古い手口が復活、うんざりするのは歳のせい?
今週も脅威情報ニュースレターをお届けします。
古い手口が新しくなって復活しました。そうは言っても、古臭い手口であるのは変わりません。USB ドライブを使った攻撃が復活するというナンセンスさに、胸はムカムカするし、頭痛はするし、左目が痙攣しています。どうやら足までしびれてきたようです。老化現象なのかもしれませんが、うんざりだという気持ちもあります。ただそれは年齢のせいではなく、昔の手口が新しく生まれ変わるという終わりの見えなさに疲れを感じているからなのです。どうやら人間は過去の経験から学ぶことはできないようです。出所のわからない USB は絶対にデバイスに挿入しないでください。今度こそ、もう二度と USB 関連のインシデントには遭遇したくないものです。
重要な情報
Cisco Talos IR は、2022 年第 4 四半期の『インシデント対応の動向』を投稿しました。今四半期も、Talos IR が対応した最大の脅威はランサムウェアでした。以前から確認されていたランサムウェアファミリもあれば、新たに見つかったランサムウェアファミリもありました。かなりの件数のインシデントでエクスプロイト後の活動も確認されましたが、攻撃者の動機は特定できていません。ランサムウェアと並ぶ今四半期最大の脅威であり、Talos が確認した中で最大の初期アクセスベクトルだったフィッシング攻撃を例にとると、さまざまなエクスプロイト後の活動が見られました。具体的には、ログイン情報の収集を実行するためのコマンド実行、レッドチームフレームワークの展開、リモートアクセスツールのインストールなどです。
注意すべき理由
Talos IR の今四半期のインシデント対応状況を知ることで、自組織の環境を安全に保つために最もセキュリティを強化すべき領域と、どこを重点的に分析する必要があるのかがはっきりします。
必要な対策
今四半期に完了した Talos IR によるすべてのランサムウェア対応業務において、ラテラルムーブメントを行いやすくし、最終的に展開されるランサムウェアの実行ファイルを実行するために、PsExec が使用されました。PsExec と管理共有へのアクセスを無効にしてラテラルムーブメントを制限することを Talos IR では推奨しています。また、Microsoft AppLocker を使用して、攻撃者が一貫して利用してきたツールとファイルをブロックすることをぜひご検討ください。そうすれば、既知の悪意のあるファイルや頻繁に悪用されるファイルに対するセキュリティが追加されます。
今週のセキュリティ関連のトップニュース
CISA と NSA
は 1 月 25 日に、不正な目的での正規のリモートモニタリングおよび管理ソフトウェア(RMM)の使用について詳述する共同アドバイザリを発表しました。この共同アドバイザリは、商用 RMM ソフトウェアの悪用について、サイバーセキュリティ コミュニティに注意を呼びかけるものです。攻撃について詳しく説明されており、軽減策と注意すべき侵害の兆候も示されています。
初期アクセスブローカー(IAB)市場が活況を呈しており、企業に対する脅威が増大しています。調査によると、アンダーグラウンド フォーラムや市場で活動する IAB の数が前年比で急増しているとのことです。ランサムウェア攻撃の実行犯をはじめ、サイバー犯罪者は企業ネットワークへの迅速なアクセスを求めていますが、IAB がその答えとなります(情報源:Dark Reading、GroupIB)。
Talos が発信している情報
- https://blog.talosintelligence.com/quarterly-report-incident-response-trends-in-q4-2022/
- https://blog.talosintelligence.com/threat-landscape-topic-summary-report-cisco-talos-year-in-review-2022/
- https://talosintelligence.com/podcasts/shows/beers_with_talos
- https://talostakes.talosintelligence.com/2018149/12016411-year-in-review-apt-summary-edition
Talos が参加予定のイベント
CactusCon(1 月 27 日~ 28 日)
アリゾナ州メサ
Cisco Live Amsterdam(2 月 6 ~ 10 日)
オランダ、アムステルダム
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:
9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名:VID001.exe
検出名:Simple_Custom_Detection
SHA 256:
e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5:93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:
125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645
MD5:2c8ea737a232fd03ab80db672d50a17a
一般的なファイル名:LwssPlayer.scr
偽装名:梦想之巅幻灯播放器
検出名:Auto.125E12.241442.in02
SHA 256:
1077bff9128cc44f98379e81bd1641e5fbaa81fc9f095b89c10e4d1d2c89274d
MD5:26f927fb7560c11e509f0b8a7e787f79
一般的なファイル名:Iris QuickLinks.exe
偽装名:なし
検出名:W32.File.MalParent
本稿は 2023 年 01 月 26 日に Talos Group
Tags:
