今週も脅威情報ニュースレターをお届けします。
攻撃者はあらゆるニュースを攻撃に利用します。コロナ禍や米朝関係も利用されていますし、11 月になると年末商戦を狙った攻撃が展開されるのもおなじみとなっています。
ですから、ジョー・バイデン米大統領が発表した学生ローン返済免除計画が詐欺やフィッシングメールですでに利用されていると聞いたときも、私はまったく驚きませんでした。
Better Business Bureau と米国連邦取引委員会は、この債務免除計画(最大で 2 万ドルの学生ローン返済を免除)に関連する偽のオファー、詐欺、Web サイトリンクに関する警告をこの数週間で相次いで発表しています。
これらの詐欺の多くは、電話、テキストメッセージ、電子メールを通じて行われており、免除プログラムへのアクセスを保証すると約束したり、有料で先行申請できると謳ったりしています(そのようなことは実際にはできません)。氏名、住所、出身大学名などを尋ねて、個人情報を聞き出そうとすることもあります。
こうしたニュースを聞くだけで、フィッシングメールの内容が目に浮かぶようです。「今すぐこのリンクをクリックして、バイデン大統領のローン免除プログラムに申請しましょう」、「1 万ドルの小切手が手に入るチャンスをお見逃しなく!」。この種の電子メールを使用してマルウェアが拡散されているという報告は今週の時点でまだないようですが、そうなるのも時間の問題でしょう。
これは今に始まった問題ではありません。Tech Transparency Project の 7 月の調査によると、学生ローン関連の Google 広告の 12% 近くが Google のポリシーに違反しているか、「詐欺の特徴」が見られました。
というわけで、10 月上旬から始まると報道されている学生ローン免除申請の正しい状況について、皆様に何点か注意喚起しておきたいと思います。
- 9 月 22 日現在、学生ローンの一部免除を受けるための正式な申請手段は提供されていません。これと異なる情報は一切信じないようにしてください。
- このプログラムに先行アクセスする方法は提供されていません。有償でアクセス情報を提供するという話は詐欺である可能性が高いと思われます。
- 米国教育省が、このプログラムについて連絡するために電話をかけてくることはありません。電話で情報を要求されても、提供しないようにしてください。
- メールに表示される情報はすべて信頼できるとは限りませんので、注意が必要です。また、攻撃者が虚偽の書類を郵送してくる可能性もあります。
- いつも言っていることですが、うまい話には裏があります。
重要な情報
ウクライナがまた、国家の支援を受けた攻撃者の標的になっています。Gamaredon APT が、ウクライナの組織やユーザーに情報窃取型のマルウェアを配布しています。Gamaredon は数年前から活動している悪名高い攻撃者で、通常、ロシアの国益に沿った攻撃活動を展開します。攻撃者は不正ドキュメントを使用しており、ロシアのウクライナ侵攻に関連する話題で標的を誘い込もうとしています。カスタムメイドの情報窃取マルウェアインプラントが使用されていることが Talos の研究者によって確認されました。このインプラントは、被害者の環境から関心のあるファイルを盗み出す機能と、攻撃者の指示に従って追加のペイロードを展開する機能を備えています。
注意すべき理由
Gamaredon は、ウクライナの機関、特に政府機関や重要インフラを積極的に標的にしています。いずれも、ロシアの侵攻を受けているウクライナで保護すべき重要な産業であり、今後も国家の支援を受けた攻撃者に定期的に狙われる可能性が高いと思われます。また、先週の『Talos Takes』でもお話ししましたが、Gamaredon の活動がウクライナ以外にも広がる可能性があります。
必要な対策
この攻撃者の活動から保護するための新しい製品保護が Cisco Secure に導入されています。また、この攻撃の標的になったおそれがある場合、次の 2 つのアーティファクトがシステムに存在していれば、侵害された可能性があります。
- 「Windows Task」という永続化のためのレジストリキーが HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run に作成されている。
- Global\flashupdate_r というミューテックスが作成されている。
今週のセキュリティ関連のトップニュース
