今週も脅威情報ニュースレターをお届けします。
最近よく、脅威の調査結果を公表する方法について、その良し悪しを考えています。Talos がブログや SNS で共有している情報の量に関して、Cisco Live で来場者の方と少しお話しする機会があったのです。サイバーセキュリティというよりも、一般的な IT 業務に携わっている方々でした。Talos は主にブログで情報を発信していますが、私は SNS や Talos のポッドキャストも利用していますし、カンファレンスにも出ています。直接あるいは間接的に読者や視聴者の皆さんに常に情報を伝えているのです。このように情報を共有する中で、悪事を働く人間が犯しているミスを指摘したり、そうした輩を追跡するために Talos がどういうことをしているかを明かしたりすることで、間接的に連中を「助けている」のではないかと思われる方もいらっしゃるかもしれません。
このレベルのサイバーセキュリティでは、どのような種類の情報開示であっても賛否両論がつきものです。しかし、Talos がこの問題を軽く見ているわけではないことはご理解いただきたいと思います。ブログ記事であれ、カンファレンスでの講演やポッドキャストであれ、攻撃者が積極的に使用している手法を公開すれば、攻撃者は戦術の変更を迫られ、時間をかけて微調整や変更を行わざるを得なくなります。残念ながら、私たちだけの力でサイバー犯罪に終止符を打つことはできません。ですが、攻撃者の活動にかかるコストを増やすことができれば、防御側にとっても被害者になり得る側にとってもメリットがあります。防御側としては、攻撃者のやりたい放題にさせておくわけにはいきません。手法を変えるか滅びるかを迫る必要があるのです。情報が公開されなければ、攻撃者はいつまでも同じ手口を使い続け、他の標的に感染を広げる可能性があります。
決して簡単に判断できるようなことではなく、サイバーセキュリティに携わるすべての人が常に慎重に検討する必要があります。そうは言っても、これまで何度か指摘したように、サイバーセキュリティはチームスポーツです。Talos では、ブログ記事を公開する前に、全員が同じ見解を持てるようにいくつかの手順を踏んでいます。具体的には、被害者に通知する、Cyber Threat Alliance などのパートナーと情報を共有するといったことです。全員が同じチームでプレーし、チームメイトにできるだけ多くの情報を与えて、試合に備えてもらうべきだと私は思います。それと同じことで、一般の人々と情報を共有すれば、リソースが不足しているチームも自衛策を講じることができます。これ以上予算が圧迫されることもなく、人員にも負荷がかかりません。
情報を内部にとどめておき、単独で攻撃者を打ち負かそうとするのは無益なことです。決してうまくいかないからです。妙な対抗意識にも意味はありません。Talos では常にお客様を守ることを第一に考えており、脆弱性管理チームから脅威研究者まで、責任を持って情報を開示する方針をとっています。私たちのインテリジェンスによって調査が進み、防御体制が整います。Talos は今後も、誰もができるだけ多くの情報で武装できるよう尽力していきます。
重要な情報
米国連邦政府機関は先週、ランサムウェアグループ MedusaLocker の活動に関する共同アドバイザリを発表し、多くの情報を公開しました。米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)や FBI などが MedusaLocker に関連するいくつかの IOC を共有し、最近になって活動が活発化していると警告しています。MedusaLocker は、Remote Desktop Protocol(RDP)の脆弱性を突くか、フィッシングメールやスパムメールを使用して標的のデバイスに不正アクセスします。標的のシステムに侵入すると、被害者のファイルを暗号化し、ネットワーク全体に拡散しながら身代金の支払いを待ちます。
注意すべき理由
Cisco Talos が MedusaLocker の活動を最初に確認したのは 2019 年のことです。以来、明らかに、同グループの活動は拡大する一方であり、今では、複数の主要な攻撃グループを擁する大規模な RaaS(サービスとしてのランサムウェア)業界の一端を担っています。MedusaLocker は、新型コロナウイルス感染症のパンデミックの際に医療機関を標的にしてその名を知られるようになりましたが、CISA のアドバイザリでは、どの業界が標的になってもおかしくないとされています。アドバイザリには、このマルウェアファミリに対する潜在的な緩和策についての新たな情報と、ブロックする必要がある同グループに関連した既知の IOC が含まれています。
必要な対策
Cisco Secure にはアドバイザリで説明されている緩和策を実装しているほか、この攻撃から防御するために使用できるオプションがあります。それが、このランサムウェアのアクティビティを検出する複数の Snort ルールと ClamAV シグネチャです。すべてのランサムウェアの活動について言えることですが、攻撃に備えて物理的なバックアップを用意しておくことが重要です。バックアップがあれば迅速に復旧できます。また、Cisco Talos のインデント対応計画やプレイブックで、常に最悪の事態に備えておくことができます。
その他の注目情報
最近、1 億ドルの暗号通貨盗難事件が発生しましたが、北朝鮮政府が支援する Lazarus Group の関与が疑われています。同グループのメンバーは、Harmony 社の Horizon Bridge というソフトウェアを悪用したとされています。このソフトウェアは、Harmony ブロックチェーンと他のブロックチェーンとの間でユーザーが仮想通貨を取引できるようにするものです。攻撃者は Harmony 社の従業員のユーザー名とパスワードを入手し、それを使用して Horizon Bridge に不正アクセスしました。その後、マネーロンダリングの手法を用いて追跡されないようにしています。同グループは 4 月にも今回と同様の手口で Ronin Bridge から 6 億ドルを盗み出しています(情報源:Bloomberg、Fortune)。
偽の応募書類を作成し、ディープフェイク動画を使ってオンライン面接を受ける悪意を持った人物が現れています。FBI の新たな警告によると、そうした人物はテクノロジー企業で請負レベルの仕事を得ようとしており、機密情報を盗み出したり、不正に金を稼ごうとしたりする可能性があるとのことです。応募過程では、盗んだ身分証明書、フェイク動画、加工した音声を使用して別人になりすまします。動画では、通常の人間の咳、くしゃみ、まばたきのように思えるものも使用しています。FBI は、リクルーターや採用責任者に対し、ディープフェイク動画の明らかな兆候(画面上の動画と一致しない音や不自然な唇の動きなど)に注意するよう勧告しています(情報源:TechCrunch、Gawker)。
Google は、Android 向けの Web ブラウザ Chrome に重大度の高い脆弱性があり、活発に悪用されていると警告しています。CVE-2022-2294 は、ヒープ領域におけるバッファオーバーフローのバグで、悪用された場合、サービス拒否攻撃や任意のコードの実行につながる可能性があります。同社は今週、この脆弱性を修正するセキュリティアップデートをリリースしました。このアップデートには、別の重大度の高い脆弱性(CVE-2022-2295)と、もう 1 件の内部問題(詳細は不明)の修正も含まれています。これで、今年 Chrome で見つかったゼロデイ脆弱性は 4 件目です(情報源:Dark Reading、Decipher)。
Talos が発信している情報
- 『Talos Takes』エピソード#102:ダークウェブ上のランサムウェアグループの正体を解明
- 注目のセキュリティ研究者:Nick Biasini と巡るセキュリティの世界
- ダークウェブ上にあるランサムウェアの匿名サイトを発見する手法を研究者が共有
Talos が参加予定のイベント
A New HOPE(2022 年 7 月 22 日~ 24 日)
ニューヨーク市
BlackHat U.S. (2022 年 8 月 6 日~ 11 日)
ネバダ州ラスベガス
DEF CON U.S. (2022 年 8 月 11 日~ 14 日)
ネバダ州ラスベガス
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5:93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645
MD5:2c8ea737a232fd03ab80db672d50a17a
一般的なファイル名: LwssPlayer.scr
偽装名:梦想之巅幻灯播放器
検出名:Auto.125E12.241442.in02
SHA 256:1a234656f81e870cdeb0e648a6b305a41452c405cca21124de26b54f79d55ad0
MD5: 10f1561457242973e0fed724eec92f8c
一般的なファイル名:ntuser.vbe
偽装名:なし
検出名:Auto.1A234656F8.211848.in07.Talos
SHA 256:91e994229a7c8fdd899ce9b961516179da4c41be0818b5f07f07e4f4b4ebf28e
MD5:a7742a6d7d8b39f1a8cdf7f0b50f12bb
一般的なファイル名:wrsanvs.exe
偽装名:なし
検出名:W32.Auto:91e994229a.in03.Talos
本稿は 2022 年 07 月 07 日に Talos Group のブログに投稿された「Threat Source newsletter (July 7, 2022) — Teamwork makes the dream work」の抄訳です。