Cisco Japan Blog

ボットネットを利用するマルウェア攻撃とボットネットを切り離して考えるにはどうすればよいか

1 min read



先週のニュースレターで取り上げたように、各国の法執行機関が、最近のボットネットの解体が最大規模の攻撃グループやマルウェアファミリのいくつかに影響を与えたと大きく喧伝しています。

欧州刑事警察機構(ユーロポール)が「ボットネットに対する過去最大の作戦popup_icon」だと発表した「Operation Endgame」の対象となったのは、バンキング型トロイの木馬の IcedID、ランサムウェアの Trickbot、マルウェアローダーの Smokeloader などのマルウェアドロッパーです。

別の掃討作戦では「911 S5」というボットネットが対象となりましたpopup_icon。FBI が発表したところによると、「サイバー攻撃、大規模詐欺、児童搾取、嫌がらせ、爆破予告、輸出違反」にこのボットネットが使用されていました。

ただ、この種の発表では、ボットネットの解体が厳密に何を意味するのかについて混乱が生じている可能性があると思います。以前 LockBit ランサムウェアの事例を取り上げたブログで書いたように、ボットネットやサーバーの停止は確かに攻撃者にとって頭痛の種となりますが、通常は、その活動が完全に遮断され、永久に活動停止に追い込まれるわけではありません。

Operation Endgame や 911 S5 の解体が防御側にとって大きな勝利でないとは言いませんが、ボットネットをマルウェアや攻撃者そのものから切り離して考えることが重要だと思います。

ボットネットについてよく知らない方のために説明すると、マルウェアに感染し、単一の攻撃者や攻撃グループによって制御されているコンピュータまたはその他のインターネット接続デバイスから成るネットワークのことをボットネットと言います。大規模なボットネットは、大量のスパムメールを送信するためや、分散型サービス拒否攻撃(大量の IP アドレスを使って短期間に特定の標的にトラフィックを送信する攻撃)を実行するためによく使用されます。小規模なボットネットは、標的のネットワークに侵入するためや、金銭的な動機を持つボットネット管理者が標的から金銭を盗むために使用されることがあります。

法執行機関がこのようなボットネットからデバイスを削除すれば攻撃実行能力は確かに失われますが、攻撃者が通常使用するランサムウェアなどの最終的なペイロードがなくなるとは限りません。

『Talos Takes』の最新エピソードpopup_iconで Volt Typhoon APT に関連してこの件について議論した際、Cisco Talos 脅威インテリジェンスチームの Kendall McKay は、ボットネットはマルウェアファミリや APT とは別個の存在として考えるべきだと話しました。Volt Typhoon については、FBI が今年初めに中国の APT のボットネットを解体したpopup_iconと発表しましたが、同グループの活動に具体的な影響を及ぼしたかどうかは「まだわからない」と McKay は語っています。

McKay は Emotet や Trickbot の摘発など、過去の大規模なボットネットの解体popup_iconについても触れ、「最終的にこれらの脅威は再び出現し、感染したデバイスはワームのような機能を持っているので再増殖する」と指摘しました。

ですから、今度ボットネット解体という見出しを目にしたら、良いニュースに違いないとしても、影響を受けたマルウェアが永久になくなったと考えるには時期尚早であることも知っておいてください。

重要な情報

今週 Cisco Talos は、遅くとも 2018 年から始まっている「Operation Celestial Force」という新しいマルウェア攻撃について情報を公開しました。現在も続いているこの攻撃では、GravityRAT という Android ベースのマルウェアと、Talos が「HeavyLift」として追跡している Windows ベースのマルウェアローダーが使用されています。この攻撃には Talos が「Cosmic Leopard」と呼んでいるパキスタンの攻撃者グループが関与しており、標的に対するスパイ活動と標的の監視に重点が置かれていると Talos はほぼ確信しています。

