今週も脅威情報ニュースレターをお届けします。
先週は Emotet が「復活」したことが大きな話題となりました。この悪名高いボットネットは昨年、国際的な法執行機関による大規模な捜査活動によって活動停止に追い込まれていました。何度駆除されても必ず舞い戻って来ましたし、今後も Emotet を完全に駆逐するのは難しいでしょう。
『Talos Takes』の 12 月のエピソードで Nick Biasini と私が話したように、こうした国際的な法執行機関による活動はいつも絶大な効果を発揮しており、国際社会の力を示しています。しかし、Emotet の息の根を止めるまでには至っていません。
『Talos Takes』で Nick が指摘していましたが、活動停止に追い込まれても逮捕者は 1 人も出なかったので、いつでも攻撃活動を再開できる状況にありました。そして活動停止が発表されてから 9 か月くらいで、Emotet がスパムの送信を再開したことが確認されています。
「何はともあれ、ボットネットの活動は中断しました」と当時 Nick は言っていました。
ですから、Emotet がまた準備を整え始めたと聞いても、実はそれほど驚くようなことではないのです。Emotet は数か月にわたって活動を休止することが知られています。通常は、主要な休日や、ブラックフライデー、サイバーマンデーといった世界的なイベントの前後です。
ボットネットを活動停止に追い込む方法について詳しく把握しているわけではないので、このようなイタチごっこが延々と繰り返されるのか、それとも完全にとどめを刺す方法があるのかは分かりませんが、Emotet が今からまた数か月沈黙して 9 月に魔法のように舞い戻って来たとしても、誰も驚かないでしょう。
たとえば、Silk Road という麻薬取引に利用されていた悪名高いダーク Web サイトがありましたが、創設者が逮捕されても Silk Road の活動は止まらず、国際社会が 2 年以上かけて 3 回も活動を停止させてようやくサイトが完全に閉鎖され、鳴りを潜めるようになりました。
こうした脅威の事例を見ると、どんなに素晴らしい報道発表があっても、セキュリティに携わる人間は脅威が完全に消え失せたと思って警戒を解いてはならないことが分かります。
重要な情報
Talos の研究者はこのほど、Conti および Hive ランサムウェア攻撃者とその被害者との間で交わされたチャットのログが大量に流出したのを受けて調査を行いました。それらのチャットログから、これらのグループの標的の選び方、三重脅迫を行う際の通常の手順、集団内での活動の実態について多くのことが分かりました。Talos の最新の調査報告書では、それらの調査結果について説明し、チャットの内容を分析しています。この報告書は、さまざまなセキュリティ研究者や標的になりそうな組織がこれらのグループに対抗して弱点を見つけるのに役立ちます。
注意すべき理由
今回調査したチャットは、今年初めに Conti から流出したものとはまったく別の新しいものであり、時間が経つにつれて同グループの詳細が明らかになりつつあります。調査で判明した重要なポイントの 1 つは、万一攻撃を受けて身代金を支払うことにした場合でも、最初の要求を受け入れてはいけないということです。ほとんどの場合、時間とともに要求金額を引き下げていきます。ほかにも、こうしたランサムウェアグループの交渉戦術についてさまざまな知見が得られており、標的になったり被害にあったりした場合に役立つ可能性があります。
必要な対策
ランサムウェア攻撃の被害に絶対にあわないことを目標にしている場合、必要な対策はいつもとほぼ同じです。すべての組織にとって重要なのは、強力なパッチ管理システムを導入してあらゆるシステムを最新の状態に保つことです。また、エンドポイントで実行されている不要なサービスやプロトコルの削除といった一般的なシステム強化策も実施する必要があります。
その他の注目情報
長年、ロシアに対してはサイバー攻撃を仕掛けるべきではないとされてきました。報復を受ける恐れがあったからです。しかし、ロシアがウクライナに侵攻してから、大勢のハクティビストや有志の攻撃者が前例のない勢いでロシアのネットワークを攻撃しています。一部のランサムウェアグループまでもが攻撃に参加しているという状況です。侵攻の初期においても、いまだに Windows XP を使用していたベラルーシの鉄道システムを同国の攻撃者が混乱に陥れました。この攻撃によってロシアは大きな痛手を被っており、ロシアの供給ラインが停滞しました。ウクライナの首都キーウへの侵攻を食い止める要因にもなった可能性があります(情報源:Washington Post、Wired、ComputerWorld)。
Google の検索結果に自分の個人情報が表示されないようにオプトアウトできるようになりました。Google の検索エンジンは最近、このオプトアウトに関するポリシーを緩和しました。自分の名前を検索して電話番号や住所、電子メールなどが表示されてしまった場合、以前であれば、個人情報の無断公開などの被害にあう恐れがあることを示す必要がありました。同社によると、現在は明確なリスクがなくても自分の情報を削除するよう要求できるとのことです。これで、オンライン上の個人情報を完全に保護できるわけではありませんが、プライバシーを重視したい人にとっては効果的な第一歩になります(情報源:NPR、CNET)。
中国政府の支援を受けた攻撃者が、30 を超す大企業のネットワークを 2 年以上も覗き見て知的財産を窃取していました。セキュリティ研究者によると、APT41 という攻撃者が、設計図面、糖尿病の実験薬、ソーラーパネルの設計など、数兆ドルに相当する情報を手当たり次第に盗んでいたとのことです。他のミツバチの巣に卵を産み付けるというカッコウハチの寄生行動から、セキュリティ研究者はこの攻撃を「Operation Cuckoo Bees」と名付けました。今週の時点でも攻撃はまだ続いています(情報源:SC Magazine、CBS News)。
Talos が発信している情報
- 『Talos Takes』エピソード#94:これだけは知っておきたい BlackCat ランサムウェアグループの実態
- 注目の脆弱性:Accusoft ImageGear で DoS と解放済みメモリ使用につながる 2 件の脆弱性を発見
- 4 月 22 日 ~ 4 月 29 日における脅威のまとめ
Talos が参加予定のイベント
RSA 2022(2022 年 6 月 6 日~ 9 日)
カリフォルニア州サンフランシスコ
CISCO LIVE U.S. (2022 年 6 月 12 日~ 16 日)
ネバダ州ラスベガス
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5:93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:59f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaa
MD5:df11b3105df8d7c70e7b501e210e3cc3
一般的なファイル名:DOC001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201
SHA 256:5616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1
MD5:3e10a74a7613d1cae4b9749d7ec93515
一般的なファイル名:IMG001.exe
偽装名:なし
検出名:Win.Dropper.Coinminer::1201
SHA 256:1b94aaa71618d4ecba665130ae54ef38b17794157123675b24641dc85a379426
MD5:a841c3d335907ba5ec4c2e070be1df53
一般的なファイル名:chip 1-click installer.exe
偽装名:chip 1-click installer
検出名:Win.Trojan.Generic::ptp.cam
SHA 256:7cfdf65b1f93bd600a4e7cadbcfeccc634d0c34b5b098740af1cf2afa7c64b97
MD5:258e7698054fc8eaf934c7e03fc96e9e
一般的なファイル名:samsungfrp2021.exe
偽装名:なし
検出名:W32.7CFDF65B1F-85.TPD2.RET.SBX.TG34
本稿は 2022 年 05 月 12 日に Talos Group のブログに投稿された「Threat Source newsletter (May 5, 2022) — Emotet is using up all of its nine lives」の抄訳です。