場所:オハイオ州デイトンの Miami Valley Research Park またはバーチャル
概要:コロナ禍でテレワークが一般的になる中、攻撃者の戦術は従業員のワークフローの変化を逆手に取ったものへと移っています。Discord や Slack などのコラボレーション プラットフォームを利用して検出を逃れ、組織の防御を回避しているのです。この講演では、Edmund がこうしたコラボレーションアプリを標的にした最近のマルウェア攻撃について解説します。
ワークショップ:Analysing Android malware at VirusBulletin localhost 2021
講演者:Vitor Ventura
開催日:10 月 7 日 〜 8 日
場所:バーチャル
概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。
1 週間のサイバーセキュリティ概況
- Kaseya 攻撃はランサムウェアグループの野心の高まりを示す最新の兆候。ほとんどの攻撃者が利用するのは既知の脆弱性です。一方、Kaseya 攻撃の背後にいるグループは Kaseya 社製ソフトウェアのゼロデイ脆弱性をエクスプロイトして 7,000 万ドルの身代金を要求しており、注目に値します。
- メリーランド州のある小さな町では、Kaseya 攻撃発生後、コンピュータネットワークを完全にシャットダウンせざるを得ない事態に。当局によれば、2 台を除くすべてのマシンに侵入されていて、手動で復元するしかないとのことです。
- Kaseya 攻撃で利用された脆弱性はセキュリティ研究者が 4 月に発見していたとの報道。残念ながら、同社は攻撃を仕掛けられる前にパッチをリリースすることができませんでした。
- Google、悪意のある 9 本の Android アプリを Google Play ストアから削除。ただし、これらのアプリはすでに 580 万回ダウンロードされていました。
- Microsoft 社の印刷スプーラサービスの脆弱性、今週緊急のセキュリティ更新プログラムがリリースされたものの、依然としてエクスプロイト可能。Microsoft 社は火曜日にセキュリティ更新プログラムをリリースしましたが、水曜日にはパッチを回避してエクスプロイトできることが判明しています。
- 有名な国家支援型 APT グループの FancyBear、インターネット上でパスワードスプレー攻撃やブルートフォース攻撃を展開。同グループは最近、SolarWinds サプライチェーン攻撃の実行犯として非難を浴びたばかりです。
- 急成長中のソーシャルメディアアプリ「GETTR」、リリース後数週間でハッキング被害に。マイク・ポンペオ元国務長官やマージョリー・テイラー・グリーン下院議員など多くのユーザの電子メールが大規模なデータスクレイピングによって流出しました。
- ジョー・バイデン米大統領、Kaseya 社など米国の組織を狙った最近のランサムウェア攻撃に対して正式な対応を検討開始。大統領は今週、サイバーセキュリティのトップエキスパートらとさまざまな選択肢を検討しました。ロシアのウラジミール・プーチン大統領との会談でランサムウェア攻撃者の撲滅について話し合ってから数週間後のことです。
- リモートアクセス型トロイの木馬 WildPressure の背後にいる攻撃者、中東のユーザを標的に新しい Mac バージョンのマルウェアを開発。インストールされると、WildPressure は攻撃実行者が用意したコマンドをダウンロードして実行し、被害者のマシンで機密情報を収集するほか、自身をアップグレードする可能性があります。
- セキュリティ研究者が 170 本もの悪意のある Android アプリを発見。これらのアプリのダウンロードや不正なサブスクリプションによる被害額は推定で 35 万ドルにのぼるということです。
最近の注目すべきセキュリティ問題
件名:Kaseya サプライチェーン攻撃、何百もの企業に影響広がる
説明:複数の報道によると、攻撃者は Kaseya 社の VSA エンドポイント モニタリング ソフトウェアをエクスプロイトし、多数のマネージド サービス プロバイダー(MSP)を標的にしてサプライチェーン攻撃を広範に仕掛けています。多くの企業がシステムのオーケストレーションを一元化するために、Kaseya VSA を使用しています。攻撃者はまず、ソフトウェアに対する悪意のある自動更新によって標的を感染させ、最終的に REvil/Sodinokibi ランサムウェアを配信していました。ランサムウェアが標的の環境でアクティブになると、ネットワーク上のシステムのコンテンツを暗号化し、このソフトウェアを使用しているさまざまな組織の業務を広範囲に停止させます。REvil はサービスとしてのランサムウェア(RaaS)型攻撃であり、さまざまな戦術、手法、手順(TTP)を駆使して標的を感染させ、ランサムウェア攻撃を受けたシステムとデータへのアクセスを回復するためには身代金を支払うよう被害者に強要します。多くの場合、バックアップサーバもネットワークベースのランサムウェア攻撃の標的となるので、オフラインのバックアップとリカバリ戦略を定期的に検証することが重要です。テキストベースの README がシステムのさまざまなディレクトリに作成され、身代金要求メッセージを表示します。
参考:https://gblogs.cisco.com/jp/2021/07/talos-revil-ransomware-actors-attack-kaseya/
https://www.zdnet.com/article/kaseya-ransomware-supply-chain-attack-everything-you-need-to-know-updated/
Cisco Secure Endpoint シグネチャ:Gen:Variant.Graftor.952042、W32.D55F983C99-100.SBX.TG、W32.File.MalParent、W32.RetroDetected
ClamAV シグネチャ:Win.Dropper.REvil-9875493-0、Win.Ransomware.REvil-9875494-0
クラウド IOC:W32.PingPredicatedDel.ioc、W32.DisableRealtimeMonitoring.ioc、W32.CertutilDecodedExecutableFile.ioc、W32.CertUtilCopy.ioc
Snort SID:57879
説明:Babuk ランサムウェアから漏洩したコードが攻撃に使用されています。セキュリティ研究者は先週、Babuk のランサムウェア ビルダー ツールが VirusTotal にアップロードされたことを確認しました。このコードを入手し、同梱の身代金要求文に自分の連絡先を書き加えてからビルドファイルを実行するだけで、誰もがカスタマイズ版ランサムウェア暗号化/復号化ツールを作成できます。Windows、VMware ESXi、Network Attached Storage(NAS)x86、NAS ARM デバイスが標的となります。今回の新たな攻撃者は Babuk の身代金要求文を意図的に変更しており、210 ドルしか身代金を要求していません。Babuk が通常要求する身代金は数百万ドルです。Babuk は、最近ワシントン D.C. の警察を攻撃の標的としたことで知られています。
Snort SID:57873、57874
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:9a74640ca638b274bc8e81f4561b4c48b0c5fbcb78f6350801746003ded565eb
MD5:6be10a13c17391218704dc24b34cf736
一般的なファイル名:smbscanlocal0906.exe
偽装名:なし
検出名:Win.Dropper.Ranumbot::in03.talos
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:5807b6aed9040d1a605be638604177226d9eaed0cb260c45cef23abe6ed03fdf
MD5:1c573e6d61b111dedd8ad2e936710cef
一般的なファイル名:flashhelperservice.exe
偽装名:Flash Helper Service
検出名:W32.Auto:5807b6aed9.in03.Talos
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 07 月 08 日に Talos Group のブログに投稿された「Threat Source newsletter (July 8, 2021)」の抄訳です。