2023 年上半期のサプライチェーン攻撃の振り返り
今週も脅威情報ニュースレターをお届けします。
先週の『Talos Takes』のエピソード
の収録後、『半年の総括』レポートをまとめている同僚の Hazel を手伝っていたのですが、2023 年に起きたことをもうすっかり忘れていたことに気付きました。
プライベートも仕事も何かと目まぐるしい日々が続いていますが、セキュリティコミュニティにとって、ときどき一歩引いてその年にすでに起こったことを振り返り、それが今後数か月について何を物語っているかを考えることは重要だと思います。
私の場合、半年の総括を読み、ポッドキャストで振り返ってみて気付いたのは、サプライチェーン攻撃についてすっかり忘れていたことでした。なぜかと考えてみたところ、MOVEit ファイル転送ソフトウェアの侵害事件と、その後に発生したデータ侵害と情報漏洩が想像を絶するほど大きな問題なので、後回しにしてしまったからだと思います。現時点では、ほぼすべての Fortune 500 企業が何らかの形でこの影響を受けています。
MOVEit のデータ侵害の危険性は拡大し続けています。現在、Clop は Torrent を使用して標的の情報を漏洩させているので、攻撃者が漏洩した情報を素早くダウンロードでき、危険が増大しかねません。
ランサムウェアグループ Clop のリークサイトに掲載される企業名が増えていき、上場企業がデータの流出や盗難の可能性について公表しなければならない状況からわかるように、影響を受けた組織の数は日々増えています。ところがこの事件をめぐっては、「X 社が Clop のリークサイトに掲載された」といった通常のニュース記事としてしか扱われておらず、サプライチェーン攻撃の危険性については深く考察されていないようです。
上述したように、サプライチェーン攻撃について十分な振り返りができていません。今年だけでも、MOVEit(これは単なるデータ侵害ではなく「従来型」のサプライチェーン攻撃のようなものだと思います。というのも、MOVEit の侵害がさらに多くのデータ侵害につながっているからです)、3CX、継続的インテグレーション プラットフォーム ベンダーである CircleCI に対する攻撃を目にしてきました。
3CX は事件発生当時は大きく取り上げられましたが、半年の総括を見ると、あっという間に話題が移ってしまったように感じます。その代わりにたびたびニュースの見出しを飾っているのは、相変わらずランサムウェア攻撃や大物狩りです。セキュリティ情勢において、そうした事件の重要性が低いわけではないことは確かです。ただ、セキュリティのソーシャルメディアで最新情報をいち早く探すことばかりしていては、その日の出来事に振り回されるだけで終わってしまいます。
今後数週間にわたって BlackHat と「ハッカーサマーキャンプ」が開催されます。一歩下がって今年これまでに起こったことを振り返るには今がちょうどいいタイミングだと思います。個人的な成功やチームの勝利、あるいは 2 月に起きたことでもう忘れてしまったようなことについて少し振り返る時間を作ってみるのもよいかもしれません。
重要な情報
Talos の研究者は最近、ベトナム発祥と思われる正体不明の攻撃グループを発見しました。遅くとも 6 月 4 日にはランサムウェア攻撃を開始しています。現在進行中のこの攻撃では、Yashma ランサムウェアの亜種が使用されています。WannaCry の特徴を模倣した攻撃であり、複数の地域が標的になっているようです。攻撃者は、通常とは異なる手法を使用して身代金要求メッセージを配信しています。バイナリに身代金要求メッセージの内容を埋め込むのではなく、埋め込みバッチファイルを実行することで、攻撃者が管理する GitHub リポジトリから身代金要求メッセージをダウンロードする仕組みになっています。
注意すべき理由
この新たな攻撃グループは、英語圏の国々、ブルガリア、中国、ベトナムなど、世界中のユーザーと企業を標的にしているようです。このマルウェアに感染した被害者は、ビットコインで身代金を支払うよう要求され、感染後 3 日以内に支払わなければ身代金の額が 2 倍になります。さらにこの Yashma の亜種は、平均的なランサムウェアよりも復旧が難しいようです。ファイルを暗号化した後、暗号化されていない元のファイルの内容を消去し、ファイル名を「?」に変更するようになっています。
必要な対策
Cisco Secure Endpoint ユーザーは、Orbital Advanced Search を使用して複雑な OSquery を実行し、エンドポイントが特定の脅威に感染しているかどうかを確認できます。この脅威に対応する具体的な OSquery については、こちらをクリックしてください。さらに、このマルウェアを検出し、防御するための数多くの保護機能もあります。こちらの Talos のブログ記事で説明していますのでご覧ください。
今週のセキュリティ関連のトップニュース
ランサムウェア攻撃を受けた大規模な医療システムがコンピュータシステムをオフラインにせざるを得なくなり、全米の数十の病院と医療施設で現在も復旧作業が継続。このインシデントは、カリフォルニア州、コネチカット州、ペンシルベニア州、ロードアイランド州で病院と外来診療施設を運営する医療チェーン Prospect Medical Holdings が先週初めて公表したものです。一部の緊急治療室を閉鎖し、救急車を他の施設に回さなければならなくなったとの発表がなされています。FBI は、原因の調査と攻撃者の特定を開始すると発表しました。放射線科や心臓病の診療科などの外来診療施設は同社のコンピュータシステムを使用しなければ機能しないため、一時的にすべて閉鎖せざるを得ませんでした(情報源:CBS News、NBC News)。
