Talos 読者の皆さん、こんにちは。2021 年最初の脅威情報ニュースレターへようこそ。
今年はすでに Beers with Talos
の新エピソードが投稿されています。録音されたのは昨年ですが、過去のランサムウェア攻撃から得られた教訓や、攻撃者のターゲット選択方法など、今でも重要なトピックが満載です。
また、現在猛威を振るっている最近の Lokibot 亜種の技術的な詳細に関するブログ記事も投稿されています。このマルウェアがターゲットにどのように感染し、防御側がこのマルウェアからどのようなことを学べるかについては、記事の全文をご覧ください。
今後予定されている Talos の公開イベント
件名:「クライムウェアの武装競争:最新のマルウェア武装化技術と検出回避技術」
イベント:CactusCon
講演者:Edmund Brumaghin、Nick Biasini
概要:近年、実際のインシデントで見つかるマルウェアサンプルの数が爆発的に増加しているため、自動分析プラットフォームの開発に多大な労力が費やされています。これらのプラットフォームは通常、制御された環境でファイルを実行し、その動作を観察して、ファイルが無害か有害かを判断します。こうした技術の利用が増えるにつれて、攻撃者は自動分析を回避して検出を逃れる技術の開発に多くのリソースを投入しています。また、マルウェアの開発者は、分析を困難にするためのさまざまな手法も導入し続けています。最近のボットネットは、セキュリティ機関や法執行機関による介入に対して復元力を高めるために、新たな手法をインフラストラクチャに導入し始めています。このプレゼンテーションでは、分析と検出を回避するために攻撃者が使用している最新技術について説明します。また、セキュリティ業界や法執行機関による介入に対して耐性のある C2 通信チャネルを確立するために攻撃者が使用している新技術についても説明します。具体例を取り上げ、これらの技術が利用されているケースを詳細に分析し、それらの技術に対する効果的な防御方法について説明します。
1 週間のサイバーセキュリティ概況
- ドナルド・トランプ米大統領の支持者グループ、1 月 6 日に米国国会議事堂を襲撃。この暴動には多くの要因が関係していますが、特に大きな役割を果たしたのが数年間にわたりオンラインで拡散され、アメリカ国民を過激思想に追い立てたデマ情報です。
- 暴徒は、議員やデモ参加者自身の安全を脅かすだけでなく、サイバーセキュリティ上の懸念も発生させる。一部の議員はオフィスからコンピュータが盗まれたと述べていますが、連邦議会議事堂に侵入した際に暴徒がハードウェアやソフトウェアを改ざんしたかどうかは不明です。
- 政治の世界以外でも、COVID-19 ワクチンに関するデマ情報キャンペーンが依然としてネット上で拡散。ワクチン接種の取り組みが世界規模で進められる中、ワクチンが安全でないという主張や、望ましくない副作用を引き起こすとの主張を流布する虚偽の報告書や研究結果が数多く出回っています。
- 次期ジョー・バイデン政権の国家安全保障問題担当補佐官、SolarWinds に対する最近のセキュリティ侵害が新政権の国際的な最優先事項になると発言。
- いわゆる「SUNBURST」攻撃が最初に発表されてから数週間が経ち、研究者とジャーナリストは、攻撃が当初考えられていたよりも広範囲に及んでいることを発見しました。今年は選挙のセキュリティ対策に専門家の注意が向けられていたため、この侵害の発見が遅れたという可能性も指摘されています。
- Microsoft 社、SolarWinds キャンペーンの調査を通じて、一部のソースコードが盗まれたことを発見。ただし、同社の発表によると、差し迫ったセキュリティリスクはないとのことです。
- 米国政府、今週に入り、ロシアが SUNBURST 攻撃に関与していると公式に発表。米国の主要防衛機関が共同で発表した声明によると、攻撃の目的は情報収集であると考えられています。
- 物理的セキュリティキーが今年の選挙セキュリティにおいて重要な役割を果たす。Google や Yubikey の製品を使用することで政治家の電子メールを安全に保つことができたと、多くの選挙キャンペーン責任者やセキュリティ専門家が述べています。
最近の注目すべきセキュリティ問題
件名:FBI が世界規模の Egregor キャンペーンを警告
説明:FBI は今週、Egregor ランサムウェアを使用した世界規模のキャンペーンに対して注意を喚起する警告を発表しました。FBI によると、9 月の攻撃では世界中で 150 以上の組織が標的とされています。攻撃者は、悪意のあるファイルを添付したフィッシングメールとセキュアでない Remote Desktop Protocol(RDP)または仮想プライベートネットワークを使用して、最初のターゲットをランサムウェアに感染させました。また、Cobalt Strike、Qakbot/Qbot、Advanced IP Scanner、AdFind などのツールを使用して、権限昇格やネットワーク内のラテラルムーブメントを実行します。
Snort SID:56813、56814
件名:njRAT 攻撃の C2 に Pastebin が使用され始める
説明:最近、トロイの木馬「njRAT」を利用する攻撃者は、コマンド & コントロールサーバとして Pastebin を使用する戦術への切り替えを進めています。調査によると、このサイトは現在、第 2 ステージのペイロードをダウンロードして実行する目的に使用されており、従来の C2 構造は廃止されています。 njRAT は Bladabindi とも呼ばれ、被害者のマシンをハイジャックし、スクリーンショットの取得や、データの抜き取り、キーストロークの記録、特定のウイルス対策プログラムのシャットダウンなど実行することができます。
Snort SID:56811、56812
今週最も多く見られたマルウェアファイル
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256:20f0ce6ae08d954767bdd8445017453475d53fe1e448c07da7a8a6a1194374c6
MD5:6902aa6dd0fbd0d1b647e8d529c7ad3f
一般的なファイル名:FlashHelperService.exe
偽装名:Flash Helper Service
検出名:W32.Variant.23nh.1201
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:svchost.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:6fdfcd051075383b28f5e7833fde1bb7371192f54e381c8bdfa8e68269e3dc30
MD5:0083bc511149ebc16109025b8b3714d7
一般的なファイル名:webnavigatorbrowser.exe
偽装名:WebNavigatorBrowser
検出名:W32.6FDFCD0510-100.SBX.VIOC
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:santivirusservice.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 01 月 07 日に Talos Group
Authors