注意すべき理由

この攻撃活動は少なくとも過去 6 年間続いていますが、近年、脅威環境の中で全般的に活動が増加しており、高価値の標的を狙ったスパイ活動のために、商用スパイウェアの利用を含めたモバイル向けマルウェアが使用されている状況を Talos は確認しています。この攻撃者がユーザーを狙う一般的な方法は 2 つあり、注意が必要です。1 つは、政府関連の正規の文書や問題に関わる内容に見せかけたスピアフィッシングメールで、もう 1 つはソーシャルメディアを利用したフィッシングです。Twitter や LinkedIn のようなプラットフォーム上のダイレクトメッセージで連絡してくる人物には常に警戒するようにしてください。

必要な対策

Cosmic Leopard のような攻撃者は、ソーシャルエンジニアリングやスピアフィッシングなど、高度な技術的スキルを必要としない手法を用いることもありますが、さまざまな TTP を駆使して被害を与えられそうな標的を積極的に狙います。したがって、そうした動機で標的型攻撃を仕掛ける攻撃者への警戒を怠るわけにはいきません。ユーザーに適切なサイバー衛生教育を行い、多層防御モデルを実装してさまざまな攻撃対象領域への攻撃を防御する必要があります。

今週のセキュリティ関連のトップニュース

潜在的なプライバシーの危険性に関するプライバシー擁護者やセキュリティ技術者からの警告を受け、Microsoft 社が AI サービス Recall の方針変更を発表。Windows 11 の Recall ツールは、ユーザーのアクティビティのスクリーンショットを継続的に取得します。これに対してユーザーが検索を実行して、ファイルを見つけたり、最後に行っていた作業を思い出したりできるという機能です。ただし、Recall が収集したデータはすべてデバイスのローカルに保存されるため、万が一マシンが侵害されると、データが盗まれてしまう可能性があります。今回の発表を受け Recall はオプトインのみとなり、Windows 11 にアップデートして起動すると、デフォルトで機能がオフになります。また、この機能は Windows Hello 認証プロトコルと連動し、自分のタイムラインを見たい人は顔認証や指紋 ID、もしくは固有の PIN でのログインが必要になる予定です。Recall の発表後、セキュリティ研究者の Kevin Beaumont 氏は、この AI を活用した機能がデータをデータベースに平文で保存していることを発見しました。そのため、攻撃者がデータベースとその内容を抽出するツールを簡単に作成できた可能性があります。Microsoft 社はさらに、スクリーンショットと検索インデックスのデータベースを暗号化し、ユーザーが認証した場合にのみ復号されるように対策を講じました(情報源:The Vergepopup_iconCNETpopup_icon)。

クラウドストレージ プロバイダーの Snowflake 社に影響を与えているデータ漏洩は過去最大級のセキュリティ事件になる可能性あり(影響を受けたとされるユーザー数が正確な場合)。Snowflake 社を狙った攻撃への対処を支援しているセキュリティ研究者が今週、金銭的動機を持つサイバー犯罪者が数百人の顧客から「かなりの量のデータ」を盗んだと述べました。Snowflake を使用している 165 もの企業が影響を受けている可能性があります。通常、Snowflake は大量のデータをサーバーに保存するために使用されるため、状況が注目されます。Ticketmaster 社、Santander 銀行、Lending Tree 社に影響を与えたデータ漏洩は、すでに Snowflake 社のインシデントと関連付けられています。今回のデータ漏洩に取り組んでいるインシデント対応者が今週明かしたところによると、流出したログイン情報を使って攻撃者が顧客の Snowflake のインスタンスにアクセスし、価値のあるデータを盗んだとのことです。この攻撃活動は少なくとも 4 月 14 日まで遡ります。オンラインニュースサイト TechCrunch の記者は、マルウェアが Snowflake 社のスタッフのコンピュータに感染した後、Snowflake の顧客のログイン情報数百人分がダーク Web に流出していることも確認しました。この流出リストによって、データ漏洩が最初に公表された時点でパスワードを変更していなかった Snowflake ユーザーや、多要素認証で保護されていない Snowflake ユーザーには引き続きリスクがもたらされます(情報源:TechCrunchpopup_iconWiredpopup_icon)。

