脅威リサーチ

攻撃グループが発表するプレスリリースの狙いとは

TALOS Japan
2023年10月2日

今週も脅威情報ニュースレターをお届けします。

私はもともと記者だったこともあり、これまでかなりの数のプレスリリースを目にしてきました。そんな私から見ても、先週ある攻撃グループが発表したプレスリリースのような代物を見たのは間違いなく初めてです。

MGM 社に対する大規模なサイバー攻撃について、ALPHV（別名 BlackCat）が犯行声明を出しました。標的となった MGM 社は、リゾート、ギャンブル、スポーツ賭博事業を展開しており、カジノを大規模に運営していることで知られています。今回の攻撃により、同社のスロットマシンや宿泊予約システムなどが停止し、火曜日現在も依然としてその余波を受けています。

このインシデントについては主要なニュースメディアがこぞって取り上げました。にもかかわらず、攻撃犯は自ら声明を発表し、何が起こったのかを正確に「明らかにする」ことを望んだのです。攻撃グループが最新情報やプレスリリースめいた告知を投稿することは、これまでにも時折ありました。ですが、ALPHV のリークサイトに掲載されたこのプレスリリース（リークサイトそのものにリンクされているわけではないのでご心配なく）は、私から見れば、意図せずして秀逸なコメディになっていました。

まず第一に攻撃グループは、MGM 社が身代金支払いの交渉を始めるために攻撃犯に連絡を取る際、用意しておいた正式な連絡ルートを使わなかったとして同社に非難を浴びせています。

「MGM 社はメールに返信する際、別の IT 担当者にやり取りの内容を読まれないようにするために用意しておいた専用リンクを使用しなかった。そのせいで当方は、話し合いに参加している MGM 社のユーザーが、当方とやり取りを行うことを MGM の経営陣に認められた人物なのか見極めることができなかった」と声明には記載されています。

仮に個人を特定できる情報（PII）が盗まれていたとしたら、Web サイト「Have I Been Pwned?」で確実に個人情報が公開されるだろうとの記述もあります。なお、実際に PII を盗んだとは言及していません。

さらに、複数の報道機関が誤った情報を伝えたこと、容疑者の特定を急ぎすぎたことについて触れ、「犯人と目される攻撃者が使用した戦術、手法、手順は一般に知られているもので誰でも比較的簡単に真似できる」という理由で報道機関が ALPHV を凡庸な攻撃グループだと判断したとして、勝利宣言を行っています。

この声明文の全体的な論調からは、自分たちには何も非はないと攻撃犯が思っていることが読み取れ、MGM 社が早い段階で適切なルートを使って攻撃犯に接触し早期に交渉していれば、事態はもっとスムーズに進んだはずだとほのめかす内容になっています。

ここで私が疑問に思ったのは、ALPHV は何を狙ってこんな声明を出したのかということです。報道機関が今回の攻撃には「Scattered Spider」という攻撃者グループが関与していると伝えたことに憤慨し、誰の犯行なのかを知らしめようとしたのでしょうか。あるいは、MGM 社の代表者に非難を浴びせ、世論の圧力をかけることによって、同社が連絡を取ってきて身代金を支払うという結論に至ることを期待したのかもしれません。

声明を見る限り、ALPHV はこの一件については自分たちに「非はない」と本気で思われたいようですが、ALPHV に同情する人間がダーク Web 界隈以外に存在するかどうかは定かではありません。

重要な情報

Talos の研究者はこのほど、「HTTPSnoop」という新しいマルウェアファミリが展開されていることを発見しました。標的にされているのは中東の通信会社です。HTTPSnoop はシンプルながら実効性の高いバックドアで、Windows の HTTP カーネルドライバやデバイスとやり取りして HTTP/HTTPS URL の受信リクエストをリッスンし、感染したエンドポイントでそのコンテンツを実行するという新しい手法を導入しています。「PipeSnoop」という「HTTPSnoop」によく似たインプラントも発見しました。PipeSnoop には、名前付きパイプから任意のシェルコードを受け取り、感染したエンドポイントで実行する機能があります。この 2 つの新しいツールには、「ShroudedSnooper」というグループが関わっています。

注意すべき理由

ここ数年、巧妙化した攻撃者が頻繁に通信業界を標的にする傾向が見られますが、今回確認された活動はこの傾向が続いていることを示しています。Talos インシデント対応チームのデータによれば、2022 年に一貫して最も狙われていたのが通信業界でした。ただ、ShroudedSnooper は新興グループであまり知られていないため、このまま通信業界だけを狙い続けるかどうかはわかりません。同グループはさまざまなマルウェアを自在に使いこなして感染したマシンにバックドアを仕込み、その後の攻撃やマルウェアのインストールを行ったり、感染したエンドポイントで任意のシェルコードを実行したりします。

必要な対策

Talos は、通信先の感染システムが Microsoft Exchange Web Services（EWS）API をホストしているサーバーであるかのように見える特定の URL パターンを発見しました。この URL はポート 443 と 444 を使用しており、キーワードとして「ews」と「autodiscover」がパスに含まれていました。リンク先のブログ記事にはパターンのリストが掲載されており、感染の可能性のあるシステムが実際に感染しているかどうかを調べることができます。Cisco Secure 製品でご利用いただける検出用コンテンツも多数紹介しています。

今週のセキュリティ関連のトップニュース

Apple 社が今週、iOS 17 の「ロックダウンモード」に待望のアップデートをリリース、最近世界的に増加しているスパイウェア攻撃に対処。iPhone と iPad に加え、Apple Watch でもロックダウンモードが動作するようになりました。Apple Watch が次第にスパイウェアの標的になりはじめているため、この対応は注目に値します。また、ロックダウンモードが有効な場合、写真から位置情報を削除し、安全でない Wi-Fi ネットワークを自動的にブロックする新機能もリリースされています。Apple 社をはじめとする携帯電話メーカーは現在、「スティングレイ」とも呼ばれる基地局シミュレータが使用されていることへの対策に取り組んでいます。シミュレータにより偽装された基地局は、携帯電話の位置を追跡し、デバイスが接続した後の通話やメッセージを傍受します。Google 社も今年初め、基地局に接続する際にデバイスの通信内容が常に暗号化されるようにする新機能をリリースしています（情報源：TechCrunch 、Electronic Frontier Foundation ）。

米国サイバーセキュリティ インフラストラクチャ セキュリティ庁（CISA）が、公共水道事業をはじめとする重要インフラに無料でセキュリティスキャンを行う新たなプログラムを発表。CISA が専用のスキャナを実行し、水道施設の脆弱性とインターネットに接続しているエンドポイント上の脆弱な構成を特定するというものです。その後、発見された欠陥や脆弱性についてレポートを作成し、推奨事項のリストを水道施設に送ります。また、攻撃で狙われる可能性のある施設が問題を解決するために適切な手順を踏んでいるかどうかを判断するため、追加でスキャンを行う提案をします。新プログラムの冊子には、「新たに登録した水道事業者は、スキャン開始から数か月以内に検出される脆弱性の数が大幅に減少する」との確約が記載されています（情報源：StateScoop 、CISA ）。

米国がハイテク企業 Huawei のサーバーに侵入し、サイバー攻撃と情報窃盗を行っていたと中国政府が非難。この活動は 2009 年に始まった可能性があるとしています。中国国家安全省は水曜日、告発の概要について WeChat アカウントに投稿しました。投稿には「TAO（Office of Tailored Access Operations）が 2009 年に Huawei 本社のサーバーに侵入を開始し、監視活動を継続していた」と書かれています。米中間の緊張が高まる中、両国は今年、スパイ行為を行っているとして互いに非難を繰り返しています。中国はまた、米国国家安全保障局が中国やロシアをはじめとする他国の政府からデータを盗む目的でバックドアツールをインストールし、「世界中の多くの国の何千ものネットワークデバイス上で密かに実行している」と非難しました（情報源：Nikkei Asia 、The Register ）。

Talos が発信している情報

Talos が参加予定のイベント

LABScon （9 月 20 日～ 23 日）

アリゾナ州スコッツデール

Vitor Ventura がプレゼンテーションを行い、破綻寸前だったサイバー傭兵企業が、完全に機能するスパイウェアを持つようになるまでの詳細な説明とタイムラインについて説明します。同スパイウェアの標的は iOS と Android で、ワンクリックのゼロデイ攻撃（ゼロデイエクスプロイト）を仕掛けます。

Grace Hopper Celebration （9 月 26 日～ 29 日）

フロリダ州オーランド

Caitlin Huey、Susan Paskey、Alexis Merritt が、「情報チェックをお忘れなく：脅威インテリジェンスでインシデント対応を加速」と題した「レベルアップラボ」を開催します。セキュリティインシデント調査における脅威インテリジェンスの重要性に重点を置いたアクティビティを速いペースで進行します。参加者はインシデント対応者として、このセッションを通して展開する模擬インシデントを調査していきます。定期的にチェックポイントを設け、インシデント対応と脅威インテリジェンスが実際のセキュリティ調査でどのように補完し合うかについてディスカッションを行います。

ATT&CKcon 4.0 （10 月 24 日～ 25 日）

バージニア州マクリーン

Nicole Hoffman と James Nutland が「1 つの拠り所：ATT&CK を活用した攻撃者追跡の実践」と題したプレゼンテーションで、MITRE ATT&CK フレームワークについて解説します。MITRE ATT&CK はサイバー脅威インテリジェンス報告の業界標準となっていますが、その手法が何のコンテキストもなくレポートやブログの末尾に付記されていることが多々あります。レポートやブログが配布された後に ATT&CK の手法が再び目にされることはなく、インテリジェンスの作成者にとっても利用者にとっても有益ではありません。このプレゼンテーションでは Nicole と James が、ATT&CK をガイドラインとして使用してコンテキストに基づいたナレッジベースを構築し、攻撃者を追跡する方法をアナリストに紹介します。

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256：7f66d4580871e3ee6a35c8fef6da7ab26a93ba36b80279625328aaf184435efa
MD5： e9a6b1346d1a2447cabb980f3cc5dd27
一般的なファイル名：профиль 10 класс.exe
偽装名：なし
検出名： Application_Blocker

SHA 256：e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5： 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名： Wextract
偽装名：Internet Explorer
検出名： PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 256：bea312ccbc8a912d4322b45ea64d69bb3add4d818fd1eb7723260b11d76a138a
MD5：200206279107f4a2bb1832e3fcd7d64c
一般的なファイル名： lsgkozfm.bat
偽装名：なし
検出名： Win.Dropper.Scar::tpd

SHA 256：e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5： a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名： AAct.exe
偽装名：なし
検出名： PUA.Win.Tool.Kmsauto::1201

SHA 256：0e2263d4f239a5c39960ffa6b6b688faa7fc3075e130fe0d4599d5b95ef20647
MD5： bbcf7a68f4164a9f5f5cb2d9f30d9790
一般的なファイル名： bbcf7a68f4164a9f5f5cb2d9f30d9790.vir
偽装名：なし
検出名： Win.Dropper.Scar::1201