今週も脅威情報ニュースレターをお届けします。
重要な情報
ランサムウェアグループ BlackByte は、開発したソフトウェアを自らの攻撃で使用するだけでなく、他の犯罪者に RaaS(Ransomware-as-a-Service)として提供しています。BlackByte とそのアフィリエイト(攻撃実行犯)によって、北米、コロンビア、オランダ、中国、メキシコ、ベトナムなど、世界中に感染が広がっています。BlackByte のリークサイトのデザインが新しくなったほか、新たな被害者がサイトで公開されました。今もなお、世界中で被害が多発しています。
注意すべき理由
Talos は数か月にわたり BlackByte を監視してきました。FBI が 2022 年 2 月に共同サイバーセキュリティ アドバイザリを発表した後も活動を続けていることが確認されています。なお、BlackByte は大物狙いのランサムウェアグループだと考えられています。有名大企業を標的として内部データの漏洩を図り、盗んだデータを公表すると脅迫する攻撃者グループのことです。この手のグループの常ですが、ダークネット上に独自のリークサイトを保有しています。
必要な対策
こうした攻撃を検出するためには、マルチレイヤのセキュリティアーキテクチャの導入がこれまで以上に重要になります。セキュリティ対策のどれかをバイパスすることはできても、すべてをバイパスするのは極めて困難です。この攻撃者から保護するための Snort ルールと ClamAV シグネチャはすでに提供されています。またブロックリストに追加できる IOC もこちらのブログ記事に多数掲載されています。
その他の注目情報
ランサムウェア集団「Conti」とコスタリカの間の戦いは今週も続いており、コスタリカの大統領は政府が Conti と「戦争中」であると述べています。一方、Conti は解散したようで、現在いくつかのグループに分かれていますが、Conti の攻撃者はまだコスタリカに関する声明を発表し続けています。一国の政府機関に対してこのような大規模なランサムウェア攻撃が行われたことから、他の小国の間にもランサムウェアの次の標的になるのではないかという懸念が広がっています。コスタリカの多くのサービスは、Conti の攻撃を受けてから何週間にもわたって停止しています(情報源:Tech Monitor
、The Verge、TechCrunch)。
ヨーロッパと中東では、国家の支援を受けた複数の攻撃者が、民間の監視会社 Cytrox からスパイウェア「Predator」を購入して Android ユーザーを監視しています。Google の研究者は、これらの攻撃者がエジプト、アルメニア、ギリシャ、マダガスカル、コートジボワール、セルビア、スペイン、インドネシアで活動していることを確認したと述べています。Cytrox 社は、Chrome Web ブラウザと Android オペレーティングシステムのゼロデイ脆弱性に対するエクスプロイトとともにこのスパイウェアを販売していました。現在、それらの脆弱性にはすべてパッチが適用されています(情報源:Google 脅威分析グループ、Gizmodo)。
Zoom 社が同社のオンライン会議クライアントで発見されたいくつかのセキュリティ脆弱性を修正しました。これにはリモートでコードを実行される危険性がある XMPP 脆弱性チェーンなどが含まれています。この攻撃チェーンはセキュリティ研究者が発見していたものであり、Zoom チャットで XMPP プロトコルを使用して標的にメッセージを送り付けることで脆弱性を突くことができます。ユーザーに何らかの操作をさせる必要はありません。攻撃が成功した場合、標的のマシンでリモートコードが実行される危険性があります。Zoom 社が今週公開した他の脆弱性には、攻撃者がユーザーセッション Cookie を非 Zoom ドメインに送信できるという問題があります。この問題がエクスプロイトされると、なりすましが行われる危険性があります(情報源:Security Week、Google Project Zero)。
Talos が発信している情報
- 情報漏洩、サービス拒否(DoS)を招く可能性がある Open Automation Software Platform の脆弱性
- CTA 取締役会メンバーが語る:Matt Watchinski(Cisco Talos)
- シスコの CSR を支える人たち:JJ Cummings がウクライナの人々をサイバー脅威から保護
- 5 月 13 日から 5 月 20 日の 1 週間における脅威のまとめ
- 『Talos Takes』エピソード#97:Mustang Panda の辞書に「遠慮」という文字はない
Talos が参加予定のイベント
RECON(2022 年 6 月 3 日~ 5 日)
カナダ、モントリオール
RSA 2022(2022 年 6 月 6 日~ 9 日)
カリフォルニア州サンフランシスコ
CISCO LIVE U.S. (2022 年 6 月 12 日~ 16 日)
ネバダ州ラスベガス
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5:93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645
MD5:2c8ea737a232fd03ab80db672d50a17a
一般的なファイル名:LwssPlayer.scr
偽装名:梦想之巅幻灯播放器
検出名:Auto.125E12.241442.in02
SHA 256:1fce2981e0d7d9c85adeea59a637d77555b466d6a6639999c6ae9b254c12dc6b
MD5:f5d20b351d56605bbb51befee989fa6e
一般的なファイル名:lavasoft_overlay_new_setup_progress_en.exe
偽装名:PF001’s Installer
検出名:W32.8B439CC5BF-95.SBX.TG
SHA 256:818d2d5bdde999f70563c16bfa9c724897d3b01adc67089137ae97d8f7ab6ba3
MD5:9b1f8a838b5c195f9cf2f11017e38175
一般的なファイル名:document-launch-powershell.xls
偽装名:なし
検出名:Auto.818D2D.242455.in02
SHA 256:59f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaa
MD5:df11b3105df8d7c70e7b501e210e3cc3
一般的なファイル名:DOC001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201
本稿は 2022 年 05 月 26 日に Talos Group
Authors