今週も脅威情報ニュースレターをお届けします。
1 年に 1 度は必ず深刻なサプライチェーン攻撃が起こるものなのでしょうか。2020 年後半には SolarWinds 社のインシデントがありました(5 年前のことのようにも、昨日のことのようにも思えます)。続いて 2021 年の夏には、ランサムウェアグループの REvil が Kaseya 社の VSA ソフトウェアに侵入しました。そして先週は、3CX 社のデスクトップ ソフトフォン アプリケーションを狙った新たな攻撃が確認されています。
今のところ、3CX 社へのサプライチェーン攻撃の黒幕は、暗号通貨関連の企業や取引所に侵入して金銭を盗み出すことに特に注力しているようです。しかし、Talos では今回の攻撃の全貌をまだ把握できていません。というのも、3CX 社の Web サイトによれば、同社の顧客数は 60 万社以上、1 日あたりの利用者数は 1,200 万人以上にものぼるからです。同社は最近公開したセキュリティインシデントの最新情報の中で、「今回のインシデントを起こしたのは、経験と知識が極めて豊富なハッカー」だと説明しました。
こうして振り返ると、サプライチェーン攻撃に対する防御の重要性について Talos は 3 年間も説き続けているということになります。とはいえこの機会に、同様の攻撃への備えと防止に関して Talos が提供できる情報を一通りまとめておくのがよいと考えました。いくつかのヒントを以下に挙げます。詳細情報を参照しやすいようにリンクも付けました。
- 今回の 3CX 社へのサプライチェーン攻撃による影響を受けている場合は、Cisco Secure および Talos が提供するシスコポートフォリオの幅広い検出機能をご利用いただけます。また、影響を受けるデスクトップ アプリケーションのアンインストール手順が 3CX 社の Web サイトに掲載されています。
- インシデント通知の要件や、セキュリティインシデント発生時のログへのアクセス、重要な緊急連絡先といった厄介なトピックについて、候補となる新しいサードパーティソフトウェアのベンダーと話し合う準備をしましょう。Talos インシデント対応チームがこうした確認事項をブログ記事にまとめています。
- 組織で使用している SaaS アプリケーションのインベントリを作成し、各アプリケーションのビジネスユースケースと、関連するアクセス認証を文書にまとめましょう。SolarWinds 社のインシデントのすぐ後に収録された『Talos Takes』のエピソードで、Nick Biasini と筆者が資産管理の重要性について語っています。
- すべてのアクセス試行を検証するために、組織のセキュリティにゼロトラストアプローチを取り入れましょう。これは、業務上必要な適切な権限のみをネットワーク上の各ユーザーに割り当てるということでもあります。
- サプライチェーン攻撃が発生した場合に対応できるよう、インシデント対応の計画やプレイブックを作成しましょう。Talos インシデント対応チームがサポートいたします。
重要な情報
情報窃取マルウェア Typhon Reborn の開発者がこの度、最新バージョン(V2)をリリースしました。このバージョンではコードベースの大幅な更新と機能の改良が行われています。特に注目される点として、この最新バージョンでは分析回避機能と仮想マシン(VM)回避機能が追加されています。その狙いは、検出を免れることと、分析を困難にすることです。
注意すべき理由
Typhon Reborn V2 は感染先のマシンから機密情報を収集して盗み出す機能を備えており、窃取したデータを Telegram API によって攻撃者に送信します。暗号通貨のウォレットや取引所、VPN クライアント、電子メールおよびメッセージングクライアントへのログイン情報など、機密性が非常に高いデータも狙われています。同マルウェアの最新バージョンはダーク Web フォーラムで販売されており、料金設定は他の情報窃取マルウェアよりも比較的手頃です。このことから、今後のサイバー攻撃で同マルウェアが使用される可能性があると Talos の研究者は考えています。
必要な対策
Talos のブログ記事に、利用可能な Cisco Secure の検出機能の概要をもれなく記載しています。これらの機能を使用すれば、Typhon Reborn V2 の実行を防ぎ、ネットワークへの侵入時にユーザーに通知することができます。
今週のセキュリティ関連のトップニュース
米国議会に提出された「RESTRICT 法」に対し「TikTok 禁止措置」との認識が広がるも、実際の効力は米国内での TikTok 規制にとどまらない見込み。同法案に批判的な意見として、「法案が可決すれば、オンライン マーケットプレイスに対する行政機関の支配が強まり、トラフィックの暗号化とルーティングに利用される VPN など、危険と見なされる可能性がある他のソフトウェアの販売を制限しかねない」という声があります。ホワイトハウスは同法案について、外国政府によるデータ収集を規制することで米国民の安全を守るものだとして、賛成の立場を示しています。ただし同法案の表現では、「敵対的な国」とされている国のソフトウェアを規制するとしか述べていません。現時点で「敵対的な国」に含まれているのは中国、キューバ、イラン、北朝鮮、ロシア、ベネズエラです(情報源:Vice、The Electronic Frontier Foundation)。
