今週も脅威情報ニュースレターをお届けします。
この数週間、サイバー犯罪者向けのオンラインフォーラムに対して、世界各地の法執行機関が素晴らしい成果を上げています。
3 月 23 日、FBI はサイバー犯罪者が利用するオンライン マーケットプレイス BreachForums を閉鎖に追い込んだと発表しました。盗まれたユーザー情報が売買されるサイトとして知られており、同サイトの設立者であり主要な管理者だと思われる 20 歳の容疑者も逮捕されています。
続いて先週は「クッキーモンスター作戦」が実行されました。複数の国際機関による共同作戦であり、同様のダーク Web フォーラム Genesis Market を閉鎖に追い込み、ユーザーと管理者合わせて数十人の容疑者を逮捕しています。
一連の逮捕と国際連携には重要な意味があります。機密性の高い情報を扱うことで知られ、活発に活動する一部のサイバー犯罪者の資金源となっているサイトを閉鎖に追い込んだからです。Genesis Market は世界各地で侵害を受けたコンピュータ上のデータの販売に関わっており、米国司法省の推定によると、その数は 150 万台を超え、アカウントにアクセスするための 8,000 万を超えるログイン情報が含まれていたとのことです。また、英国家犯罪対策庁(NCA)は、盗み出したデータに応じてわずか 70 セントから数百ドルほどでログイン情報が販売されていたと発表しました。
しかし、こうしたサイトのユーザーベースは巨大であるのが常で(結局のところ、盗み出されたログイン情報は誰かが買っていたはずです)、FBI によると、今回の閉鎖の時点で BreachForums の会員数は 34 万人でした。「クッキーモンスター作戦」についての報告では、Genesis Market の登録ユーザー数は 5 万 9,000 人となっています。
そのため、こうしたサイトを閉鎖に追い込んだことは素晴らしいことですが、これからもサイバー犯罪者にサービスを提供するサイトが現れ、それも 1 つでは済まないだろうと思わずにはいられません。どんな機関であっても、34 万人もの人を逮捕するのは不可能です。一握りの管理者に対し、しばらくの間インターネットへのアクセスを制限したとしても、他の 33 万 9,000 人は新たな活動拠点を探すことでしょう。
2021 年 3 月に、当時ボットネットの中でも特に悪名が高かった Emotet の活動を停止させたとして、今回成果を上げた機関の一部が称賛されました。セキュリティニュースを追っている人はご存知でしょうが、Emotet は実際には消滅していませんでした。Talos の調査によると、ほんの一月ほど前に Emotet の活動再開が確認されています。
BreachForums の前身である RaidForums も、2022 年 4 月に活動停止に追い込まれ、数名の管理者と共犯者が逮捕されました。
いろいろ述べましたが、悪質なマーケットプレイスの閉鎖とオフライン化に関して、この数週間で大きな成果があったのは事実であり、それを割り引いて考える必要はありません。ただ数年もすれば、また同じようなニュースだと感じることも多いのかもしれません。だからこそ、セキュリティコミュニティは今後とも決して気を緩めず、何度か大きな勝利を収めたからといってダーク Web フォーラムが永久に消えてなくなるとは思い込まないことが重要です。
重要な情報
4 月の Microsoft 月例セキュリティ更新プログラムにはまたしても、Windows 共通ログ ファイル システム ドライバのゼロデイ脆弱性が含まれていました。それが CVE-2023-28252 であり、攻撃者が SYSTEM 権限を取得できる可能性があります。Microsoft 社によると活発に悪用されているとのことです。米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)はすでに「既知の悪用された脆弱性カタログ」にこの脆弱性を追加しており、連邦機関に対し、早急にパッチを適用するよう求めています。Microsoft 社は昨年 9 月にも、特権昇格の可能性がある今回と同様のゼロデイ脆弱性 CVE-2022-37969 を公表しています。
注意すべき理由
この脆弱性はすでに Nokoyawa ランサムウェア攻撃で悪用されていると、セキュリティ研究者から報告されています。できる限り早くこの問題のパッチを適用することが重要です。Nokoyawa ランサムウェアは、64 ビット Windows システムを標的に二重脅迫攻撃を仕掛けることで知られています。つまり攻撃者は、標的のファイルを暗号化してから、身代金を支払わなければファイルを流出させると脅迫してきます。
必要な対策
Microsoft 社からパッチが提供されているので、まだ更新していない Windows ユーザーは今すぐ更新するようにしてください。Talos も、月例セキュリティ更新プログラムで対応された CVE-2023-28252 とその他の脆弱性を対象とした新しい Snort 検出カバレッジをリリースしています。
今週のセキュリティ関連のトップニュース
