Categories: 脅威リサーチ

脅威情報ニュースレター(2021 年 8 月 26 日)

Talos 読者の皆様、こんにちは。

ここ数週間にわたって、相次いで RAT が確認されていました。先週もまた、中南米の組織を標的としてログイン情報を盗み出そうとする攻撃をいくつか確認しています。

この攻撃者と、以前記事にしたサイバー犯罪グループ「Aggah」との間に何らかの関係があることは確かですが、明確につながっているわけではなさそうです。

今後予定されている Talos の公開イベント

Technado ポッドキャストに CTIR が登場

講演者:Chris DiSalle

開催日:9 月 9 日

場所:バーチャル

説明:Talos インシデント対応チーム(CTIR)の Chris DiSalle が Technado ポッドキャストに登場、インシデント対応業界についてくまなくご紹介します。番組司会者の Don Pezet 氏を相手に、インシデント対応を始めた経緯や、現場で遭遇したぞっとするような事例など、盛りだくさんにお届けします。

ワークショップ:Analysing Android malware at VirusBulletin localhost 2021

講演者:Vitor Ventura

開催日:10 月 7 日 〜 8 日

場所:バーチャル

概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。

1 週間のサイバーセキュリティ概況

最近の注目すべきセキュリティ問題

件名:LockBit 2.0 が世界中の組織を標的に

説明:LockBit ランサムウェアの背後にいる RaaS のネットワークが、2.0 バージョンのマルウェアを使用して新たな攻撃を開始しています。LockBit は最近、英国、台湾、チリ、イタリアの組織を標的にしています。新バージョンには新たな暗号化機能が追加されています。また、標的の組織では「内部関係者」のリクルートが行われています。マルウェアがデータを暗号化すると標的のマシンの背景が変更され、広告が表示されます。内容は、LockBit のリクルートに応募することができ、数百万ドルの報酬が支払われるというものです。LockBit は、世界的なコンサルティング会社 Accenture を狙った攻撃など、最近確認されている有名な攻撃に関与しています。

Snort SID58024、58025

件名:複数の RAT が徒党を組んで中南米のユーザを標的に

説明:Cisco Talos は、njRAT や AsyncRAT などのコモディティ型 RAT を配布する新たなマルウェア攻撃を確認しました。標的とされているのは、中南米の旅行・ホスピタリティ企業です。使用されている手口は Aggah グループのものと似ていますが、攻撃を実行しているのはブラジルを拠点とする別のグループです。「Crypter 3losh rat」と呼ばれるビルダー/暗号化ツールも確認しました。攻撃者が使用する感染チェーンは高度にモジュール化されていますが、感染チェーンのさまざまなステージがこのツールを使用して生成されています。暗号化ツールの作成の主な目的は、サービスとして販売することです。Talos では、作成者が Facebook、YouTube などのソーシャルメディアで暗号化ツールを宣伝しているのを確認しています。それだけでなく、暗号化ツールの作成者が archive[.]org を悪用して独自のマルウェア攻撃を実行し、コモディティ型 RAT を配布していることも確認しました。中南米を標的とする攻撃は、高度にモジュール化された構造をしています。AsynRAT と njRAT という広く知られている 2 つの RAT ファミリを展開するため、ステルス性に重点を置いていると考えられます。こうした手口やその他の痕跡が Aggah グループと共通していることから、暗号化ツールの作成者がツールを両者に販売した可能性があります。

Cisco Secure Endpoint Orbital 検索クエリ:https://github.com/Cisco-Talos/osquery_queries/blob/master/win_malware/malware_njrat_filepath.yaml 

 https://github.com/Cisco-Talos/osquery_queries/blob/master/win_malware/malware_asyncrat_mutex_detected.yaml 

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 2569a74640ca638b274bc8e81f4561b4c48b0c5fbcb78f6350801746003ded565eb

MD56be10a13c17391218704dc24b34cf736

一般的なファイル名:smbscanlocal0906.exe

偽装名:なし

検出名:Win.Dropper.Ranumbot::in03.talos

SHA 256cda7eb57321e133ca126aa8237a8432e8c539830656d64976bc953a70c0fa587

MD5ec26aef08313a27cfa06bfa897972fc1

一般的なファイル名:01fd0f9a83cb940bca23fbeea3ecaffcfb4df2ef.vbs

偽装名:なし

検出名:Win.Worm.Dunihi::tpd

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5

MD58c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:Eter.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

SHA 2565e46ecffcff9440e97bf4f0a85ad34132407f925b27a8759f5a01de5ea4da6af

MD50a13d106fa3997a0c911edd5aa0e147a

一般的なファイル名:mg20201223-1.exe

偽装名:なし

検出名:RanumBot::mURLin::W32.5E46ECFFCF.in12.Talos

最新情報を入手するには、Twitter で Talos をフォローしてください。SnortClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。

 

本稿は 2021 年 08 月 26 日に Talos Group のブログに投稿された「Threat Source newsletter (Aug. 26, 2021)」の抄訳です。

 

TALOS Japan

Talos は、ネットワーク脅威の専門家集団です。Talos が提供する脅威インテリジェンスの情報は、既知および未知の脅威からお客様のネットワークを保護するためにシスコのセキュリティ製品によって活用されています。