脅威情報ニュースレター(2022 年 3 月 17 日):生産的な行動でウクライナの支援を
今週も脅威情報ニュースレターをお届けします。Cisco Talos では、現在のウクライナ情勢に対する取り組みを精力的に進めています。この紛争は全世界を困難な状況に陥れています。その影響を直接被っている方々にとっては耐え難い苦しみでしょう。状況の推移を外から見ている私たちも、苦しみを感じないわけにはいきません。
「Beers with Talos」の出演者が今週の最新エピソードで語っている
ように、Talos の研究者をはじめとするセキュリティコミュニティの誰もがウクライナ情勢への対応に追われています。セキュリティコミュニティに属していない人たちも状況は同じです。もちろん、最も過酷な状況に置かれているのはウクライナの人々です。Talos のウクライナ人従業員の中にも、祖国を守るために軍隊に加わった人々がいます。その気高い行為には胸を打たれます。
この紛争は、何らかの形で関わっている人や外から見ているあらゆる人に精神的な負担をもたらす可能性があります。シスコと Talos の関係者は、ウクライナのネットワークを防御し、重要なインフラを稼働させ続けるために寝る間も惜しんで働いています。紛争のニュースを聞き続けることは誰にとってもつらいことであり、心が押しつぶされそうになることもあります。ですから、たまにはニュースやソーシャルメディアから離れて、元気を取り戻すことが大切です。
「見て見ぬふり」や「現実逃避」をお勧めしているように聞こえるかもしれませんが、ある程度の時間を自分のために使うのは身勝手な行為ではありません。英気を養ってベストな自分を取り戻せば、自分を必要としているさまざまな人に喜んでもらうことができます。私たちは、今感じている不安、ストレス、心の痛みをポジティブなものに変えていく力を持っています。たとえば Talos の戦略コミュニケーションチームの Martin Lee は、最近イギリスで 80 キロも走ってウクライナへの寄付に協力しています。また Talos の脅威インテリジェンス脅威防御チームの Vitor Ventura は、ポルトガルからポーランドまで車で出かけて寄付を手渡したり、ポルトガルへの移住を考えているウクライナの家族に自分の車に乗っていくよう提案したりしています。
私はと言えば、毎晩必ず『エルデンリング』というアクション RPG をプレイして、仕事で張りつめた心を解きほぐすようにしています。おかげで明日も仕事を頑張ろうという気持ちがわいてきて、Talos で全力を尽くせるようになります。私はこうやって、Talos の戦略コミュニケーション プラットフォームをサポートし、ユーザー、お客様、そして一般の方々に Talos のウクライナにおける取り組みを紹介し、現地の重要な情報を迅速かつ正確に入手するという自らの仕事に取り組んでいます。また、Instagram で絶え間なく流れてくるニュースストリームや行動の呼びかけは見ないようにしています。自分でいろいろ調べ、ウクライナで支援活動を行っている合法的な非営利団体に寄付することができました。
こうした小さな親切を施す力を私たちは持っています。しかし、ネガティブな情報ばかり読み漁ったり、自分が道徳的な人間であることをソーシャルメディアでアピールしたり、自分の不安に溺れたままになったりしていては、親切を施すエネルギーもなくなってしまいます。ですから、今感じているストレスや不安を何か生産的な行動に結びつけてみてください。そして、たくさんの人がこの不当な事態に対処し、困っている人々を援助するために活動していることに目を向けてください。
重要な情報
MuddyWater という APT がイランの国益のために活動していると米国サイバー軍が公式に非難しましたが、Talos では以前からこの攻撃グループを追跡しています。この APT はスパムやランサムウェアなどのさまざまな詐欺行為を積極的に仕掛けています。
詳しく調べたところ、MuddyWater は実際には 1 つの大きなグループではなく、共通の目標を達成するために複数のグループが集結しているらしいことが分かりました。最近の調査についての記事で説明したように、独立して活動しているように見えますが、イランの安全保障という目的に沿った共通の動機を持っており、標的に応じてスパイ活動、知的財産の窃取、破壊活動、妨害活動などを展開しています。
情勢を注視すべき理由
実態が新たに判明したのに加えて、新しいマルウェア攻撃やツールが開発され続けていることも分かりました。たとえばトルコとアラビア半島に対する新しい攻撃では、「SloughRAT」という Windows スクリプトファイル(WSF)ベースの RAT が不正ドキュメントを使用して配布されました。
また、MuddyWater はさまざまなグループを傘下に抱えており、その状況を利用して戦術を洗練させています。新しい攻撃を仕掛けるたびに新たな TTP を開発して、以降の攻撃に使用しているようです。攻撃対象地域もグループ創設時から着実に拡大しており、今や中東のあらゆる国が標的になっています。MuddyWater は相手が誰であろうと容赦なく攻撃を仕掛けるうえ、攻撃の頻度も高いため、すぐに活動が収まることは期待できません。
必要な対策
リスク分析アプローチに基づいた多層防御戦略には、こうした強い動機を持つ攻撃者に対して最高の予防効果があります。
