今週も脅威情報ニュースレターをお届けします。
今週は Jon が休暇を取っているので、私が代わりを務めます。何を取り上げようかと考えていたら、『Slotherhouse』という新しいホラー映画が頭に浮かびました。この映画の記事を読んだばかりだったのですが、なんと殺人犯はナマケモノなのです(傑作であることだけは予想できます)。それはさておき、今週は、オープンソースに関連したことをいくつか取り上げます。
まず、攻撃者側から見ていきます。マルウェアの公開サイトにはツールが追加され続けており、ますます多くの攻撃者が利用するようになっています。たとえば後で紹介する情報窃取マルウェア「SapphireStealer」などです。
Cisco Talos のアウトリーチ責任者である Nick Biasini に、現時点での 2023 年の最大のトレンドについて話を聞いたところ、悪意のあるオープンソースツールの使用が増加傾向にあるとのことでした。このことは、ランサムウェア攻撃や恐喝行為があちこちで立て続けに発生している大きな理由になっています。攻撃者はオンラインで必要なツールを見つけ、自分たちのニーズに合わせて改変しています。多くの場合は、検出防止機能が追加されています。
2023 年の傾向といえば、1 本あたり 1 ~ 2 分の動画をまとめた新しいプレイリストをアップロードしたところです。ランサムウェアの進化、商用スパイウェアの増加、サプライチェーン攻撃など、今年これまでに見られた最大の脅威に関する Nick の見解と解説を紹介するものです。プレイリストは、こちらをクリック
してご覧ください。予告編として、ここでは 2023 年のランサムウェアの進化について Nick が解説している動画を紹介しておきます。
一方セキュリティ担当者にとっては、オープンソースはもちろん、学習とスキルアップに活用することができ、自分が発見したものをセキュリティコミュニティと共有するために使用できる最も重要な手段の 1 つです。それが、Talos がオープンソースのソフトウェアを作成し、無料で公開している理由でもあります。
世界で最も頭脳明晰な Talos の研究者が開発したオープンソースのツールについてご存じない方がいましたら、ぜひチェックしてみてください。27 種類程のツールがあり、talosintelligence.com/software の Web サイトと GitHub でダウンロードできます。その中でも最新かつ最高のツールが NIM-IDA-FLIRT Generator です。
ところで、つい先ほど読んだのですが、『Slotherhouse』の目玉は殺人ナマケモノだけではなく、名前はアルファで、日本刀で武装しているとのことです。チケットを買おうと思います。
重要な情報
オープンソースの情報窃取マルウェアである SapphireStealer は、2022 年 12 月に初めてリリースされて以来、マルウェアの公開リポジトリでよく確認されるようになっています。SapphireStealer は新種の情報窃取マルウェアの一例であり、各種ブラウザのログイン情報データベースや、機密性の高いユーザー情報を含んでいそうなファイルを簡単に窃取することに主眼を置いた設計となっています。
情報窃取マルウェアは非常に古くから存在していましたが、このところ Talos は、さまざまな非合法のフォーラムやマーケットプレイスにおいて、新しい情報窃取マルウェアの販売やレンタルが増加している状況を確認しています。
注意すべき理由
新しいオープンソースのマルウェアのコードベースがリリースされた後によくあることですが、攻撃者はすぐに行動を起こし、実験的な試みを始めました。中には、追加機能をサポートできるように SapphireStealer の拡張まで行ったほか、他のツールを使用して SapphireStealer の感染検出が難しくなるようにした攻撃者もいます(この状況も、脅威環境全体で増加傾向にあります)。金銭的な動機のある攻撃者にとって、情報窃取マルウェアは相変わらず人気のある選択肢です。なぜなら、情報窃取マルウェアを使用すれば、簡単に機密情報を侵害して他の攻撃者に情報を流せるからです。
必要な対策
Edmund Brumaghin による包括的なブログでは、SapphireStealer の背景情報と同ツールに関する Talos の研究が取り上げられており、健全な運用セキュリティの維持に支障をきたす、攻撃者側が犯したいくつかの失敗例を示すケーススタディも紹介されています。また、Snort SID と IOC(侵入の痕跡)も記載されています。
今週のセキュリティ関連のトップニュース
- 先手を打つ「Duck Hunt」作戦により、70 万台の感染マシンから Qakbot マルウェアを除去。この類のものでは最大級の作戦であり、連邦法執行機関が、最も広く長期にわたって使用されているボットネットの 1 つに対して断固とした措置を講じたことになります。米司法省によると、この作戦の結果、数十万台のデバイスから Qakbot が「無力化」されました。TechCrunch は、「司法省はサイバー犯罪組織 Qakbot から 860 万ドル以上の暗号通貨を押収したことも発表しており、全額が被害者に返還される」と伝えています(情報源:Dark Reading、TechCrunch)。
- TLD の名前によっては動作がおかしくなり、DNS に不具合が発生。2023 年 5 月 3 日、Google は新しいトップレベルドメイン(TLD)である「.zip」を導入しました。複数のセキュリティ企業が、この導入によって混乱が生じる恐れがあると警告したため、論争が巻き起こっています。先ごろ、Talos の研究者 Jaeson Schultz が Google の決定がもたらす影響について記事を書いており、最悪のシナリオでは、パブリック DNS のドメイン名なのか、プライベートネットワーク内のリソース名なのかがわからなくなり、機密データが意図しない受信者の手に渡る可能性があると指摘しています(Talos ブログ)。