かつて企業の体面を汚してセキュリティを強化させたことで知られる悪名高いハッカー集団 Cult of the Dead Cow が、プライバシーを最優先する新しいアプリケーション フレームワークの立ち上げを計画。このシステムを使用すれば、個人と企業がユーザーの個人データを保持しないソーシャルメディアやメッセージングアプリを作成できるようになります。従来型のソーシャルメディア企業は、特定の層にリーチしたい広告主などの企業に情報を売ることで大部分の利益を上げています。近々開催される DEF CON カンファレンスで、Cult of the Dead Cow の代表者が同フレームワークについてさらに詳しく説明するとみられています。考案者によると、同フレームワークは独自の「Veilid」プロトコルを使用してエンドツーエンドの暗号化を行うことで、政府でさえも適切な承認なしにアプリの情報を閲覧することが困難になるとのことです。ただし現段階ではまだ、Veilid と互換性のあるアプリを設計するよう開発者や企業に働きかけているところです(情報源:Washington Post、DarkReading)。
今週、英国の選挙委員会が「複雑なサイバー攻撃」の標的になったことを公表。数百万人の有権者の個人情報が流出した可能性があります。同委員会によると、攻撃者は 2021 年 8 月から選挙人名簿のコピーを盗んでいましたが、侵害が発覚したのは 2022 年 10 月だったとのことです。具体的にどのファイルにアクセスされたのかについては、まだ「最終的には」わかっていません。選挙委員会から提出されたこの攻撃に関する初期の報告書では、名簿に記載されていた個人データは、そこに記載されている個人に「高いリスク」をもたらすものではなかったとされています。ただし、他の公開情報や別の攻撃で盗まれたデータとこの攻撃で流出した情報を組み合わせれば「個人を特定し、どのような人物か把握できる」可能性があります。攻撃者は 10 月に侵害が発覚した直後にネットワークから排除されています(情報源:Infosecurity Magazine、BBC)。
Talos が発信している情報
- ランサムウェア Rhysida について Cisco Talos が確認した情報
- コードの流出により、新たなランサムウェア攻撃グループが急増
- 知っておきたいこと:商用スパイウェアとは何か
- Microsoft 社が 8 月のセキュリティ更新プログラムで 6 件の「緊急」の脆弱性を公開
- Cisco Talos が VPNFilter 発見後に確認した SOHO ルータの欠陥を解説
- 中国とブルガリアの組織を標的とした新たなランサムウェア攻撃が発生、容疑者はベトナムのハッカー集団
- サイバー犯罪組織のずさんなセキュリティによって生み出される新世代のランサムウェア集団
Talos が参加予定のイベント
BlackHat (8 月 5 日~ 10 日)
ネバダ州ラスベガス
Grace Hopper Celebration (9 月 26 日~ 29 日)
フロリダ州オーランド
Caitlin Huey、Susan Paskey、Alexis Merritt が、「情報チェックをお忘れなく:脅威インテリジェンスでインシデント対応を加速」と題した「レベルアップラボ」を開催します。セキュリティインシデント調査における脅威インテリジェンスの重要性に重点を置いたアクティビティを速いペースで進行します。参加者はインシデント対応者として、このセッションを通して展開する模擬インシデントを調査していきます。定期的にチェックポイントを設け、インシデント対応と脅威インテリジェンスが実際のセキュリティ調査でどのように補完し合うかについてディスカッションを行います。
ATT&CKcon 4.0 (10 月 24 日~ 25 日)
バージニア州マクリーン
Nicole Hoffman と James Nutland が「1 つの拠り所:ATT&CK を活用した攻撃者追跡の実践」と題したプレゼンテーションで、MITRE ATT&CK フレームワークについて解説します。MITRE ATT&CK はサイバー脅威インテリジェンス報告の業界標準となっていますが、その手法が何のコンテキストもなくレポートやブログの末尾に付記されていることが多々あります。レポートやブログが配布された後に ATT&CK の手法が再び目にされることはなく、インテリジェンスの作成者にとっても利用者にとっても有益ではありません。このプレゼンテーションでは Nicole と James が、ATT&CK をガイドラインとして使用してコンテキストに基づいたナレッジベースを構築し、攻撃者を追跡する方法をアナリストに紹介します。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5: 7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名: c0dwjdi6a.dll
偽装名:なし
検出名: Trojan.GenericKD.33515991
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5: 2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名: VID001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201
SHA 256:1c25a55f121d4fe4344914e4d5c89747b838506090717f3fb749852b2d8109b6
MD5: 4c9a8e82a41a41323d941391767f63f7
一般的なファイル名: !!Mreader.exe
偽装名:なし
検出名: Win.Dropper.Generic::sheath
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5: 7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名: c0dwjdi6a.dll
偽装名:なし
検出名:Trojan.GenericKD.33515991
SHA 256:7bf7550ae929d6fea87140ab70e6444250581c87a990e74c1cd7f0df5661575b
MD5: f5e908f1fac5f98ec63e3ec355ef6279
一般的なファイル名: IMG001.exe
偽装名:なし
検出名: Win.Dropper.Coinminer::tpd
本稿は 2023 年 08 月 10 日に Talos Group
Tags:
