Cisco Japan Blog

脅威情報ニュースレター(2022 年 9 月 22 日):学生ローン救済計画を利用した詐欺が早くも発生

1 min read



今週も脅威情報ニュースレターをお届けします。

攻撃者はあらゆるニュースを攻撃に利用します。コロナ禍米朝関係も利用されていますし、11 月になると年末商戦を狙った攻撃が展開されるのもおなじみとなっています。

ですから、ジョー・バイデン米大統領が発表した学生ローン返済免除計画が詐欺やフィッシングメールpopup_iconですでに利用されていると聞いたときも、私はまったく驚きませんでした。

Better Business Bureaupopup_icon米国連邦取引委員会popup_iconは、この債務免除計画(最大で 2 万ドルの学生ローン返済を免除)に関連する偽のオファー、詐欺、Web サイトリンクに関する警告をこの数週間で相次いで発表しています。

これらの詐欺の多くpopup_iconは、電話、テキストメッセージ、電子メールを通じて行われており、免除プログラムへのアクセスを保証すると約束したり、有料で先行申請できると謳ったりしています(そのようなことは実際にはできません)。氏名、住所、出身大学名などを尋ねて、個人情報を聞き出そうとすることもあります。

こうしたニュースを聞くだけで、フィッシングメールの内容が目に浮かぶようです。「今すぐこのリンクをクリックして、バイデン大統領のローン免除プログラムに申請しましょう」、「1 万ドルの小切手が手に入るチャンスをお見逃しなく!」。この種の電子メールを使用してマルウェアが拡散されているという報告は今週の時点でまだないようですが、そうなるのも時間の問題でしょう。

これは今に始まった問題ではありません。Tech Transparency Project の 7 月の調査popup_iconによると、学生ローン関連の Google 広告の 12% 近くが Google のポリシーに違反しているか、「詐欺の特徴」が見られました。

というわけで、10 月上旬から始まると報道されている学生ローン免除申請の正しい状況について、皆様に何点か注意喚起しておきたいと思います。

  • 9 月 22 日現在、学生ローンの一部免除を受けるための正式な申請手段は提供されていません。これと異なる情報は一切信じないようにしてください。
  • このプログラムに先行アクセスする方法は提供されていません。有償でアクセス情報を提供するという話は詐欺である可能性が高いと思われます。
  • 米国教育省が、このプログラムについて連絡するために電話をかけてくることはありませんpopup_icon。電話で情報を要求されても、提供しないようにしてください。
  • メールに表示される情報はすべて信頼できるとは限りませんので、注意が必要です。また、攻撃者が虚偽の書類を郵送してくる可能性もあります。
  • いつも言っていることですが、うまい話には裏があります。

重要な情報

ウクライナがまた、国家の支援を受けた攻撃者の標的になっています。Gamaredon APT が、ウクライナの組織やユーザーに情報窃取型のマルウェアを配布しています。Gamaredon は数年前から活動している悪名高い攻撃者で、通常、ロシアの国益に沿った攻撃活動を展開します。攻撃者は不正ドキュメントを使用しており、ロシアのウクライナ侵攻に関連する話題で標的を誘い込もうとしています。カスタムメイドの情報窃取マルウェアインプラントが使用されていることが Talos の研究者によって確認されました。このインプラントは、被害者の環境から関心のあるファイルを盗み出す機能と、攻撃者の指示に従って追加のペイロードを展開する機能を備えています。

注意すべき理由

Gamaredon は、ウクライナの機関、特に政府機関や重要インフラを積極的に標的にしています。いずれも、ロシアの侵攻を受けているウクライナで保護すべき重要な産業であり、今後も国家の支援を受けた攻撃者に定期的に狙われる可能性が高いと思われます。また、先週の『Talos Takes』でもお話ししましたが、Gamaredon の活動がウクライナ以外にも広がる可能性があります。

必要な対策

この攻撃者の活動から保護するための新しい製品保護が Cisco Secure に導入されています。また、この攻撃の標的になったおそれがある場合、次の 2 つのアーティファクトがシステムに存在していれば、侵害された可能性があります。

