今週も脅威情報ニュースレターをお届けします。
アートは主観的なものだと言われます。では、きれいに整った棒グラフを見たことはあるでしょうか。ファン・ゴッホの代表作に『星月夜』がありますが、Talos の 2024 年版『一年の総括』(公開されています)に掲載されているデータもきれいに色分けされ、適切にラベル付けされています。名画にも似た美しさです。
この見栄えの良いレポート(クリエイティブチームには感謝しかありません)をまだじっくり読み込めていない方のために、いくつかリンクをご紹介したいと思います。クリックしても人生が変わるほどではないかもしれませんが、もしかしたら本当に変わるかもしれません。確かめる方法は 1 つだけです。
『一年の総括』ランディングページ
には、ビデオやポッドキャスト、トピックのサマリーなど、関連コンテンツを豊富に掲載しています。今月は毎週コンテンツが追加されていく予定です。もちろん、レポート自体もランディングページからダウンロードできるので、便利にご利用ください。
概要を 2 分にまとめたアニメーション動画もあります。攻撃を分析したさまざまなチャートをアニメーションでご覧いただけます。
『The TTP: Year in Review Special (Part 1)』は、実は『The Last of Us』(サバイバルホラー作品)にかなりインスピレーションを得ています。2 部構成となっており、レポート著者とのインタビューをご覧いただけます。Part 2 は 4 月 4 日に公開される予定です。
『Beers with Talos』の B チームがお届けするこちらのエピソードですが、あるリスナーさんからメッセージをいただきました。このエピソードを聴いているときの笑い声が大きすぎて、「大丈夫?」と家族に心配されたそうです。
レポートの注目すべき調査結果をいくつかご紹介します。
- 2024 年は、ランサムウェア攻撃グループが有効なアカウントを使用して初期アクセスを取得する事例が圧倒的に多かった年であり、Cisco Talos インシデント対応チームが扱った事例の約 70% でこの手口が確認されました。
- Talos IR が確認した事例のほとんどで、攻撃者は標的のセキュリティソリューションを無効化しようと計画し、ほぼ確実に成功していました。
- 最も標的にされたネットワークの脆弱性の中には、すでにサポートが終了した(EOL)デバイスに影響を及ぼすものもあります。EOL なので、今も攻撃者に積極的に狙われているにもかかわらず、パッチは提供されていません。
重要な情報
Cisco Talos では、ウクライナのユーザーを標的にした攻撃を積極的に追跡しています。この攻撃では、PowerShell ダウンローダーを実行する悪意のある LNK ファイルが使用されています。誘い込みの手口として、ウクライナでの軍の動きに関するロシア語の単語が LNK ファイル名に使用されています。Talos は、この攻撃が Gamaredon 攻撃グループに関連していることをある程度確信しています。
注意すべき理由
Gamaredon グループのフィッシング攻撃で使用される共通のテーマは、ウクライナ侵攻です。今回の攻撃でも、この手法が引き続き使用されています。同攻撃グループは、ZIP アーカイブに圧縮した LNK ファイルを配布しますが、通常は、Office 文書として偽装し、ウクライナ侵攻に関連したファイル名を使用します。
必要な対策
お客様がこの脅威を検出してブロックするための方法については、こちらのブログ記事に記載しています。
今週のセキュリティ関連のトップニュース
法的文書を装った Google 広告で Gootloader マルウェアが復活:攻撃者は法律の専門家を標的にしており、Google ベースのマルバタイジングで配信される広告に情報窃取マルウェアを隠しています。(情報源:Dark Reading)
英国が新たなサイバー法案を提示、対応を怠った場合は 1 日 10 万ポンドの罰金が科される可能性も:英国のテクノロジー担当大臣が、画期的な法案の詳細を初めて明らかにしました。(情報源:The Register)
Oracle Cloud への侵害に関与したハッカー、盗んだデータを販売すると脅迫:この侵害は重大な脆弱性に関連していたとされています。(情報源:Cybersecurity Dive)
WordPress を狙う攻撃者がマルウェアの隠し場所にする、見落とされやすいプラグインディレクトリ:必須プラグイン(mu-plugins)ディレクトリは、サイトが適切に動作するうえで欠かせないプラグインを格納するために使用されています。(情報源:SC Magazine)
Talos についての関連情報
さて、人生が変わるほどの内容だったでしょうか。冒頭に紹介した『一年の総括』のリンク先のコンテンツは、おそらくそれだけでも十分読み応えのあるものだと思います。まだ足りないという方のために、各メディアで『一年の総括』がどのように取り上げられているかをご紹介します。
- CNET:巧妙になったフィッシングメール、見分ける方法とは
- The Register:ランサムウェアグループが「EDR キラー」で攻撃力を強化、マルウェアではないものも
- SiliconANGLE:Cisco Talos のレポートによれば、2024 年のサイバーインシデントの大部分を占めるのはアイデンティティベースの攻撃
- CyberScoop:2024 年はアイデンティティ管理の不備により多数の被害が発生
Talos が参加予定のイベント
- RSA(4 月 28 日~ 5 月 1 日)カリフォルニア州サンフランシスコ
- PIVOTcon(5 月 7 日~ 9 日)スペイン、マラガ
- CTA TIPS 2025(5 月 14 日~ 15 日)バージニア州アーリントン
- Cisco Live U.S. (6 月 8 日~ 12 日)カリフォルニア州サンディエゴ
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256: 9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
VirusTotal: https://www.virustotal.com/gui/file/9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
一般的なファイル名:VID001.exe
検出名: Simple_Custom_Detection
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5:7bdbd180c081fa63ca94f9c22c457376 Typical Filename: c0dwjdi6a.dll
VirusTotal:https://www.virustotal.com/gui/file/a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
偽装名:なし
検出名:Trojan.GenericKD.33515991
SHA 256: 5616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1
MD5:3e10a74a7613d1cae4b9749d7ec93515
VirusTotal:https://www.virustotal.com/gui/file/5616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1
一般的なファイル名:IMG001.exe
偽装名:なし
検出名:Win.Dropper.Coinminer::1201
SHA256: 47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
MD5:71fea034b422e4a17ebb06022532fdde
VirusTotal: https://www.virustotal.com/gui/file/47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca/details
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Coinminer:MBT.26mw.in14.Talos
本稿は 2025 年 4 月 3 日にTalos Group
Authors