今週も脅威情報ニュースレターをお届けします。
私たちの心は今、トルコとシリアの人々、そして今回の痛ましい地震の被害を受けた人たちとともにあります。Cisco Foundation は、現地で災害救援活動を行っている団体を支援するためのマッチング寄付キャンペーンを実施しています。一人の人間として、これほど遠く離れたところにいる人たちに実効的な支援の手を差し伸べる方法を見つけるのは難しいといつも痛感します。セキュリティに携わる立場としては、改めて注意喚起したいことがあります。犯罪者たちが自らの利益のために皆さんの共感とこの状況を利用するということです。人の優しさにつけ込んで金儲けしようとするフィッシング詐欺、マルバタイジング、タイポスクワットには十分注意してください。寄付する前に、少し立ち止まって考えてみることが重要です。寄付しようとしている団体は本当に支援活動を行っているでしょうか。そして何より、サイバー犯罪者の懐を潤すようなことにならないでしょうか。
重要な情報
ランサムウェアとコモディティ型ローダーは、脅威の最前線に居座ったままです。ランサムウェア環境は絶えず変化しており、地政学的環境の変化、防御側の対策、法執行機関の取り組みに適応し続けています。こうした状況を背景に、名称変更、活動停止、新たな戦略的協力関係の構築を行うグループが出てきています。Cisco Talos は 2022 年に関連する動向をいくつか確認しており、その活動内容はランサムウェアとコモディティ型ローダーに関するサマリーレポートで紹介しています。
注意すべき理由
ランサムウェアについて、その目的、被害者像、TTP などの最新動向を把握すると、ランサムウェア攻撃を効果的に防御し、よく理解して対応できるようになります。このところ国家が支援する攻撃者の攻撃に劇的な変化が見られており、今後攻撃者のあらゆるレベルにこの変化が波及していくものと思われます。
必要な対策
知識こそが鍵です。これからも Talos が公開する調査にご注目ください。調査結果に照らして現在の環境を検証することが大切です。
今週のセキュリティ関連のトップニュース
今週、オランダ警察が犯罪者向けメッセージサービス「Exclu」を閉鎖し、一斉取り締まりを行いました。オランダ、ドイツ、ベルギーで 79 箇所を捜索し、42 人を逮捕しています。今回の閉鎖により、サイバー犯罪者のエコシステムにおけるメッセージアプリの使用を阻止するために当局が行っている取り組みが明らかになりました。Exclu はサイバー犯罪者と麻薬の売人だけを対象としていたという点で他に類を見ない特殊なサービスだったわけですが、2023 年に進化を遂げそうなサイバー犯罪の通信手段が垣間見えてきます(情報源:DarkReading)。
盛んに悪用されているゼロデイ脆弱性のエクスプロイトコードがリリースされました。インターネットに公開されている GoAnywhere MFT 管理者コンソールに影響を与えるものです。GoAnywhere MFT は Web ベースで管理されるファイル転送ツールであり、取引相手にファイルを安全に転送し、共有ファイルに誰がアクセスしたかを監査ログに保持できるように設計されています(情報源:Bleepingcomputer)。
Talos が発信している情報
- https://blog.talosintelligence.com/ransomware-and-commodity-loader-topic-summary-report-cisco-talos-year-in-review-2022/
- https://blog.talosintelligence.com/threat-landscape-topic-summary-report-cisco-talos-year-in-review-2022/
- https://talosintelligence.com/podcasts/shows/beers_with_talos
Talos が参加予定のイベント
Cisco Live Amsterdam(2 月 6 日~ 10 日)
アムステルダム(オランダ)
WiCyS(2023 年 3 月 16 日~ 18 日)
コロラド州デンバー
RSA(2023 年 4 月 24 日~ 27 日)
カリフォルニア州サンフランシスコ
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名:A9CE7F0974.tmp
偽装名:なし
検出名:Simple_Custom_Detection
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5:93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:W32.File.MalParent
SHA 256:125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645
MD5:2c8ea737a232fd03ab80db672d50a17a
一般的なファイル名:software.Scr
偽装名:梦想之巅幻灯播放器
検出名:Auto.125E12.241442.in02
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5:93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:de3908adc431d1e66656199063acbb83f2b2bfc4d21f02076fe381bb97afc423
MD5:954a5fc664c23a7a97e09850accdfe8e
一般的なファイル名:teams15
偽装名:なし
検出名:Gen:Variant.MSILHeracles.59885
本稿は 2023 年 02 月 09 日に Talos Group のブログに投稿された「Threat Source newsletter (Feb. 9, 2023): Don’t let criminals exploit your empathy」の抄訳です。