Talos 読者の皆様、こんにちは。
ここ数週間にわたって、相次いで RAT が確認されていました。先週もまた、中南米の組織を標的としてログイン情報を盗み出そうとする攻撃をいくつか確認しています。
この攻撃者と、以前記事にしたサイバー犯罪グループ「Aggah」との間に何らかの関係があることは確かですが、明確につながっているわけではなさそうです。
今後予定されている Talos の公開イベント
講演者:Chris DiSalle
開催日:9 月 9 日
場所:バーチャル
説明:Talos インシデント対応チーム(CTIR)の Chris DiSalle が Technado ポッドキャストに登場、インシデント対応業界についてくまなくご紹介します。番組司会者の Don Pezet 氏を相手に、インシデント対応を始めた経緯や、現場で遭遇したぞっとするような事例など、盛りだくさんにお届けします。
ワークショップ:Analysing Android malware at VirusBulletin localhost 2021
講演者:Vitor Ventura
開催日:10 月 7 日 〜 8 日
場所:バーチャル
概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。
1 週間のサイバーセキュリティ概況
- T-Mobile 社、5,000 万件を超える顧客情報が最近のデータ漏洩の影響を受けたことを確認。同社の最新調査では、被害を受けた顧客の社会保障番号や運転免許証情報へのアクセスを示す証拠は発見されませんでした。
- 2 週間前に盗んだ約 6 億ドルの暗号通貨をハッカーが返却。攻撃の標的となったクロスチェーン プラットフォームを運営する Poly Network 社は、暗号通貨の返却と引き換えに報酬金を提供し、複数回にわたってハッカーと接触を試みました。
- FBI、RaaS(サービスとしてのランサムウェア)の増加傾向への対応の一環として、ランサムウェアを購入・レンタルして攻撃を実行するアフィリエイトグループについて初めて警告。Maze や REvil などのランサムウェアを拡散させることで知られる OnePercent グループの行動の詳細が明らかにされています。
- ランサムウェア攻撃者がオンラインフォーラムで新たなシークレットコードを使用し、活動を阻止しようとする研究者や政府関係者の監視の目を回避。合法的に見えるものの、サイバー攻撃をほのめかす言葉を使用するなど、攻撃者が従う一連の基本的な暗黙のルールがあります。
- Google が Chrome Web ブラウザのセキュリティアップデートを公開、7 件のセキュリティの問題を修正。一部の脆弱性では攻撃者が標的のシステムを制御できる危険性があります。2 週間前、Google は Chrome 用のパッチのセットを別途公開しています。
- 米国国務省が最近のサイバー攻撃の被害を受けたとの報道、正確な範囲は未だ不明。数週間前に公表された上院の報告書では、複数の連邦政府機関がサイバーセキュリティに関して低評価を受けています。
- 最近のサイバー攻撃により、ニューハンプシャー州の小さな町で 230 万ドルの公的資金が失われる。電子メールを使用した攻撃により、教育用の資金が攻撃者の口座に移されたと考えられています。
- Microsoft 社の Power Apps の脆弱性により、有名な Web サイトの何百万件ものレコードが誤って公開される。影響があったのは、新型コロナウイルス感染追跡アプリ、ワクチン接種登録ページ、求人サイト、従業員データベースなどです。
- 米国サイバーセキュリティ インフラストラクチャ セキュリティ庁、攻撃者が ProxyShell の 2 件の脆弱性を矢継ぎ早にエクスプロイトしていると警告。セキュリティ研究者によると、これは 3 月に最初に発見された ProxyLogon の脆弱性や Hafnium の脅威とは異なる攻撃ベクトルです。
最近の注目すべきセキュリティ問題
説明:LockBit ランサムウェアの背後にいる RaaS のネットワークが、2.0 バージョンのマルウェアを使用して新たな攻撃を開始しています。LockBit は最近、英国、台湾、チリ、イタリアの組織を標的にしています。新バージョンには新たな暗号化機能が追加されています。また、標的の組織では「内部関係者」のリクルートが行われています。マルウェアがデータを暗号化すると標的のマシンの背景が変更され、広告が表示されます。内容は、LockBit のリクルートに応募することができ、数百万ドルの報酬が支払われるというものです。LockBit は、世界的なコンサルティング会社 Accenture を狙った攻撃など、最近確認されている有名な攻撃に関与しています。
Snort SID:58024、58025
説明:Cisco Talos は、njRAT や AsyncRAT などのコモディティ型 RAT を配布する新たなマルウェア攻撃を確認しました。標的とされているのは、中南米の旅行・ホスピタリティ企業です。使用されている手口は Aggah グループのものと似ていますが、攻撃を実行しているのはブラジルを拠点とする別のグループです。「Crypter 3losh rat」と呼ばれるビルダー/暗号化ツールも確認しました。攻撃者が使用する感染チェーンは高度にモジュール化されていますが、感染チェーンのさまざまなステージがこのツールを使用して生成されています。暗号化ツールの作成の主な目的は、サービスとして販売することです。Talos では、作成者が Facebook、YouTube などのソーシャルメディアで暗号化ツールを宣伝しているのを確認しています。それだけでなく、暗号化ツールの作成者が archive[.]org を悪用して独自のマルウェア攻撃を実行し、コモディティ型 RAT を配布していることも確認しました。中南米を標的とする攻撃は、高度にモジュール化された構造をしています。AsynRAT と njRAT という広く知られている 2 つの RAT ファミリを展開するため、ステルス性に重点を置いていると考えられます。こうした手口やその他の痕跡が Aggah グループと共通していることから、暗号化ツールの作成者がツールを両者に販売した可能性があります。
Cisco Secure Endpoint Orbital 検索クエリ:https://github.com/Cisco-Talos/osquery_queries/blob/master/win_malware/malware_njrat_filepath.yaml
https://github.com/Cisco-Talos/osquery_queries/blob/master/win_malware/malware_asyncrat_mutex_detected.yaml
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:9a74640ca638b274bc8e81f4561b4c48b0c5fbcb78f6350801746003ded565eb
MD5:6be10a13c17391218704dc24b34cf736
一般的なファイル名:smbscanlocal0906.exe
偽装名:なし
検出名:Win.Dropper.Ranumbot::in03.talos
SHA 256:cda7eb57321e133ca126aa8237a8432e8c539830656d64976bc953a70c0fa587
MD5:ec26aef08313a27cfa06bfa897972fc1
一般的なファイル名:01fd0f9a83cb940bca23fbeea3ecaffcfb4df2ef.vbs
偽装名:なし
検出名:Win.Worm.Dunihi::tpd
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:Eter.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:5e46ecffcff9440e97bf4f0a85ad34132407f925b27a8759f5a01de5ea4da6af
MD5:0a13d106fa3997a0c911edd5aa0e147a
一般的なファイル名:mg20201223-1.exe
偽装名:なし
検出名:RanumBot::mURLin::W32.5E46ECFFCF.in12.Talos
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 08 月 26 日に Talos Group のブログに投稿された「Threat Source newsletter (Aug. 26, 2021)」の抄訳です。