Talos 読者の皆様、こんにちは。
ギフトカードを要求するスパムメールは使い古された手口に見えますが、2021 年になってもまだ使用されています。FBI の推定では、ビジネスメール詐欺(BEC)の被害は 2020 年に約 18 億ドルに達します。最近の攻撃により被害がさらに拡大する可能性があります。
攻撃者は企業の電子メールを乗っ取り、新型コロナウイルスから PlayStation 5 の販売まで、あらゆるテーマのメッセージを従業員や顧客に送信しています。ビジネスメール詐欺は洗練された脅威だとは思えませんが、無視するわけにはいきません。
今後予定されている Talos の公開イベント
ワークショップ:Analysing Android malware at VirusBulletin localhost 2021
講演者:Vitor Ventura
開催日:10 月 7 日 〜 8 日
場所:バーチャル
概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。
1 週間のサイバーセキュリティ概況
- 警察がランサムウェアグループ CLOP のメンバーを逮捕してからわずか数日で、他のメンバーが新たな被害者のデータを投稿。このハッカー集団はそれほど強力でないものの、何らかの形でまだ活動を続けていることが示されました。
- ロシアの諜報関係者、米国のサイバー犯罪者追跡を支援することを表明。ロシア連邦保安庁(FSB)と外務次官のコメントは、先週のジョー・バイデン米大統領とウラジミール・プーチン露大統領との初の首脳会談後に発表されました。
- 審議中の新たな議案は、サイバー攻撃の標的になる可能性の高い企業を選別し、セキュリティ基準を改善することと引き換えに政府のリソースへの特別なアクセスを提供する内容。この議案は「システム上重要なインフラ」という考え方に基づいています。
- 米国と EU、ランサムウェアに対抗するために新たな共同ワーキンググループを設立。共同声明では、「法執行を通じて、ネットワークを保護する方法と犯罪者に身代金を支払うリスクに関する一般の認識を高め、犯罪に目をつぶる国家に対して、犯罪者を逮捕し引き渡すか、自国領土内で効果的に起訴するよう働きかける」ことでランサムウェアの脅威に対処するとしています。
- EU、緊急の大規模サイバー攻撃に対応する共同サイバーユニットも設立。大規模なランサムウェア攻撃が発生した場合、対応と復旧を支援するために、セキュリティ専門家の専任チームが欧州諸国に派遣されます。
- 「LV」と呼ばれる新しいランサムウェア、REvil のランサムウェアコードを大量にコピーした模様。この 2 つのファミリの TTP は似ています。LV も、盗み出した情報を漏洩サイトに公開して被害者を困らせ、身代金を支払うように仕向けます。
- 3,000 万台以上の Dell 社のコンピュータが、ファームウェアの更新機能により攻撃を受ける危険性。セキュリティ研究者は最近、デスクトップ、ラップトップ、タブレットに影響を及ぼす 4 件の脆弱性を発見しました。Dell 社は木曜日にパッチをリリースする予定です。
- ウイルス対策ソフトウェア McAfee の開発者で話題の人物の John McAfee 氏、今週スペインの刑務所で死亡。McAfee 氏は何年も前にセキュリティ業界から退いていましたが、その後法的な問題を多く抱え、刑事訴追されていました。
- 暗号通貨 Monero、仮想通貨の選択肢として攻撃者の間で人気急上昇。Monero はビットコインよりも追跡が難しく、送信者と受信者が取引中に交換した金額は隠されます。
最近の注目すべきセキュリティ問題
件名:新型コロナウイルス関連の詐欺で悪名高い RAT が復活
説明:リモートアクセス型トロイの木馬(RAT)の Agent Tesla が復活しました。今回、最初の感染ベクトルに新型コロナウイルス関連のフィッシングドキュメントが使用されています。新型コロナウイルスのワクチン接種スケジュールが添付されているという内容の電子メールが RTF 文書として送信されます。この悪意のある添付ファイルは、既知の Microsoft Office リモートコード実行の脆弱性(CVE-2017-11882)をエクスプロイトして、被害者を Agent Tesla に感染させます。RAT は最新バージョンのもので、検出回避機能とデータ盗用ツールが更新されています。米国を含む多くの国では、ワクチン接種率の上昇に伴いパンデミックの制限が緩和され始めていますが、今回の攻撃で、新型コロナウイルスをスパムのテーマとして攻撃者が使用し続けていることがわかりました。
Snort SID:57787
件名:攻撃者が連携して企業ネットワークにアクセスしている可能性
説明:新しい報告書によると、ランサムウェアを配布するサイバー犯罪者の大規模なネットワークにおいて、APT が情報と金銭を交換している可能性があります。ハッカー集団の一部は、主要なターゲットに侵入してランサムウェアを感染させることで得た身代金の一部を最終的に受け取っている他の独立したハッカー集団からアクセス情報を購入しています。Proofpoint 社のセキュリティ研究者が、こうした攻撃者を新たに複数発見しました。その 1 つである TA577 は、2020 年中頃から活動しています。SmokeLoader、IcedID、Ursnif、Cobalt Strike などのランサムウェアのペイロードが使用されています。
参考:https://www.itpro.co.uk/security/ransomware/359919/ransomware-criminals-look-to-other-hackers-to-provide-them-with-network
https://www.proofpoint.com/us/blog/threat-insight/first-step-initial-access-leads-ransomware
Snort SID:57786、57791
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:9a74640ca638b274bc8e81f4561b4c48b0c5fbcb78f6350801746003ded565eb
MD5:6be10a13c17391218704dc24b34cf736
一般的なファイル名:smbscanlocal0906.exe
偽装名:なし
検出名:Win.Dropper.Ranumbot::in03.talos
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名:VID.dat
偽装名:なし
検出名:Win.Worm.Coinminer::1201
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 06 月 24 日に Talos Group のブログに投稿された「Threat Source newsletter (June 24, 2021)」の抄訳です。