しかしながら、最悪のシナリオに備えて、テストを重ねた強固なインシデント対応計画で常に補完する必要があります。MuddyWater が今後どのように進化していくのか、また MuddyWater 傘下のグループが、背後で動いている政府機関から独自の ID と名前をもらって活動を始めるのかどうかも気になるところです。大胆な行動を起こす攻撃グループですので油断は禁物でしょう。
その他の注目情報
ロシアのウクライナ侵攻が始まった頃に Cyclops Blink というマルウェアの紹介記事を書きましたが、現在 Asus 社のルータがこのマルウェアの標的になっています。この攻撃が最初に発見されたときは MikroTik 社のルータが標的になっていました。これはヨーロッパで人気の高いブランドです。Cyclops Blink は、Talos が 2019 年に発見した VPNFilter 攻撃に代わるマルウェアである可能性があります。VPNFilter は一部のルータを動作不能に陥らせる機能を備えていました。ルータを工場出荷時の設定にリセットし、ホームネットワークで設定をやり直すのが感染した場合の最善策です(情報源:ZDNet、Talos)。
Linux で発見された「Dirty Pipe」という脆弱性は、Linux にこの数年で最も深刻な影響をもたらすエクスプロイトになりそうです。この脆弱性は Linux カーネル 5.8 以降のバージョンに影響を与えます。2016 年に発見された「Dirty COW」というエクスプロイトに似ており、攻撃者にルート権限を取得される危険性があります。QNAP 社はすでに、同社のネットワークアタッチト ストレージ(NAS)アプライアンスのほとんどがこの脆弱性の影響を受けるとユーザーに警告しています。Dirty Pipe は Linux を使用した Android デバイスにも影響を与えます。セキュリティ研究者は Google Pixel 6 スマートフォンと Samsung S22 を完全にルート化する方法を見つけています(情報源:Bleeping Computer、ThreatPost、Ars Technica)。
分散型サービス妨害攻撃をより大規模に展開するための新しい手口を攻撃者が見つけたようです。一部の国で制限されているコンテンツをブロックするサーバー群(ミドルボックス)の設定不備を悪用してジャンクデータを増幅し、標的のサイトに送信してシャットダウンさせています。銀行、旅行、ゲーム、メディア業界の Web サイトがすでにこの手法の標的になっていると研究者や CDN は警告しています。イスラエル政府も今週 DDoS 攻撃を受けました。政府機関の多数の Web サイトが今週初めに停止しており、イスラエルがこれまでに受けたサイバー攻撃の中で最大のものであった可能性があると当局者は述べています(情報源:TechRadar、Wired、Talos)。
Talos が発信している情報
- Talos、Cisco Secure、ThousandEyes によるウクライナのライブストリーム
- 『Beers with Talos』エピソード#117:1 か月遅れでお送りする Talos のスーパーボウル広告
- 3 月 4 日~ 11 日の 1 週間における脅威のまとめ
- 抜かりなくウクライナ侵攻に便乗するサイバー犯罪者
- 脅威アドバイザリ:CaddyWiper
Talos が参加予定のイベント
RSA 2022(2022 年 6 月 6 日~ 9 日)
カリフォルニア州サンフランシスコ
CISCO LIVE U.S. (2022 年 6 月 12 日~ 16 日)ネバダ州ラスベガス
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5: 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名: PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:20a98a7e6e137bb1b9bd5ef6911a479cb8eac925b80d6db4e70b19f62a40cce2
MD5: c578d9653b22800c3eb6b6a51219bbb8
一般的なファイル名: invisible.vbs
偽装名:なし
検出名: Win.Trojan.Pistacchietto.Talos
SHA 256:59f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaa
MD5: df11b3105df8d7c70e7b501e210e3cc3
一般的なファイル名:DOC001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201
SHA 256:125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645
MD5:2c8ea737a232fd03ab80db672d50a17a
一般的なファイル名: LwssPlayer.scr
偽装名: LwssPlayer
検出名:Auto.125E12.241442.in02
SHA 256:5616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1
MD5:3e10a74a7613d1cae4b9749d7ec93515
一般的なファイル名: IMG001.exe
偽装名:なし
検出名:Win.Dropper.Coinminer::1201
本稿は 2022 年 03 月 17 日に Talos Group
Tags:
