今週も脅威情報ニュースレターをお届けします。
先週まで、詐欺のタイミングが重要であると考えたことは一度もありませんでした。普段は特に時間を決めずにメールやテキストメッセージをチェックしているので、もし悪事を企む人間にとって千載一遇のタイミングで詐欺を仕掛けられたらどうなるかなど考えたこともなかったのです。
それは先週、妻の身に起こった事件でした。
休暇中の出来事で、私は友人数名と数時間ランチに出かけており、その間、妻と残りの友人たちは子供たちをプールで少し遊ばせていました。
妻が見知らぬ番号からテキストメッセージを受け取ったのはそのときです。身に覚えのない少額の Zelle(デジタル決済サービス)の支払いを確認するようにという内容でした。それから 1 分も経たないうちに、銀行員を名乗る人物から同じ番号で電話があり、この取引は詐欺ではないか、取引を確認し、詐欺ならキャンセルするので個人情報を教えてくれないかと言われました。
いつもなら、電話を保留にして、本当に銀行からかかってきたのか Google で番号を調べるか、オンライン口座にログインして最近の取引を確認するかしていたはずです。問題は、妻にとって最悪のタイミングで詐欺電話がかかってきたことでした。このとき妻は生後 10 か月の娘のおむつを替えていました。もう少しでお昼寝の時間だったので、濡れた水着を着替えさせ、娘を泣き止ませようとしていたのです。
すでにパニック状態だった彼女は(海辺の暑さで疲れ切っていたのは言うまでもありません)、電話に出て相手の話を聞いているうちにだんだんイライラしてきたそうで、できるだけ早く電話を切って娘の面倒を見たいという一心から、お金をだまし取られそうになっていないか確認してもらおうとしました。
幸い、妻がスピーカー通話にした後、友人たちも話の内容を聞いて一様に怪しい電話だと気づいたので、彼女は重要な情報を詐欺犯に教える前に電話を切りました。
実際の被害には遭わなかったものの、今回のことで、詐欺のタイミングと緊急性によって結果が大きく異なることについて考えさせられました。もし自分がおむつ交換の最中で、お金のことで面倒な心配をしなければならないとしたら、同じように詐欺に引っかかりそうにならなかったかどうかわかりません。あるいは、もし妻が車に乗っていて、インターネットも使えなくて友人もいないときに電話がかかってきたとしたら、どうなっていたでしょうか?
今回はたまたま詐欺犯にとってタイミングが良かっただけですが、偶然のこととは言え、あと一歩でうまくいっていたのです。妻が詐欺に遭いかけた話を取り上げたのは、話のネタだとか、そんなつもりではありません。ただ、誰もがいつでもこの種の詐欺に巻き込まれかねないこと、そして相手がおむつを交換しなければならないかどうかを詐欺犯が気にかけることはないという現実を知っていただきたかったのです。
重要な情報
サイバー犯罪者が Advanced Installer(ソフトウェアパッケージの作成に使用される正規の Windows ツール)を悪用して、暗号通貨マイニングマルウェアを感染マシンにドロップしていることが Cisco Talos の新しい調査で明らかになりました。この攻撃は一昨年末には開始されており、フランス語圏のユーザーが標的となっているらしく、3D モデリングソフトウェアを利用するグラフィックデザイナーやエンジニアが主に狙われているようです。GPU の消費電力が大きいこの種のソフトウェアは暗号通貨のマイニングにも非常に役立つことから、そうしたソフトウェアを使用するユーザーがサイバー犯罪者の標的になっていると考えられます。
注意すべき理由
この攻撃で標的にされている業種を具体的に挙げると、建築、エンジニアリング、建設、製造、エンターテインメントなどですが、使用しているコンピュータの種類に関係なく、誰もが暗号通貨マイニングマルウェアの標的になる可能性があります。また、攻撃者は Advanced Installer を使用しているので、この攻撃で使用されているバックドアが検出されずにすり抜けることが少なくありません。
必要な対策
Cisco Secure Endpoint ユーザーは、Orbital Advanced Search を使用して複雑な OSquery を実行し、エンドポイントが特定の脅威に感染しているかどうかを確認できます。また GPU の使用状況を知りたい場合は、Windows ならタスクマネージャ、Mac ならアクティビティモニターを使用して、マシンの処理能力が何に使われているかを確認できます。この攻撃について取り上げた Talos のブログで紹介している Cisco Secure のセキュリティ製品もご利用いただけます。
今週のセキュリティ関連のトップニュース
世界各国の学生が学校に戻ったここ数週間、教育機関に対するサイバー攻撃に再び注目が集まる。新学期が始まるこの時期は、学校や大学のシステムが 1 年のうちで最も負荷が高くなるため、教育機関が攻撃者の標的にされることが少なくありません。ロンドン北部のある学校は、サイバー攻撃により始業を 6 日遅らせることを余儀なくされました。その数日後、英国の民間セキュリティ会社は学校の幹部たちに対して、現在のシステムでは高度な攻撃に対して対応できない可能性があると警告を出しました。ミネアポリスの学区でもデータ流出事件が発生し、10 万人以上の個人情報が盗まれた可能性があります。この攻撃については、ランサムウェアグループ Medusa が犯行声明を発表しています。攻撃者がネットワークに侵入したのは 2 月ですが、同校区は先週、生徒と保護者宛にデータ侵害に関する調査結果を送付しました(情報源:The Record by Recorded Future、Yahoo! News、BBC)。
FBI が先週、悪名高い Qakbot ボットネットの解体に成功したことを発表。「Duck Hunt 作戦」と呼ばれるものであり、FBI は解体作戦の一環で、Qakbot に感染したデバイスからマルウェアをアンインストールするための内製ツールを展開しました。また、国際的な法執行機関も、米国とヨーロッパ全土にある Qakbot のインフラを押収しています。今回の解体について米国当局が発表したところによると、過去 18 か月間で Qakbot によるランサムウェア攻撃が 40 件以上発生し、5,800 万ドルの身代金が支払われたとのことです。当局は Qakbot から数百万ドル相当の暗号通貨も押収しており、元の所有者への返還に努めています。ただし、Qakbot の運営者と開発者がまだ逮捕されておらず、通常、この手のボットネットは解体後に再生する方法を見つけるため、ボットネットの活動がなくなることはないだろうとセキュリティ研究者は警告しています(情報源:BankInfoSecurity、TechCrunch)。