先週、複数のソーシャルメディアチャネルに大量の極秘軍事文書と画像が流出。この中には、ロシアによるウクライナへの侵攻と中国の軍事計画に関する機密情報が含まれている可能性があるとのことです。画像はまず Discord チャネルで公開され、最終的に Telegram メッセージアプリ、人気フォーラム 4Chan、そして Twitter といった幅広く利用されているソーシャルメディアサイトへと広がっていきました。米国司法省と米国国防総省は、流出を確認するとすぐに正式な調査を開始しました。ウクライナ当局は、流出に関与したとしてロシアの攻撃者を非難し、画像の信憑性に疑問を投げかけています。一方ロシアは、デマ情報を拡散しようとしているとして西側政府を非難しました(情報源:Bellingcat、New York Times)。
Apple 社が、2 件のゼロデイ脆弱性に対するパッチをリリース。攻撃者の間で広く悪用されていた脆弱性で、現行バージョンと旧バージョンの iOS、iPadOS、macOS、Safari が標的になっていました。この 2 件の脆弱性 CVE-2023-28206 と CVE-2023-28205 によって、任意のコードが実行されてしまう危険性があります。CVE-2023-28206 の脆弱性が悪用された場合、攻撃者がカーネル権限でコードを実行する恐れがあります。Apple 社は当初、現行の iPhone と他のデバイスでこの問題に対するパッチを適用し、数日後に iPhone 8 など古いハードウェアに対して修正を施しました。Apple 社がゼロデイ脆弱性にパッチを適用するのは、今年に入ってこれで 3 回目です(情報源:SC Media、Security Week)。
空港、ホテル、ショッピングセンターのような共用スペースに設置されている公共の充電ステーションの使用を避けるよう、今週 FBI が利用者に再度警告。公共の USB ポートを使用して「マルウェアと監視ソフトをデバイスに導入する」方法を攻撃者が見つけたとのことです。米国連邦通信委員会は利用者に対し、公共の充電ステーションを利用するのではなく、自分の USB ケーブルと充電器を持ち歩いてコンセントに直接つなぐよう勧めています。ただし、FBI のデンバー支局のツイートを見る限り、改めて警告を促す必要があるような攻撃はこのところ見られていないようです(情報源:Axios、NBC News)。
Talos が発信している情報
- 攻撃者がフィッシング詐欺に AI や最新のツールを使用、巧妙になるその手口とは
- 戦場における脅威ハンティング、サイバーセキュリティに対する脅威にどう対応しているのか
- シスコ、GISEC 2023 で Cisco Talos の報告に基づく最新のセキュリティ動向を発表
- 注目のセキュリティ研究者:自宅のパソコン修理を学ぶことから始めた Giannis Tziakouris が、今では世界中のネットワークの問題を解決
Talos が参加予定のイベント
RSA (4 月 24 日~ 27 日)
カリフォルニア州サンフランシスコ
Cisco Talos インシデント対応:On Air (4 月 27 日)
仮想
Cisco Live U.S. (6 月 4 日~ 8 日)
ラスベガス(ネバダ州)
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5: 2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名: VID001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201
SHA 256:e248b01e3ccde76b4d8e8077d4fcb4d0b70e5200bf4e738b45a0bd28fbc2cae6
MD5: 1e2a99ae43d6365148d412b5dfee0e1c
一般的なファイル名: PDFpower.exe
偽装名: PdfPower
検出名: Win32.Adware.Generic.SSO.TALOS
SHA 256:f3d5815e844319d78da574e2ec5cd0b9dd0712347622f1122f1cb821bb421f8f
MD5: a2d60b5c01a305af1ac76c95e12fdf4a
一般的なファイル名: KMSAuto.exe
偽装名:なし
検出名: W32.File.MalParent
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5: 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名: Wextract
偽装名: Internet Explorer
検出名: PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:00ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725
MD5: d47fa115154927113b05bd3c8a308201
一般的なファイル名: mssqlsrv.exe
偽装名:なし
検出名: Trojan.GenericKD.65065311
本稿は 2023 年 04 月 13 日に Talos Group のブログに投稿された「Threat Source newsletter (April 13, 2023) — Dark web forum whac-a-mole」の抄訳です。