国際的な法執行機関が水曜日、人気のサイバー犯罪マーケットプレイスである Genesis Market とつながりがある複数のドメイン名を押収し、管理者とされる数名を逮捕。Genesis Market は、サイバー攻撃によって盗み出されたパスワードなどのデータへのアクセス権を販売していることで知られていました。これらの情報の購入者が被害者の認証クッキーを Web ブラウザに読み込ませ、パスワードを使わずに被害者のオンラインアカウントにアクセスした可能性や、場合によっては多要素認証を回避した可能性があります。報道によると、逮捕状が出されたのは、米国、カナダ、欧州を拠点に同マーケットプレイスに関与していた数名です。今週行われた一連の強制捜査で、英国家犯罪対策庁(NCA)は、同マーケットプレイスを利用した疑いのある 24 人を逮捕しました(情報源:BBC News、Krebs on Security)。
アルコール依存症からの回復をオンラインで支援するスタートアップ企業 Monument 社と Tempest 社が、顧客の健康情報とデータを誤って共有。カリフォルニア州の司法長官に提出されたデータ漏洩通知書によると、両社は長年にわたり、これらのデータを本人の同意なしにサードパーティの広告主に共有していたとのことです。Monument 社(昨年に Tempest 社を買収)は、顧客がアルコール依存症とうまく付き合いながら回復に向かえるよう支援しており、オンラインカウンセリングや匿名フォーラム、薬剤処方サービスを提供しています。提出文書の中で同社は、Google 社や Meta 社が提供しているようなサードパーティの広告トラッキングシステム経由で顧客情報を誤って共有していたと説明しました。広告主に共有されたデータは、顧客(患者)の写真、健康状態やアルコール摂取量に関するオンラインアンケートの回答、個人識別情報(PII)、契約保険会社などです(情報源:TechCrunch、The Verge)。
Talos が発信している情報
- 『Talos Takes』エピソード#133:ChatGPT と AI が防御側と攻撃側にもたらす影響
- 注目の脆弱性:ADMesh ライブラリで発見されたバッファオーバーフローの脆弱性
- 3 月 24 日から 3 月 31 日の 1 週間における脅威のまとめ
- 注目の脆弱性:XXE 攻撃につながり得る ManageEngine OpManager の脆弱性
- 情報窃取マルウェアの Typhon Reborn が検出回避手法を高度化して復活
Talos が参加予定のイベント
RSA (4 月 24 日~ 27 日)
カリフォルニア州サンフランシスコ
Cisco Live U.S. (6 月 4 日~ 8 日)
ラスベガス(ネバダ州)
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:e248b01e3ccde76b4d8e8077d4fcb4d0b70e5200bf4e738b45a0bd28fbc2cae6
MD5:1e2a99ae43d6365148d412b5dfee0e1c
一般的なファイル名: PDFpower.exe
偽装名: PdfPower
検出名: Win32.Adware.Generic.SSO.TALOS
SHA 256:00ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725
MD5: d47fa115154927113b05bd3c8a308201
一般的なファイル名: mssqlsrv.exe
偽装名:なし
検出名: Trojan.GenericKD.65065311
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5: 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名: Wextract
偽装名: Internet Explorer
検出名: PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:de3908adc431d1e66656199063acbb83f2b2bfc4d21f02076fe381bb97afc423
MD5: 954a5fc664c23a7a97e09850accdfe8e
一般的なファイル名: teams15.exe
偽装名: teams15
検出名: Gen:Variant.MSILHeracles.59885
SHA 256:c74e7421f2021b46ee256e5f02d94c1bce15da107c8c997c611055412de1ac1
MD5: 2d16d0af6183803a79d9ef5c744286c4
一般的なファイル名: nano_download.php
偽装名: Web Companion Installer
検出名: W32.1C74E7421F-100.SBX.VIOC
本稿は 2023 年 04 月 06 日に Talos Group のブログに投稿された「Threat Source newsletter (April 6, 2023) — Another friendly reminder about supply chain attacks」の抄訳です。