Talos のフォロワーの皆様、こんにちは。今年もここに戻ってきました。今週は私が代わりに脅威情報ニュースレターをお届けします。まずは、2023 年 8 月に興奮気味に紹介した殺人ナマケモノの映画について情報を更新したいと思います。『キラー・ナマケモノ』という映画ですが、興行収入は 137,133 ドルでした。批評家からは、「寝袋を使ったベランダトラップによる殺人」(本当にこう書いてあります)や「身の毛もよだつようなヘアアイロンの用法」など、さまざまな仕掛けを称賛する声があがっていました。
次はそれほど怖くない話です。かつて Twitter という名で呼ばれていた某サイトに入り浸っていた頃、私は「Sorkinese
」というアカウントが大好きで、フォローしていました。脚本家アーロン・ソーキンが生み出したキャラクター(ドラマ『ザ・ホワイトハウス』に出てくる人物が多い)のユーモアや知恵がにじむ台詞の数々を日々投稿していたアカウントです。Sorkinese は、昨年 7 月に非常にタイムリーな一言「The internet people have gone crazy!(ネットの連中は狂ってる!」をツイートしたのを最後に更新が止まってしまいましたが、「What kind of day has it been?(今日はどんな 1 日だった?)」という言葉が投稿されるのをいつも楽しみにしていたものです。『ザ・ホワイトハウス』ファンならご存じのとおり、ソーキンはこの言葉を、複数の番組の重要エピソードのタイトルに使っています。何かが終わることを暗示し、重要なことを振り返る言葉です。
今年の夏も終わりに近づき、再び「セーターの季節」が本格的に始まろうとしています。この機会に、この夏について少し振り返ってみたくなりました。
私は英国在住なので、この夏については「雨がち」だったことがまず思い浮かびます。ただ、私はセキュリティ業界で働いていることになっていますし、このニュースレターはセキュリティ関連のニュースレターだそうなので、その方面の話を取り上げることにしましょう。「あらかじめ作っておいたものがこちらです」(このネタがわかる英国人はごく一部だけでしょう)ということで、Talos アウトリーチチームの責任者 Nick Biasini が出演している動画をご紹介します。現在の脅威の状況で最も懸念し注視している 2 つの分野について振り返ってもらいました。
もう 1 つお知らせがあります。Talos の新しいドキュメンタリー動画「我々が守る明かり:Project PowerUp の事例紹介」が 1 週間後に公開されます。この動画では、電子戦の混乱とその結果について、また、ウクライナの送電網が GPS 妨害に遭っても安定した電力を維持できるソリューションをどうやって開発したのかについて、現場の生の声を紹介します。
公開については、ソーシャルチャネルをチェックしてください。また、オンラインでライブ上映するイベントも開催します。私、Joe Marshall、Matt Watchinski、Matt Olney との質疑応答の時間もありますので、ぜひご参加ください。
重要な情報
BlackByte は、悪名高い Conti ランサムウェアグループから派生したと考えられている RaaS(Ransomware as a Service)グループです。グループの創設以来、攻撃スキルの基盤を形成してきた戦術、手法、手順(TTP)を活用し続けており、脆弱性のあるドライバを継続的に繰り返し使用してセキュリティ保護をバイパスし、自己増殖するワーム型のランサムウェア暗号化プログラムを展開しています。 Talos インシデント対応チーム(Talos IR)も最近の調査で、BlackByte が確立された手口とは異なる手法を使用していることを確認しました。Talos IR のメンバーが、Talos のインテリジェンスおよび阻止チームとの協力のもと、調査結果の詳細をブログで報告しています。
注意すべき理由
最近の BlackByte 攻撃の調査中に、Talos IR および Talos の脅威インテリジェンス担当者は、調査中に発見された侵害の指標(IOC)と、Talos のグローバルテレメトリでフラグが立てられた他のイベントとの間に密接な類似点があることに気付きました。これらの類似点をさらに調査した結果、BlackByte の現在の手口に関する新たなインサイトが得られ、同グループが、データリークサイトで公開されている被害者の数から予想されるよりも、実際にはかなり活発に活動していることが明らかになりました。
必要な対策
Talos IR は、BlackByte のような RaaS グループからの防御に役立つ一連の推奨事項を公開しています。その中には、ラテラルムーブメントを検出する方法も含まれています。これらの推奨事項は、こちらのブログ記事でご覧いただけます。新しい TTP の MITRE ATT&CK マッピングと侵害の指標も掲載しています。
今週のセキュリティ関連のトップニュース
- 何百ものオープンソースの大規模言語モデル(LLM)のビルダーサーバーと何十ものベクトルデータベースから、非常に機密性の高い情報がオープン Web に漏洩(情報源:Dark Reading)。
- 最近発生した Qilin ランサムウェア攻撃で、影響を受けたネットワークのエンドポイントの一部に搭載されていた Google Chrome ブラウザに保存されていたログイン情報が標的に。研究者はこの動きについて、「通常とは戦術が異なっており、すでに無秩序化しつつあるランサムウェアの状況が、これでますます混迷を深める可能性がある」と語っています(情報源:Decipher)。
- 労働者の日の注意:あなたのデータを守る、旅行関連のハイテクなヒントを紹介。Talos の Nick Biasini がこのほど、旅行関連のフィッシングメールを見抜く方法と、脆弱な Bluetooth 接続や Wi-Fi スポットに注意する方法についてアドバイスしました。ご友人やご家族にもぜひ広めてください(情報源:ABC News)。
Talos についての関連情報
Talos の Kelly Patterson が、µC/OS プロトコルスタックのファジングの複雑さに関して行った研究について、3 部構成のブログシリーズを公開しました。Kelly は、この研究が RTOS ソフトウェアコンポーネントのファジングをいっそう普及させる後押しになればと考えています。
以下のブログシリーズをご覧ください。
Talos が参加予定のイベント
ドキュメンタリー動画「我々が守る明かり」のライブ上映と質疑応答(9 月 5 日)
オンライン
BSides Krakow(9 月 14 日)
クラクフ(ポーランド)
LABScon(9 月 18 日~ 21 日)
アリゾナ州スコッツデール
VB2024(10 月 2 日~ 4 日)
ダブリン(アイルランド)
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5:7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名:c0dwjdi6a.dll
偽装名:なし
検出名:Trojan.GenericKD.33515991
SHA 256:9ef2e8714e85dcd116b709894b43babb4a0872225ae7363152013b7fd1bc95bc
MD5:4813fa6d610e180b097eae0ce636d2aa
一般的なファイル名: xmrig.exe
偽装名:XMRig
検出名:Trojan.GenericKD.70491190
SHA 256:24283c2eda68c559f85db7bf7ccfe3f81e2c7dfc98a304b2056f1a7c053594fe
MD5: 49ae44d48c8ff0ee1b23a310cb2ecf5a
一般的なファイル名: nYzVlQyRnQmDcXk
偽装名:なし
検出名: Win.Dropper.Scar::tpd
SHA 256: c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0
MD5: 8c69830a50fb85d8a794fa46643493b2
一般的なファイル名: AAct.exe
偽装名:なし
検出名: PUA.Win.Dropper.Generic::1201
本稿は 2024 年 08 月 29 日にTalos Group
Authors