ロンドンの複数の大病院に影響を与えたサイバー攻撃の復旧には数か月かかる可能性があると英国の国民保健サービス(NHS)の職員が発言。影響を受けた病院と一般診療所では、合わせて 200 万人の患者に医療を提供しています。血液検査の分析を行う Synnovis 社という民間企業が最近のサイバー攻撃の被害に遭ったため、同社のサービスを利用している病院や一般診療所では診療予約の変更や重要な手術のキャンセルを余儀なくされています。「業務が正常に戻るまでどれくらいの期間がかかるかは不明ですが、何か月もかかるでしょう」と NHS 職員は Guardian 紙に語りました。この攻撃によって、医療施設が通常と同じ頻度で患者の血液型に適合する血液を用意することが難しくなったため、英国では早急に O 型の献血を呼びかけなければなりませんでした。O 型の血液は一般的にすべての患者にとって安全であることが知られており、大手術でもよく使用されます(情報源:BBCpopup_iconThe Guardianpopup_icon)。

Talos が発信している情報

Talos が参加予定のイベント

CISCO CONNECT U.K. popup_icon6 25 日)

ロンドン(英国)

Cisco Talos のエキスパートである Martin Lee Hazel Burton が座談会を行います。近い将来特に顕著となるサイバーセキュリティ脅威の動向と、それらが今後数年間の間に英国の組織に与える影響、安全を確保するための対策について取り上げます。

BlackHat USApopup_icon8 3 日~ 8 日)

ネバダ州ラスベガス

Defconpopup_icon8 8 日~ 11 日)

ネバダ州ラスベガス

BSides Krakowpopup_icon9 14 日)

クラクフ(ポーランド)

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 2562d1a07754e76c65d324ab8e538fa74e5d5eb587acb260f9e56afbcf4f4848be5popup_icon
MD5 d3ee270a07df8e87246305187d471f68
一般的なファイル名: iptray.exe
偽装名:Cisco AMP
検出名: Generic.XMRIGMiner.A.A13F9FCC

SHA 2569b2ebc5d554b33cb661f979db5b9f99d4a2f967639d73653f667370800ee105e popup_icon
MD5 ecbfdbb42cb98a597ef81abea193ac8f
一般的なファイル名:なし
偽装名: MAPIToolkitConsole.exe
検出名:Gen:Variant.Barys.460270

SHA 2569be2103d3418d266de57143c2164b31c27dfa73c22e42137f3fe63a21f793202popup_icon 
MD5e4acf0e303e9f1371f029e013f902262 
一般的なファイル名: FileZilla_3.67.0_win64_sponsored2-setup.exe
偽装名:FileZilla
検出名: W32.Application.27hg.1201

SHA 256a024a18e27707738adcd7b5a740c5a93534b4b8c9d3b947f6d85740af19d17d0 popup_icon
MD5 b4440eea7367c3fb04a89225df4022a6 
一般的なファイル名: Pdfixers.exe
偽装名:Pdfixers
検出名: W32.Superfluss:PUPgenPUP.27gq.1201

SHA 2560e2263d4f239a5c39960ffa6b6b688faa7fc3075e130fe0d4599d5b95ef20647 popup_icon
MD5 bbcf7a68f4164a9f5f5cb2d9f30d9790 
一般的なファイル名: bbcf7a68f4164a9f5f5cb2d9f30d9790.vir
偽装名:なし
検出名: Win.Dropper.Scar::1201

 

本稿は 2024 年 06 月 13 日にTalos Grouppopup_icon のブログに投稿された「How we can separate botnets from the malware operations that rely on thempopup_icon」の抄訳です。

 

コメントを書く