エイプリルフールのドッキリがなくても、インターネットはギョッとすることだらけ
ここ数年、エイプリルフールという「お祭り」騒ぎはすっかり鳴りを潜めてしまったような気がします。今では、ばかげた見出しが毎日ニュースサイトに掲載されており、それ以上にばかばかしい見出しの記事を書くことはまずできません。
また、そんなことよりもっと深刻な問題が数多く起きていることを考えると、たとえ「お祭り」を「祝う」ためとはいえ、フェイクニュースの記事について冗談を述べるのは悪趣味です。
幸いなことにセキュリティの世界では、冗談だと受け取ってもらえるはずだから、毎年 4 月 1 日には何でも好きなことを投稿してよいということにはならないと、すでに全員がわかっていると思います。かくいう私もかなり油断していたせいで、任天堂のエイプリルフールのネタ
にすっかり騙されてしまいました。任天堂が VR ゲームをプレイできる Switch 用の「バーチャルボーイ」ボックスをリリースするという冗談ですが、決してあり得ないことではないと思ったからです。
ただ、少なくとも今年の 4 月 1 日に私が見た限りでは、ランサムウェア攻撃者が『フォートナイト』のゲーム内通貨で支払いを要求したとか、本来はインターネットに接続する必要のない、インターネット対応の家庭用品が発売されたといったエイプリルフールの冗談で誰かを「騙そう」とした人はいませんでした(実はスマート枕というものが存在します)。
それでなくてもネットには「悪魔のマクドナルド」のデジタル加工写真が出回っており、Twitter の AI が日食に関するフェイクニュースを生成しています。さらに、誤った情報や AI が生成した写真のほか、でっち上げるのもためらわれるようなものが続々と出てくることが確実な次期米大統領選を控えているのです。
というわけで、セキュリティコミュニティの皆さん、エイプリルフールはもうやめにしませんか?私たちの生活は、わざわざ嘘の見出しを自分たちで作り出さなくても、もう十分ストレスにあふれています。
重要な情報
Talos は、ベトナムを拠点とし、金銭目的で活動していると思われる新たな攻撃グループ「CoralRaider」を発見しました。遅くとも 2023 年から活動しており、アジアおよび東南アジア諸国を標的にしています。CoralRaider の主な標的は、ログイン情報、金融取引に関するデータ、ビジネスアカウントや広告アカウントなどのソーシャルメディア アカウントです。CoralRaider は、カスタマイズ版の QuasarRAT 亜種である RotBot と、XClient スティーラー(情報窃取マルウェア)をペイロードとして使用しているようです。CoralRaider はデッドドロップ手法を使用し、正規のサービスを悪用して C2 構成ファイルと、Windows Forfiles.exe や FoDHelper.exe といった、あまり見かけない環境寄生型バイナリ(LoLBin)をホストしています。
注意すべき理由
この新たな攻撃グループは、知名度の高い国家支援の攻撃グループとは従来無縁だったベトナムを拠点としていると思われます。CoralRaider の狙いはソーシャルメディアのログイン情報のようで、被害を受けたアカウントは、後で詐欺、誤った情報、またはあらゆる種類の悪意のあるメッセージを拡散するために利用される可能性があります。
必要な対策
CoralRaider は主に悪意のある LNK ファイルを使用してマルウェアを拡散しますが、これらのファイルがどのように拡散されるのかは現時点では正確にはわかっていません。Microsoft 社がデフォルトでマクロを無効にするようになった後、攻撃者は初期感染経路として LNK ファイルを使用する方向に移行しています。以前は主にマクロを使用してマルウェアが配布されていました。防御担当者は、悪意のある LNK ファイル内の情報によって感染チェーンの詳細を知ることができます。詳しくは、こちらの以前の調査をご覧ください。
今週のセキュリティ関連のトップニュース
セキュリティコミュニティが今も考え続ける XZ バックドアの「もしも」の事態。このバックドアは、攻撃者が悪用する前に発見され、修正されました。数週間前、別のオープンソースプロジェクトに携わっている Microsoft 社の開発者の 1 人が、Linux ディストリビューション向けの xz Utils にバックドアが仕込まれているのをどうやら偶然発見し、セキュリティ研究者と専門家から英雄扱いされています。少なくとも 2 年をかけてこのオープンソース ユーティリティにバックドアを仕込んでいた人物についての情報はほとんどありません。もしこの脆弱性が悪用されていたら、バックドアの作成者はユーザーの SSH 接続をハイジャックし、そのユーザーのマシン上で自作コードを密かに実行できていたと考えられます。このインシデントにより、ネットワーキングがオープンソースプロジェクトに依存している状況が浮き彫りになっています。多くの場合、オープンソースプロジェクトではほとんどリソースが提供されず、通常はエンドユーザーとは何の関係もない個人が単に趣味として、無償でメンテナンスを行っています。xz Utils の本来の作成者は、長年 1 人で取り組んでいましたが、外部のストレス要因や他の仕事の関係でプロジェクトをオープンにせざるを得なくなりました。あわや大惨事となっていたこのインシデントを受け、政府関係者も警戒態勢を敷き、オープンソースソフトウェアを保護する新たな方法を検討しています。(情報源:New York Times、Reuters)
AT&T 社、5,100 万人以上のユーザーがデータ漏洩の影響を受けたと発表。ハッキングフォーラムでは、ユーザーの個人情報が流出しています。ケーブル、インターネット、携帯電話のサービスプロバイダーである同社は、情報の流出経路についてまだ明らかにしていません。この事件は 2021 年に遡ります。当時、攻撃グループ「ShinyHunters」が 100 万ドルでデータを売りに出していましたが、このデータが先月、「MajorNelson」という攻撃グループのハッキングフォーラムで流出しました。影響を受けた顧客宛ての AT&T 社の通知には、「(流出した)情報は個人やアカウントによって異なりますが、氏名、電子メールアドレス、住所、電話番号、社会保障番号、生年月日、AT&T アカウント番号、AT&T パスコードが含まれている可能性があります」と記載されています。同社はまた、義務付けられている正式な通知を米国の各州当局と規制機関に届け出ました。AT&T 社は当初、データが自社のものであることを否定していましたが、記者や研究者らはすぐに、流出した情報が AT&T と DirecTV(AT&T の子会社)のアカウントに関連していることを発見しました。(情報源:BleepingComputer、TechCrunch)
United HealthCare 社のデータ盗難について別のランサムウェアグループが犯行を主張するも、それを証明する証拠はほぼ皆無。最近、United HealthCare 社の子会社である Change Health 社が大規模なデータ漏洩に見舞われ、医師や医療施設に対する数百万ドルの支払いが 1 か月以上滞りました。現在、ランサムウェアグループ RansomHub が 4TB のデータを保有していると主張して United HealthCare 社に金を要求し、支払わなければ、月曜日から 12 日後に最高入札者にデータを売ると脅しています。RansomHub は、窃取した情報には米軍関係者や患者の機密データのほか、医療記録や金融取引情報も含まれていると主張しています。データの盗難については、当初は Blackcat が犯行を表明していましたが、すぐにリークサイトからその投稿を削除しました。RansomHub の代表者が Reuters 社に語ったところによると、計画どおりに支払いが行われなかったことに不満を抱いた Blackcat のアフィリエイトがデータを RansomHub に渡したということです。(情報源:DarkReading、Reuters)
Talos が発信している情報
- 『Talos Takes』エピソード #178:活動開始から 20 年以上を経てもなお新しい手法を試す Turla
- 一部の TP-Link ルータに脆弱性、工場出荷時のデフォルト値にリセットされる可能性あり
- 4 月の月例セキュリティ更新プログラムの脆弱性は 150 件、そのうち 60 件がリモートコード実行につながる可能性
- 金融取引データを狙うベトナムのサイバー犯罪グループ CoralRaider
- CoralRaider に対する防御策:ベトナムのハッカーからデータを保護
Talos が参加予定のイベント
Botconf(4 月 23 ~ 26 日)
コート・ダジュール、ニース(フランス)
Chetan Raghuprasad によるこのプレゼンテーションでは、Supershell C2 フレームワークについて詳しく説明します。攻撃者はこのフレームワークを大規模に使用し、Supershell インプラントを用いてボットネットを作成しています。
CARO ワークショップ 2024(5 月 1 ~ 3 日)
バージニア州アーリントン
比較的最近出現した YoroTrooper による攻撃が、過去 1 年間に大幅に増加していることが確認されています。この攻撃グループは遅くとも 2022 年以降、独立国家共同体(CIS)に対して、スパイ活動を中心に攻撃を仕掛けています。CARO 2024 における Asheer Malhotra のプレゼンテーションでは、YoroTrooper によるさまざまな攻撃の概要を説明します。YoroTrooper が採用しているコモディティ型マルウェアとカスタムマルウェア、YoroTrooper について発見したこと、戦術の進化について詳しく解説する予定です。また、過去 2 年間に CIS の政府機関の要人を標的にした攻撃で、YoroTrooper が侵入に成功した際のタイムラインを紹介します。
RSA(5 月 6 ~ 9 日)
カリフォルニア州サンフランシスコ
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0
MD5: 8c69830a50fb85d8a794fa46643493b2
一般的なファイル名: AAct.exe
偽装名:なし
検出名: PUA.Win.Dropper.Generic::1201
SHA 256:abaa1b89dca9655410f61d64de25990972db95d28738fc93bb7a8a69b347a6a6
MD5: 22ae85259273bc4ea419584293eda886
一般的なファイル名: KMSAuto++ x64.exe
偽装名:KMSAuto++
検出名: W32.File.MalParent
SHA 256:161937ed1502c491748d055287898dd37af96405aeff48c2500b834f6739e72d
MD5: fd743b55d530e0468805de0e83758fe9
一般的なファイル名: KMSAuto Net.exe
偽装名:KMSAuto Net
検出名: PUA.Win.Tool.Kmsauto::1201
SHA 256:b8aec57f7e9c193fcd9796cf22997605624b8b5f9bf5f0c6190e1090d426ee31
MD5: 2fb86be791b4bb4389e55df0fec04eb7
一般的なファイル名: KMSAuto Net.exe
偽装名:KMSAuto Net
検出名:W32.File.MalParent
SHA 256:58d6fec4ba24c32d38c9a0c7c39df3cb0e91f500b323e841121d703c7b718681
MD5: f1fe671bcefd4630e5ed8b87c9283534
一般的なファイル名: KMSAuto Net.exe
偽装名:KMSAuto Net
検出名:PUA.Win.Tool.Hackkms::1201
本稿は 2024 年 04 月 11 日にTalos Group
Tags:
