Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

脅威情報ニュースレター(2023 年 4 月 13 日):次々に閉鎖に追い込まれるダーク Web フォーラム


2023年4月25日

今週も脅威情報ニュースレターをお届けします。

この数週間、サイバー犯罪者向けのオンラインフォーラムに対して、世界各地の法執行機関が素晴らしい成果を上げています。

3 月 23 日、FBI はサイバー犯罪者が利用するオンライン マーケットプレイス BreachForums を閉鎖に追い込んだpopup_iconと発表しました。盗まれたユーザー情報が売買されるサイトとして知られており、同サイトの設立者であり主要な管理者だと思われる 20 歳の容疑者も逮捕されています。

続いて先週は「クッキーモンスター作戦popup_icon」が実行されました。複数の国際機関による共同作戦であり、同様のダーク Web フォーラム Genesis Market を閉鎖に追い込みpopup_icon、ユーザーと管理者合わせて数十人の容疑者を逮捕しています。

一連の逮捕と国際連携には重要な意味があります。機密性の高い情報を扱うことで知られ、活発に活動する一部のサイバー犯罪者の資金源となっているサイトを閉鎖に追い込んだからです。Genesis Market は世界各地で侵害を受けたコンピュータ上のデータの販売に関わっており、米国司法省の推定によると、その数は 150 万台を超え、アカウントにアクセスするための 8,000 万を超えるログイン情報が含まれていたとのことです。また、英国家犯罪対策庁(NCA)は、盗み出したデータに応じてわずか 70 セントから数百ドルほどでログイン情報が販売されていたと発表しました。

しかし、こうしたサイトのユーザーベースは巨大であるのが常で(結局のところ、盗み出されたログイン情報は誰かが買っていたはずです)、FBI によると、今回の閉鎖の時点で BreachForums の会員数は 34 万人でした。「クッキーモンスター作戦」についての報告では、Genesis Market の登録ユーザー数は 5 万 9,000 人となっています。

そのため、こうしたサイトを閉鎖に追い込んだことは素晴らしいことですが、これからもサイバー犯罪者にサービスを提供するサイトが現れ、それも 1 つでは済まないだろうと思わずにはいられません。どんな機関であっても、34 万人もの人を逮捕するのは不可能です。一握りの管理者に対し、しばらくの間インターネットへのアクセスを制限したとしても、他の 33 万 9,000 人は新たな活動拠点を探すことでしょう。

2021 年 3 月に、当時ボットネットの中でも特に悪名が高かった Emotet の活動を停止させたpopup_iconとして、今回成果を上げた機関の一部が称賛されました。セキュリティニュースを追っている人はご存知でしょうが、Emotet は実際には消滅していませんでした。Talos の調査によると、ほんの一月ほど前に Emotet の活動再開が確認されています。

BreachForums の前身である RaidForums も、2022 年 4 月に活動停止に追い込まれpopup_icon、数名の管理者と共犯者が逮捕されました。

いろいろ述べましたが、悪質なマーケットプレイスの閉鎖とオフライン化に関して、この数週間で大きな成果があったのは事実であり、それを割り引いて考える必要はありません。ただ数年もすれば、また同じようなニュースだと感じることも多いのかもしれません。だからこそ、セキュリティコミュニティは今後とも決して気を緩めず、何度か大きな勝利を収めたからといってダーク Web フォーラムが永久に消えてなくなるpopup_iconとは思い込まないことが重要です。

重要な情報

4 月の Microsoft 月例セキュリティ更新プログラムにはまたしても、Windows 共通ログ ファイル システム ドライバのゼロデイ脆弱性が含まれていました。それが CVE-2023-28252 であり、攻撃者が SYSTEM 権限を取得できる可能性があります。Microsoft 社によると活発に悪用されているとのことです。米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)はすでに「既知の悪用された脆弱性カタログ」にこの脆弱性を追加しており、連邦機関に対し、早急にパッチを適用するよう求めています。Microsoft 社は昨年 9 月にも、特権昇格の可能性がある今回と同様のゼロデイ脆弱性 CVE-2022-37969 を公表しています。

注意すべき理由

この脆弱性はすでに Nokoyawa ランサムウェア攻撃で悪用されているpopup_iconと、セキュリティ研究者から報告されています。できる限り早くこの問題のパッチを適用することが重要です。Nokoyawa ランサムウェアは、64 ビット Windows システムを標的に二重脅迫攻撃を仕掛けることで知られています。つまり攻撃者は、標的のファイルを暗号化してから、身代金を支払わなければファイルを流出させると脅迫してきます。

必要な対策

Microsoft 社からパッチが提供されているので、まだ更新していない Windows ユーザーは今すぐ更新するようにしてください。Talos も、月例セキュリティ更新プログラムで対応された CVE-2023-28252 とその他の脆弱性を対象とした新しい Snort 検出カバレッジpopup_iconをリリースしています。

今週のセキュリティ関連のトップニュース

先週、複数のソーシャルメディアチャネルに大量の極秘軍事文書と画像が流出。この中には、ロシアによるウクライナへの侵攻と中国の軍事計画に関する機密情報が含まれている可能性があるとのことです。画像はまず Discord チャネルで公開され、最終的に Telegram メッセージアプリ、人気フォーラム 4Chan、そして Twitter といった幅広く利用されているソーシャルメディアサイトへと広がっていきました。米国司法省と米国国防総省は、流出を確認するとすぐに正式な調査を開始しました。ウクライナ当局は、流出に関与したとしてロシアの攻撃者を非難し、画像の信憑性に疑問を投げかけています。一方ロシアは、デマ情報を拡散しようとしているとして西側政府を非難しました(情報源:Bellingcatpopup_iconNew York Timespopup_icon)。

Apple 社が、2 件のゼロデイ脆弱性に対するパッチをリリース。攻撃者の間で広く悪用されていた脆弱性で、現行バージョンと旧バージョンの iOS、iPadOS、macOS、Safari が標的になっていました。この 2 件の脆弱性 CVE-2023-28206 と CVE-2023-28205 によって、任意のコードが実行されてしまう危険性があります。CVE-2023-28206 の脆弱性が悪用された場合、攻撃者がカーネル権限でコードを実行する恐れがあります。Apple 社は当初、現行の iPhone と他のデバイスでこの問題に対するパッチを適用し、数日後に iPhone 8 など古いハードウェアに対して修正を施しました。Apple 社がゼロデイ脆弱性にパッチを適用するのは、今年に入ってこれで 3 回目です(情報源:SC Mediapopup_iconSecurity Weekpopup_icon)。

空港、ホテル、ショッピングセンターのような共用スペースに設置されている公共の充電ステーションの使用を避けるよう、今週 FBI が利用者に再度警告。公共の USB ポートを使用して「マルウェアと監視ソフトをデバイスに導入する」方法を攻撃者が見つけたとのことです。米国連邦通信委員会は利用者に対し、公共の充電ステーションを利用するのではなく、自分の USB ケーブルと充電器を持ち歩いてコンセントに直接つなぐよう勧めています。ただし、FBI のデンバー支局のツイートを見る限り、改めて警告を促す必要があるような攻撃はこのところ見られていないようです(情報源:Axiospopup_iconNBC Newspopup_icon)。

Talos が発信している情報

Talos が参加予定のイベント

RSA popup_icon4 24 日~ 27 日)

カリフォルニア州サンフランシスコ

Cisco Talos インシデント対応:On Air popup_icon4 27 日)

仮想

Cisco Live U.S.  popup_icon6 4 日~ 8 日)

ラスベガス(ネバダ州)

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 2569f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507popup_icon
MD5 2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名: VID001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201

SHA 256e248b01e3ccde76b4d8e8077d4fcb4d0b70e5200bf4e738b45a0bd28fbc2cae6popup_icon
MD5 1e2a99ae43d6365148d412b5dfee0e1c
一般的なファイル名: PDFpower.exe
偽装名: PdfPower
検出名: Win32.Adware.Generic.SSO.TALOS

SHA 256f3d5815e844319d78da574e2ec5cd0b9dd0712347622f1122f1cb821bb421f8fpopup_icon
MD5 a2d60b5c01a305af1ac76c95e12fdf4a
一般的なファイル名: KMSAuto.exe
偽装名:なし
検出名: W32.File.MalParent

SHA 256e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934popup_icon
MD5 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名: Wextract
偽装名: Internet Explorer
検出名: PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 25600ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725popup_icon
MD5 d47fa115154927113b05bd3c8a308201
一般的なファイル名: mssqlsrv.exe
偽装名:なし
検出名: Trojan.GenericKD.65065311

 

本稿は 2023 年 04 月 13 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (April 13, 2023) — Dark web forum whac-a-molepopup_icon」の抄訳です。

 

Tags:
コメントを書く