  • 「Windows Task」という永続化のためのレジストリキーが HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run に作成されている。
  • Global\flashupdate_r というミューテックスが作成されている。

今週のセキュリティ関連のトップニュース

ライドシェアアプリの Uber 社が、最近データ侵害を受けたとして Lapsus$ ランサムウェアグループを非難しました。同社によると、この攻撃者はサードパーティの請負業者のログイン情報を盗み、そのユーザーを騙して多要素認証のリクエストを承認させ、Uber 社の複数の内部システムにアクセスしました。Uber 社は、侵害が判明した直後に米国司法省と FBI に通報しており、現在も調査を続けています。クラウドプロバイダーに保存されていた顧客データやユーザーデータにはアクセスされなかったようですが、社内の財務チームの内部メッセージや情報がダウンロードされました(情報源:ZDNetpopup_iconWashington Postpopup_icon)。

ニューヨーク州のサフォーク郡がサイバー攻撃を受けて、複数の行政機能が影響を受けました。現在も回復作業が続けられています。同郡の 911 システムは火曜日の時点でもまだ稼働しておらず、対応担当者は代わりにペンと紙を使用して緊急通報を追跡せざるを得なくなっています。また、身元確認を行う際にはニューヨーク市警察の助けを借りることも必要になっています。攻撃者は、一部住民の個人情報を窃取して漏洩させた可能性があり、盗んだドキュメントの画像をダーク Web に投稿したとされています。攻撃者は、コンピュータにアクセスできるようにする見返りとして「少額」の金銭を要求したと述べています(情報源:NBC 4 New Yorkpopup_iconNewsdaypopup_icon)。

VMware 社と Microsoft 社の新しい調査によると、ChromeLoader マルウェアの危険性がかつてなく高まっています。両社のセキュリティ研究者によると、このマルウェアは、初めはブラウザを乗っ取ってログイン情報を窃取する目的で使用されていましたが、現在はランサムウェアを配布して機密情報を窃取するために使用されています。この数週間で、ChromeLoader の更新バージョンを使用した攻撃が数百件発生しており、教育業界、政府機関、医療業界、ビジネスサービス業界のエンタープライズ ネットワークが標的になっています。ChromeLoader は、OpenSubtitles などの正規の Chrome ブラウザサービスやプラグインに偽装されています。OpenSubtitles は、人気のあるテレビ番組や映画の字幕を見つけられるサイトです(情報源:Dark Readingpopup_iconThe Registerpopup_icon)。

Talos 関連の情報

Talos が参加予定のイベント

シスコ セキュリティ ソリューション エキスパート セッション popup_icon10 11 日、13 日)

オンライン

GovWare 2022 popup_icon10 18 日~ 20 日)

シンガポール、Sands Expo & Convention Centre

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 2569f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507popup_icon

MD52915b3f8b703eb744fc54c81f4a9c67f

一般的なファイル名:VID001.exe  

偽装名:なし

検出名:Win.Worm.Coinminer::1201

SHA 256e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934popup_icon
MD5 93fefc3e88ffb78abb36365fa5cf857c  
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 256c326d1c65c72eb66f5f5c0a84b1dcf3e8a79b69fffbd7a6e232b813ffbb23254popup_icon

MD5 8a5f8ed00adbdfb1ab8a2bb8016aafc1

一般的なファイル名: RunFallGuys.exe

偽装名:なし

検出名: W32.Auto:c326d1.in03.Talos

SHA 256125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645popup_icon

MD5 2c8ea737a232fd03ab80db672d50a17a

一般的なファイル名: LwssPlayer.scr

偽装名:梦想之巅幻灯播放器

検出名: Auto.125E12.241442.in02

SHA 256c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0popup_icon

MD5 8c69830a50fb85d8a794fa46643493b2

一般的なファイル名:AAct.exe 

Claimed Product: N/A

検出名:PUA.Win.Dropper.Generic::1201 

 

本稿は 2022 年 09 月 22 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Sept. 22, 2022) — Attackers are already using student loan relief for scamspopup_icon」の抄訳です。

 

コメントを書く