- OpenAI が ChatGPT のビジネス版を発表、「企業グレードのセキュリティ」を約束。OpenAI は、クライアント固有のプロンプトとデータをモデルのトレーニングに使用することはないと言明しています。SecurityWeek は記事で、「新しい ChatGPT Enterprise のセキュリティ重視の機能は、LLM(大規模言語モデル)アルゴリズムを使用する際の、知的財産の保護と機密性の高い企業データの完全性に関して現在も続いているビジネス上の懸念に対処することを意図したものだ」と伝えています(情報源:SecurityWeek)。
Talos が発信している情報
- 『Beers with Talos』エピソード #138:「セキュリティを破ってみせよう」「こっちが先に侵入しようじゃないか」(バービーと攻撃的セキュリティの邂逅)
- 『Talos Takes』エピソード #152:インシデント対応は対面とオンラインのどちらで行うべきか(両方のアプローチのプラス面とマイナス面を聞く)
- ブログ:Black Hat USA 2023 NOC:ネットワークアシュアランス(Black Hat USA 2023 でシスコと Talos がいかにネットワーク保護に貢献したかについての素晴らしい記事です)
- 『Security Stories』エピソード #69:Jeremy Maxwell 氏に聞く、サイバーセキュリティ インシデントへの備え(Talos インシデント対応チームのお客様である Jeremy Maxwell 氏の組織が、規制の厳しい業界でどのようにサイバーセキュリティ インシデントにプロアクティブに対応しているかについて話を聞いています)
Talos が参加予定のイベント
LABScon (9 月 20 日~ 23 日)
アリゾナ州スコッツデール
Vitor Ventura がプレゼンテーションを行い、破綻寸前だったサイバー傭兵企業が、完全に機能するスパイウェアを持つようになるまでの詳細な説明とタイムラインについて説明します。同スパイウェアの標的は iOS と Android で、ワンクリックのゼロデイ攻撃(ゼロデイエクスプロイト)を仕掛けます。
Grace Hopper Celebration (9 月 26 日~ 29 日)
フロリダ州オーランド
Caitlin Huey、Susan Paskey、Alexis Merritt が、「情報チェックをお忘れなく:脅威インテリジェンスでインシデント対応を加速」と題した「レベルアップラボ」を開催します。セキュリティインシデント調査における脅威インテリジェンスの重要性に重点を置いたアクティビティを速いペースで進行します。参加者はインシデント対応者として、このセッションを通して展開する模擬インシデントを調査していきます。定期的にチェックポイントを設け、インシデント対応と脅威インテリジェンスが実際のセキュリティ調査でどのように補完し合うかについてディスカッションを行います。
ATT&CKcon 4.0 (10 月 24 日~ 25 日)
バージニア州マクリーン
Nicole Hoffman と James Nutland が「1 つの拠り所:ATT&CK を活用した攻撃者追跡の実践」と題したプレゼンテーションで、MITRE ATT&CK フレームワークについて解説します。MITRE ATT&CK はサイバー脅威インテリジェンス報告の業界標準となっていますが、その手法が何のコンテキストもなくレポートやブログの末尾に付記されていることが多々あります。レポートやブログが配布された後に ATT&CK の手法が再び目にされることはなく、インテリジェンスの作成者にとっても利用者にとっても有益ではありません。このプレゼンテーションでは Nicole と James が、ATT&CK をガイドラインとして使用してコンテキストに基づいたナレッジベースを構築し、攻撃者を追跡する方法をアナリストに紹介します。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5:7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名:c0dwjdi6a.dll
偽装名:なし
検出名:Trojan.GenericKD.33515991
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201
SHA 256:1c25a55f121d4fe4344914e4d5c89747b838506090717f3fb749852b2d8109b6
MD5:4c9a8e82a41a41323d941391767f63f7
一般的なファイル名:!!Mreader.exe
偽装名:なし
検出名:Win.Dropper.Generic::sheath
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5:7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名:c0dwjdi6a.dll
偽装名:なし
検出名:Trojan.GenericKD.33515991
SHA 256:7bf7550ae929d6fea87140ab70e6444250581c87a990e74c1cd7f0df5661575b
MD5:f5e908f1fac5f98ec63e3ec355ef6279
一般的なファイル名:IMG001.exe
偽装名:なし
検出名:Win.Dropper.Coinminer::tpd
本稿は 2023 年 08 月 31 日に Talos Group
Authors