Cisco Japan Blog

脅威情報ニュースレター(2022 年 3 月 17 日):生産的な行動でウクライナの支援を

1 min read



今週も脅威情報ニュースレターをお届けします。Cisco Talos では、現在のウクライナ情勢に対する取り組みを精力的に進めています。この紛争は全世界を困難な状況に陥れています。その影響を直接被っている方々にとっては耐え難い苦しみでしょう。状況の推移を外から見ている私たちも、苦しみを感じないわけにはいきません。

「Beers with Talos」の出演者が今週の最新エピソードで語っているpopup_iconように、Talos の研究者をはじめとするセキュリティコミュニティの誰もがウクライナ情勢への対応に追われています。セキュリティコミュニティに属していない人たちも状況は同じです。もちろん、最も過酷な状況に置かれているのはウクライナの人々です。Talos のウクライナ人従業員の中にも、祖国を守るために軍隊に加わった人々がいます。その気高い行為には胸を打たれます。

この紛争は、何らかの形で関わっている人や外から見ているあらゆる人に精神的な負担をもたらす可能性があります。シスコと Talos の関係者は、ウクライナのネットワークを防御し、重要なインフラを稼働させ続けるために寝る間も惜しんで働いています。紛争のニュースを聞き続けることは誰にとってもつらいことであり、心が押しつぶされそうになることもあります。ですから、たまにはニュースやソーシャルメディアから離れて、元気を取り戻すことが大切です。

「見て見ぬふり」や「現実逃避」をお勧めしているように聞こえるかもしれませんが、ある程度の時間を自分のために使うのは身勝手な行為ではありません。英気を養ってベストな自分を取り戻せば、自分を必要としているさまざまな人に喜んでもらうことができます。私たちは、今感じている不安、ストレス、心の痛みをポジティブなものに変えていく力を持っています。たとえば Talos の戦略コミュニケーションチームの Martin Lee は、最近イギリスで 80 キロも走ってpopup_iconウクライナへの寄付に協力しています。また Talos の脅威インテリジェンス脅威防御チームの Vitor Ventura は、ポルトガルからポーランドまで車で出かけてpopup_icon寄付を手渡したり、ポルトガルへの移住を考えているウクライナの家族に自分の車に乗っていくよう提案したりしています。

私はと言えば、毎晩必ず『エルデンリング』というアクション RPG をプレイして、仕事で張りつめた心を解きほぐすようにしています。おかげで明日も仕事を頑張ろうという気持ちがわいてきて、Talos で全力を尽くせるようになります。私はこうやって、Talos の戦略コミュニケーション プラットフォームをサポートし、ユーザー、お客様、そして一般の方々に Talos のウクライナにおける取り組みを紹介し、現地の重要な情報を迅速かつ正確に入手するという自らの仕事に取り組んでいます。また、Instagram で絶え間なく流れてくるニュースストリームや行動の呼びかけは見ないようにしています。自分でいろいろ調べ、ウクライナで支援活動を行っている合法的な非営利団体に寄付することができました。

こうした小さな親切を施す力を私たちは持っています。しかし、ネガティブな情報ばかり読み漁ったり、自分が道徳的な人間であることをソーシャルメディアでアピールしたり、自分の不安に溺れたままになったりしていては、親切を施すエネルギーもなくなってしまいます。ですから、今感じているストレスや不安を何か生産的な行動に結びつけてpopup_iconみてください。そして、たくさんの人がこの不当な事態に対処し、困っている人々を援助するために活動していることに目を向けてください。

重要な情報

MuddyWater という APT がイランの国益のために活動していると米国サイバー軍が公式に非難popup_iconしましたが、Talos では以前からこの攻撃グループを追跡しています。この APT はスパムやランサムウェアなどのさまざまな詐欺行為を積極的に仕掛けています。

詳しく調べたところ、MuddyWater は実際には 1 つの大きなグループではなく、共通の目標を達成するために複数のグループが集結しているらしいことが分かりました。最近の調査についての記事で説明したように、独立して活動しているように見えますが、イランの安全保障という目的に沿った共通の動機を持っており、標的に応じてスパイ活動、知的財産の窃取、破壊活動、妨害活動などを展開しています。

情勢を注視すべき理由

実態が新たに判明したのに加えて、新しいマルウェア攻撃やツールが開発され続けていることも分かりました。たとえばトルコとアラビア半島に対する新しい攻撃では、「SloughRAT」という Windows スクリプトファイル(WSF)ベースの RAT が不正ドキュメントを使用して配布されました。

また、MuddyWater はさまざまなグループを傘下に抱えており、その状況を利用して戦術を洗練させています。新しい攻撃を仕掛けるたびに新たな TTP を開発して、以降の攻撃に使用しているようです。攻撃対象地域もグループ創設時から着実に拡大しており、今や中東のあらゆる国が標的になっています。MuddyWater は相手が誰であろうと容赦なく攻撃を仕掛けるうえ、攻撃の頻度も高いため、すぐに活動が収まることは期待できません。

必要な対策

リスク分析アプローチに基づいた多層防御戦略には、こうした強い動機を持つ攻撃者に対して最高の予防効果があります。

しかしながら、最悪のシナリオに備えて、テストを重ねた強固なインシデント対応計画で常に補完する必要があります。MuddyWater が今後どのように進化していくのか、また MuddyWater 傘下のグループが、背後で動いている政府機関から独自の ID と名前をもらって活動を始めるのかどうかも気になるところです。大胆な行動を起こす攻撃グループですので油断は禁物でしょう。

その他の注目情報

ロシアのウクライナ侵攻が始まった頃に Cyclops Blink というマルウェアの紹介記事を書きましたが、現在 Asus 社のルータがこのマルウェアの標的になっています。この攻撃が最初に発見されたときは MikroTik 社のルータが標的になっていました。これはヨーロッパで人気の高いブランドです。Cyclops Blink は、Talos が 2019 年に発見した VPNFilter 攻撃に代わるマルウェアである可能性があります。VPNFilter は一部のルータを動作不能に陥らせる機能を備えていました。ルータを工場出荷時の設定にリセットし、ホームネットワークで設定をやり直すのが感染した場合の最善策です(情報源:ZDNetpopup_iconTalos)。

Linux で発見された「Dirty Pipe」という脆弱性は、Linux にこの数年で最も深刻な影響をもたらすエクスプロイトになりそうです。この脆弱性は Linux カーネル 5.8 以降のバージョンに影響を与えます。2016 年に発見された「Dirty COW」というエクスプロイトに似ており、攻撃者にルート権限を取得される危険性があります。QNAP 社はすでに、同社のネットワークアタッチト ストレージ(NAS)アプライアンスのほとんどがこの脆弱性の影響を受けるとユーザーに警告しています。Dirty Pipe は Linux を使用した Android デバイスにも影響を与えます。セキュリティ研究者は Google Pixel 6 スマートフォンと Samsung S22 を完全にルート化する方法を見つけています(情報源:Bleeping Computerpopup_iconThreatPostpopup_iconArs Technicapopup_icon)。

分散型サービス妨害攻撃をより大規模に展開するための新しい手口を攻撃者が見つけたようです。一部の国で制限されているコンテンツをブロックするサーバー群(ミドルボックス)の設定不備を悪用してジャンクデータを増幅し、標的のサイトに送信してシャットダウンさせています。銀行、旅行、ゲーム、メディア業界の Web サイトがすでにこの手法の標的になっていると研究者や CDN は警告しています。イスラエル政府も今週 DDoS 攻撃を受けました。政府機関の多数の Web サイトが今週初めに停止しており、イスラエルがこれまでに受けたサイバー攻撃の中で最大のものであった可能性があると当局者は述べています(情報源:TechRadarpopup_iconWiredpopup_iconTalos)。

Talos が発信している情報

Talos が参加予定のイベント

RSA 2022popup_icon(2022 年 6 月 6 日~ 9 日)
カリフォルニア州サンフランシスコ

CISCO LIVE U.Spopup_icon. (2022 年 6 月 12 日~ 16 日)ネバダ州ラスベガス

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934popup_icon
MD5 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名: PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 25620a98a7e6e137bb1b9bd5ef6911a479cb8eac925b80d6db4e70b19f62a40cce2popup_icon
MD5 c578d9653b22800c3eb6b6a51219bbb8
一般的なファイル名: invisible.vbs
偽装名:なし
検出名: Win.Trojan.Pistacchietto.Talos

SHA 25659f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaapopup_icon
MD5 df11b3105df8d7c70e7b501e210e3cc3
一般的なファイル名:DOC001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201

SHA 256125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645popup_icon
MD52c8ea737a232fd03ab80db672d50a17a
一般的なファイル名: LwssPlayer.scr
偽装名: LwssPlayer
検出名:Auto.125E12.241442.in02

SHA 2565616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1popup_icon
MD53e10a74a7613d1cae4b9749d7ec93515
一般的なファイル名: IMG001.exe
偽装名:なし
検出名:Win.Dropper.Coinminer::1201

 

本稿は 2022 年 03 月 17 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (March 17, 2022) — Channelling productive worry to help Ukrainepopup_icon」の抄訳です。

 

コメントを書く