「Wired」のリサーチャーとレポーターにより明らかになった、攻撃グループ Trickbot のリーダーの 1 人の正体。Trickbot の開発者として知られる「Bentley」と「Manuel」というオンライン名を使用しているのは 41 歳の人物だとされています。今回の調査では、ロシア政府および他のサイバー犯罪組織と Trickbot がつながっている可能性も明らかになりました。昨年流出した Trickbot のグループメッセージ数千件の中には機密情報が含まれており、研究者らはその情報を使用して同グループの活動の一部を明らかにすることができました。流出したメッセージには、Trickbot および Conti ランサムウェア集団を指揮している CEO らしき 1 人の人物も登場し、両グループの活動に関する最新情報を毎日受け取っている様子がわかります(情報源:Wired、NISOS)。
Talos が発信している情報
- 『Talos Takes』エピソード #153:にわかに信じがたい Lazarus Group の活動再開
- 脆弱性のまとめ:情報漏洩と不正アクセスにつながる Open Automation Software Platform の 8 件の脆弱性
- ハッカーによるオープンソースのマルウェア「SapphireStealer」の改変により、複数の亜種が登場
- Cisco Talos の調査:英国と米国の企業を狙った Lazarus Group による新たなマルウェア攻撃
- ハッカー最大の標的は依然として医療機関であることがシスコの報告で判明
Talos が参加予定のイベント
LABScon (9 月 20 日~ 23 日)
アリゾナ州スコッツデール
Vitor Ventura がプレゼンテーションを行い、破綻寸前だったサイバー傭兵企業が、完全に機能するスパイウェアを持つようになるまでの詳細な説明とタイムラインについて説明します。同スパイウェアの標的は iOS と Android で、ワンクリックのゼロデイ攻撃(ゼロデイエクスプロイト)を仕掛けます。
Grace Hopper Celebration (9 月 26 日~ 29 日)
フロリダ州オーランド
Caitlin Huey、Susan Paskey、Alexis Merritt が、「情報チェックをお忘れなく:脅威インテリジェンスでインシデント対応を加速」と題した「レベルアップラボ」を開催します。セキュリティインシデント調査における脅威インテリジェンスの重要性に重点を置いたアクティビティを速いペースで進行します。参加者はインシデント対応者として、このセッションを通して展開する模擬インシデントを調査していきます。定期的にチェックポイントを設け、インシデント対応と脅威インテリジェンスが実際のセキュリティ調査でどのように補完し合うかについてディスカッションを行います。
ATT&CKcon 4.0 (10 月 24 日~ 25 日)
バージニア州マクリーン
Nicole Hoffman と James Nutland が「1 つの拠り所:ATT&CK を活用した攻撃者追跡の実践」と題したプレゼンテーションで、MITRE ATT&CK フレームワークについて解説します。MITRE ATT&CK はサイバー脅威インテリジェンス報告の業界標準となっていますが、その手法が何のコンテキストもなくレポートやブログの末尾に付記されていることが多々あります。レポートやブログが配布された後に ATT&CK の手法が再び目にされることはなく、インテリジェンスの作成者にとっても利用者にとっても有益ではありません。このプレゼンテーションでは Nicole と James が、ATT&CK をガイドラインとして使用してコンテキストに基づいたナレッジベースを構築し、攻撃者を追跡する方法をアナリストに紹介します。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:d5219579eec1819d52761730a72ce7a95ee3f598fcfd9a4b86d1010ea103e827
MD5: bf357485cf123a72a46cc896a5c4b62d
一般的なファイル名:bf357485cf123a72a46cc896a5c4b62d.virus
偽装名:なし
検出名: W32.Auto:d5219579ee.in03.Talos
SHA 256:1fa0222e5ae2b891fa9c2dad1f63a9b26901d825dc6d6b9dcc6258a985f4f9ab
MD5: 4c648967aeac81b18b53a3cb357120f4
一般的なファイル名:iptjqbjtb.exe
偽装名:なし
検出名: Win.Dropper.Scar::1201
SHA 256:975517668a3fe020f1dbb1caafde7180fd9216dcbf0ea147675ec287287f86aa
MD5: 9403425a34e0c78a919681a09e5c16da
一般的なファイル名:vincpsarzh.exe
偽装名:なし
検出名: Win.Dropper.Scar::tpd
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5: 7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名: c0dwjdi6a.dll
偽装名:なし
検出名:Trojan.GenericKD.33515991
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5: 2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名:VID001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201
本稿は 2023 年 09 月 7 日に Talos Group のブログに投稿された「A secondhand account of the worst possible timing for a scammer to strike」の抄訳です。