ライドシェアアプリの Uber 社が、最近データ侵害を受けたとして Lapsus$ ランサムウェアグループを非難しました。同社によると、この攻撃者はサードパーティの請負業者のログイン情報を盗み、そのユーザーを騙して多要素認証のリクエストを承認させ、Uber 社の複数の内部システムにアクセスしました。Uber 社は、侵害が判明した直後に米国司法省と FBI に通報しており、現在も調査を続けています。クラウドプロバイダーに保存されていた顧客データやユーザーデータにはアクセスされなかったようですが、社内の財務チームの内部メッセージや情報がダウンロードされました(情報源:ZDNet、Washington Post)。
ニューヨーク州のサフォーク郡がサイバー攻撃を受けて、複数の行政機能が影響を受けました。現在も回復作業が続けられています。同郡の 911 システムは火曜日の時点でもまだ稼働しておらず、対応担当者は代わりにペンと紙を使用して緊急通報を追跡せざるを得なくなっています。また、身元確認を行う際にはニューヨーク市警察の助けを借りることも必要になっています。攻撃者は、一部住民の個人情報を窃取して漏洩させた可能性があり、盗んだドキュメントの画像をダーク Web に投稿したとされています。攻撃者は、コンピュータにアクセスできるようにする見返りとして「少額」の金銭を要求したと述べています(情報源:NBC 4 New York、Newsday)。
VMware 社と Microsoft 社の新しい調査によると、ChromeLoader マルウェアの危険性がかつてなく高まっています。両社のセキュリティ研究者によると、このマルウェアは、初めはブラウザを乗っ取ってログイン情報を窃取する目的で使用されていましたが、現在はランサムウェアを配布して機密情報を窃取するために使用されています。この数週間で、ChromeLoader の更新バージョンを使用した攻撃が数百件発生しており、教育業界、政府機関、医療業界、ビジネスサービス業界のエンタープライズ ネットワークが標的になっています。ChromeLoader は、OpenSubtitles などの正規の Chrome ブラウザサービスやプラグインに偽装されています。OpenSubtitles は、人気のあるテレビ番組や映画の字幕を見つけられるサイトです(情報源:Dark Reading、The Register)。
Talos 関連の情報
- ロシアのハッカー集団 Gamaredon、情報窃取型のマルウェアを使用してウクライナ政府を攻撃
- Gamaredon がウクライナへの攻撃で新しい情報窃取マルウェアを利用
- 『Talos Takes』エピソード#113:Gamaredon の実態とウクライナに対する最近の攻撃活動
- 現代社会のヘルスケアアプリと個人データ
- 9 月 9 日~ 9 月 16 日の 1 週間における脅威のまとめ
Talos が参加予定のイベント
シスコ セキュリティ ソリューション エキスパート セッション (10 月 11 日、13 日)
オンライン
GovWare 2022 (10 月 18 日~ 20 日)
シンガポール、Sands Expo & Convention Centre
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5: 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:: PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:c326d1c65c72eb66f5f5c0a84b1dcf3e8a79b69fffbd7a6e232b813ffbb23254
MD5: 8a5f8ed00adbdfb1ab8a2bb8016aafc1
一般的なファイル名: RunFallGuys.exe
偽装名:なし
検出名: W32.Auto:c326d1.in03.Talos
SHA 256:125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645
MD5: 2c8ea737a232fd03ab80db672d50a17a
一般的なファイル名: LwssPlayer.scr
偽装名:梦想之巅幻灯播放器
検出名: Auto.125E12.241442.in02
SHA 256:c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0
MD5: 8c69830a50fb85d8a794fa46643493b2
一般的なファイル名:AAct.exe
Claimed Product: N/A
検出名:PUA.Win.Dropper.Generic::1201
本稿は 2022 年 09 月 22 日に Talos Group のブログに投稿された「Threat Source newsletter (Sept. 22, 2022) — Attackers are already using student loan relief for scams」の抄訳です。