Cisco Japan Blog

脅威情報ニュースレター(2022 年 5 月 26 日):大物狙いのランサムウェアグループ「BlackByte」にご注意

1 min read



今週も脅威情報ニュースレターをお届けします。

先日、米国で痛ましい事件が起きてしまいました。思い出にふけったり気の利いたことを言ったりするのもどうかと思いますので、前置きは割愛してセキュリティニュースをご紹介いたします。 

重要な情報

ランサムウェアグループ BlackByte は、開発したソフトウェアを自らの攻撃で使用するだけでなく、他の犯罪者に RaaS(Ransomware-as-a-Service)として提供しています。BlackByte とそのアフィリエイト(攻撃実行犯)によって、北米、コロンビア、オランダ、中国、メキシコ、ベトナムなど、世界中に感染が広がっています。BlackByte のリークサイトのデザインが新しくなったほか、新たな被害者がサイトで公開されました。今もなお、世界中で被害が多発しています。

注意すべき理由

Talos は数か月にわたり BlackByte を監視してきました。FBI が 2022 年 2 月に共同サイバーセキュリティ アドバイザリを発表した後も活動を続けていることが確認されています。なお、BlackByte は大物狙いのランサムウェアグループだと考えられています。有名大企業を標的として内部データの漏洩を図り、盗んだデータを公表すると脅迫する攻撃者グループのことです。この手のグループの常ですが、ダークネット上に独自のリークサイトを保有しています。

必要な対策

こうした攻撃を検出するためには、マルチレイヤのセキュリティアーキテクチャの導入がこれまで以上に重要になります。セキュリティ対策のどれかをバイパスすることはできても、すべてをバイパスするのは極めて困難です。この攻撃者から保護するための Snort ルールと ClamAV シグネチャはすでに提供されています。またブロックリストに追加できる IOC もこちらのブログ記事に多数掲載されています。

その他の注目情報

ランサムウェア集団「Conti」とコスタリカの間の戦いは今週も続いており、コスタリカの大統領は政府が Conti と「戦争中」であると述べています。一方、Conti は解散したようで、現在いくつかのグループに分かれていますが、Conti の攻撃者はまだコスタリカに関する声明を発表し続けています。一国の政府機関に対してこのような大規模なランサムウェア攻撃が行われたことから、他の小国の間にもランサムウェアの次の標的になるのではないかという懸念が広がっています。コスタリカの多くのサービスは、Conti の攻撃を受けてから何週間にもわたって停止しています(情報源:Tech Monitorpopup_iconThe Vergepopup_iconTechCrunchpopup_icon)。

ヨーロッパと中東では、国家の支援を受けた複数の攻撃者が、民間の監視会社 Cytrox からスパイウェア「Predator」を購入して Android ユーザーを監視しています。Google の研究者は、これらの攻撃者がエジプト、アルメニア、ギリシャ、マダガスカル、コートジボワール、セルビア、スペイン、インドネシアで活動していることを確認したと述べています。Cytrox 社は、Chrome Web ブラウザと Android オペレーティングシステムのゼロデイ脆弱性に対するエクスプロイトとともにこのスパイウェアを販売していました。現在、それらの脆弱性にはすべてパッチが適用されています(情報源:Google 脅威分析グループpopup_iconGizmodopopup_icon)。

Zoom 社が同社のオンライン会議クライアントで発見されたいくつかのセキュリティ脆弱性を修正しました。これにはリモートでコードを実行される危険性がある XMPP 脆弱性チェーンなどが含まれています。この攻撃チェーンはセキュリティ研究者が発見していたものであり、Zoom チャットで XMPP プロトコルを使用して標的にメッセージを送り付けることで脆弱性を突くことができます。ユーザーに何らかの操作をさせる必要はありません。攻撃が成功した場合、標的のマシンでリモートコードが実行される危険性があります。Zoom 社が今週公開した他の脆弱性には、攻撃者がユーザーセッション Cookie を非 Zoom ドメインに送信できるという問題があります。この問題がエクスプロイトされると、なりすましが行われる危険性があります(情報源:Security Weekpopup_iconGoogle Project Zeropopup_icon)。

Talos が発信している情報

Talos が参加予定のイベント

RECONpopup_icon(2022 年 6 月 3 日~ 5 日)
カナダ、モントリオール

RSA 2022popup_icon(2022 年 6 月 6 日~ 9 日)
カリフォルニア州サンフランシスコ

CISCO LIVE U.S.popup_icon (2022 年 6 月 12 日~ 16 日)
ネバダ州ラスベガス

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934popup_icon
MD593fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 256125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645popup_icon
MD52c8ea737a232fd03ab80db672d50a17a
一般的なファイル名:LwssPlayer.scr
偽装名:梦想之巅幻灯播放器
検出名:Auto.125E12.241442.in02

SHA 2561fce2981e0d7d9c85adeea59a637d77555b466d6a6639999c6ae9b254c12dc6bpopup_icon
MD5f5d20b351d56605bbb51befee989fa6e 
一般的なファイル名:lavasoft_overlay_new_setup_progress_en.exe
偽装名:PF001’s Installer
検出名:W32.8B439CC5BF-95.SBX.TG

SHA 256818d2d5bdde999f70563c16bfa9c724897d3b01adc67089137ae97d8f7ab6ba3popup_icon
MD59b1f8a838b5c195f9cf2f11017e38175 
一般的なファイル名:document-launch-powershell.xls
偽装名:なし
検出名:Auto.818D2D.242455.in02

SHA 25659f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaapopup_icon
MD5df11b3105df8d7c70e7b501e210e3cc3 
一般的なファイル名:DOC001.exe  
偽装名:なし
検出名:Win.Worm.Coinminer::1201

 

本稿は 2022 年 05 月 26 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (May 26, 2022) — BlackByte adds itself to the grocery list of big game hunterspopup_icon」の抄訳です。

コメントを書く