2024 年もあと数か月となったところで、Talos のアウトリーチ部門の責任者 Nick Biasini に今年のこれまでの脅威状況を聞いてみました。
この動画では、懸念される 2 つの主要分野について Nick が概説しています。今年特に活動が活発化した国家支援型の某攻撃グループ(ヒント:「Bolt Teaspoon」と響きが似ている攻撃グループ)に焦点を当て、情報窃取マルウェアの市場が成熟期に入った理由と、それが防御側にとって問題になる理由についても語っています。
動画の後で、今年これまでにブログで取り上げた注目の脅威を紹介していますので、ぜひ改めて各ブログ記事をご覧ください。
2024 年の脅威リサーチ:
1 月 18 日:悪意のある Windows ドライバに関する分析
ドライバはずっと以前から攻撃者の関心を集めてきました。脆弱なドライバが悪用されたり、悪意のあるドライバが作成されたりしています。悪意のあるドライバの検出は容易ではないため、うまく利用できさえすれば、システムへの完全なアクセスが可能になります。ドライバシリーズのパート 1 では、悪意のあるドライバについて学習するための基本事項を紹介しており、6 月に公開されたパート 2 では I/O システム、IRP、スタック位置、IOCTL などについて取り上げました。
2 月 8 日:イスラム組織を標的とした長期的なサイバースパイ活動で使用された新たなバックドア「Zardoor」
Talos は、遅くとも 2021 年 3 月から継続していると思われる新たなステルス型のスパイ活動を発見しました。確認されたのはイスラム系の非営利団体に影響を与えている攻撃で、これまで報告されていなかったマルウェアファミリのバックドア「Zardoor」(Talos が命名)が使用されています。
2 月 15 日:次世代の TinyTurla:APT グループ Turla がポーランドの NGO をスパイ
Talos が「TinyTurla-NG」(TTNG)と呼ぶこのバックドアは、コーディングスタイルと実装されている機能の点で、Turla が以前に公開したインプラントである TinyTurla に似ていました。
2 月 20 日:主に中南米で展開されている、Google Cloud Run を悪用して Astaroth、Mekotio、Ousaban を拡散するマルウェア攻撃
2023 年 9 月以降、Google Cloud Run サービスを利用してバンキング型トロイの木馬に標的を感染させようとする、悪意のある電子メールの数が大幅に増加している状況を目撃しました。
2 月 27 日:お金に関係していると思わせてメキシコのユーザーを狙う TimbreStealer 攻撃
Talos は、メキシコの被害者を狙ったフィッシングスパム攻撃を確認しました。ユーザーを誘導して難読化された新しい情報窃盗マルウェア(Talos では TimbreStealer と命名)をダウンロードさせるという手口です。遅くとも 2023 年 11 月には攻撃が始まっています。
3 月 5 日:GhostSec によるランサムウェア連携攻撃と、使用する攻撃ツールの進化
Talos は、GhostSec の悪意のある活動がこの 1 年で活発化していることを確認しました。GhostSec は、GhostLocker 2.0 という新たなランサムウェアで進化を遂げました。これは、GhostLocker ランサムウェアの Go 言語亜種です。
4 月 9 日:Starry Addax が新種のマルウェアで北アフリカの人権活動家を攻撃
Talos は、新たな攻撃グループ「Starry Addax」に関する情報を公開しました。主に狙われたのはサハラ・アラブ民主共和国(SADR)を支持している人権活動家で、新種のモバイルマルウェアが使用されていました。
4 月 16 日:一般的に使用されるログイン情報を使った大規模ブルートフォース攻撃が増加、VPN や SSH サービスが標的に
Talos は、世界的に急増しているブルートフォース攻撃を積極的に監視しました。攻撃は遅くとも 2024 年 3 月 18 日から続いており、仮想プライベートネットワーク(VPN)サービス、Web アプリケーション認証インターフェイス、SSH サービスなどが狙われていました。
4 月 17 日:OfflRouter ウイルスが原因でウクライナのユーザーが VirusTotal に機密文書をアップロード
Talos は、脅威ハンティング活動中に、ウクライナから送信された機密情報らしきドキュメントを発見しました。このドキュメントに悪意のある VBA コードが含まれていたことから、組織を感染させるルアー(おとり文書)として使用されていると考えられます。
4 月 23 日:CoralRaider の関与が疑われる 3 つの情報窃取マルウェアを使用した攻撃の被害が拡大中
Talos は、LNK ファイルに埋め込まれた新しい PowerShell コマンドライン引数を発見しました。アンチウイルス製品をバイパスして攻撃対象のホストに最終ペイロードをダウンロードするものです。
4 月 24 日:スパイ活動に重点を置く新たな攻撃 ArcaneDoor を発見、境界ネットワークデバイスが標的に
ArcaneDoor は、境界に設置されている複数のベンダーのネットワークデバイスを標的にした、国家支援の攻撃者による最新の攻撃事例でした。境界にあるネットワークデバイスは国家の支援を受けた攻撃者がこぞって狙う対象であり、スパイ活動に重点を置く攻撃にうってつけの侵入ポイントです。
5 月 22 日:信頼を悪用した詐欺:電子メールを攻撃経路としたブランドのなりすまし
シスコは電子メールでのブランドなりすましを検出する新機能を開発してリリースしました。攻撃者はブランドになりすまして正当な企業を装おうとします。
5 月 31 日:新たなバンキング型トロイの木馬「CarnavalHeist」、ブラジルを標的にオーバーレイ攻撃を展開
Cisco Talos は 2024 年 2 月以来、ブラジルのユーザーを標的としたマルウェア攻撃が活発に展開されている状況を観察しました。攻撃に使用されたのは新しいバンキング型トロイの木馬「CarnavalHeist」です。確認された戦術、手法、手順(TTP)の多くは、ブラジル発の他のバンキング型トロイの木馬と共通していました。
6 月 5 日:DarkGate、新しいペイロードとメールテンプレートで戦術を変更
DarkGate が Microsoft Teams を介してマルウェアを配布していることが確認されました。さらに、マルバタイジングも攻撃に使用されていました。
8 月 1 日:ハッキンググループ APT41、ShadowPad と Cobalt Strike を使い台湾政府の関係研究機関を侵害か
ShadowPad は、一般に PlugX の後継ツールと考えられているモジュール型のリモートアクセス型トロイの木馬(RAT)であり、中国のハッキンググループにのみ販売されていることが確認されています。
8 月 28 日:BlackByte が実証済みの手法を駆使して新たに公開された脆弱性を突き、進行中の攻撃をサポート
Talos インシデント対応チームは最近の調査で、ランサムウェアグループ BlackByte が確立された手口とは異なる手法を使用していることを確認しました。
脅威情報ニュースレター
をブックマークしておくと、Talos の脅威リサーチに関する最新情報をもれなく入手できます。
本稿は 2024 年 09 月 06 日にTalos Group
Authors