今週も脅威情報ニュースレターをお届けします。
ウクライナ、そして同国にいる友人や仲間たちに対する Cisco Talos のサポートについては何度も記事にしてきました。今回は、実際に現地で取り組んでいる人たちの活動をご覧になり、その声をお聴きください。
Hazel Burton による ThreatWise TV の最新エピソードでは、ウクライナの重要インフラ、情報パートナー、政府機関の防御を支援するために、ロシアがウクライナに侵攻した数日後に Talos が立ち上げたチームを詳しく紹介しています。ドキュメンタリー全編は、上のリンクか、こちら
の YouTube でご覧いただけます。
重要な情報
Talos は、YoroTrooper という、これまで確認されたことのない攻撃グループに関する新しい調査結果を発表しました。ヨーロッパとアジアでさまざまなスパイ活動を行っている同グループは、欧州連合内の組織を含む複数の著名な政府機関を標的にしており、ログイン情報、ブラウザの閲覧履歴と Cookie、システム情報、スクリーンショットなどの機密情報を窃取しています。
注意すべき理由
YoroTrooper は、PoetRAT や LodaRAT など他の攻撃グループに関連付けられているマルウェアを使用しますが、今回新たに確認された一連の活動はまったく新しい攻撃者によるものと考えられます。YoroTrooper の標的が重要な組織であることは明らかであり、すでに成功も収めているため、誰もが同グループの攻撃に警戒する必要があります。特に、独立国家共同体(CIS)諸国のユーザーと組織は注意が必要です。
必要な対策
YoroTrooper は、悪意のあるドメインを作成し、よくアクセスされる URL を偽装して標的国の政府機関の URL であるかのように見せかけ、マルウェアをホストします。そのため、電子メールの添付ファイルを開いたり、メールにあるリンクをクリックしたりするときは必ず、リンク先が正しい URL か、あるいはメールの送信元が正しいかを厳重にチェックするようにしてください。さらに、上述のブログでは、同グループの攻撃を防御し検出できる Cisco Secure 製品の各種保護機能について概説しています。
今週のセキュリティ関連のトップニュース
APLHV ランサムウェアグループが、Amazon 傘下のスマートホーム企業 Ring のデータの窃取に成功したと主張。今週初め、同グループのダーク Web サイトでデータを流出させるとの脅迫が行われましたが、攻撃が成功したという証拠は示されませんでした。Ring 社は火曜日に、「ランサムウェア攻撃を受けた兆候はない」と発表しています。ALPHV は BlackCat マルウェアを使用することで知られており、通常は標的のデータを暗号化し、要求した身代金を支払わなければ盗んだ情報を漏洩すると脅しをかけます。また今週政治メディア Politico が、カメラのユーザーが拒否した場合でも録画された映像を地元の法執行機関に隠さずに提供するという Ring 社の方針について報じ、私有地の防犯カメラの映像は誰のものか、ユーザーは録画の共有を強制されるのか、という議論が巻き起こっています(情報源:Vice、TechCrunch、Politico)。
DC Health Link(ワシントン D.C. のオンライン医療保険市場)の機密情報がダーク Web で販売されているとの報道。ホワイトハウスの職員と国会議員に影響が及ぶ可能性があるということです。先週の内部メモでは「重大なデータ侵害」について警告しており、数千人の連邦職員の個人情報が流出した可能性があるとして、潜在的な被害者に対し、個人データが侵害された恐れがあると警戒を呼び掛けています。米国上院、下院の 21 人もの議員が影響を受ける可能性があり、全員がこのプログラムを通じて保険に加入しています。DC Health の取引監視機関によると、全部で 56,415 人が影響を受けたとのことです(情報源:CBS News、Roll Call)。
Microsoft 社が火曜日に月例セキュリティ更新プログラムをリリース。同社のハードウェア製品とソフトウェア製品で確認された 83 件の脆弱性を公開しました。そのうち 2 件の問題は実際に盛んに悪用されており、月例のセキュリティ更新プログラムでゼロデイ脆弱性の対応がなされる傾向がこの数か月間にわたって続いています。Microsoft 社によると、3 月のセキュリティ更新プログラムで対応した脆弱性のうち 2 件が実際に悪用されており、そのうち 1 件は「緊急」の問題であるとのことです。今月対応されたもう 1 つのゼロデイ脆弱性は、Microsoft Outlook における特権昇格の脆弱性である CVE-2023-23397 です。悪用されると、標的のデバイスが強制的にリモート URL に接続させられ、Windows アカウントの Net-NTLMv2 ハッシュを攻撃者に送信してしまう恐れがあります。攻撃者はこの脆弱性を悪用するために、ユーザーにメールを開かせたりプレビューさせたりする必要すらありません。メールが標的のメールサーバーによって取得されるとすぐに悪用が開始されます(情報源:Cisco Talos、SecurityWeek )。
Talos が発信している情報
- 『Talos Takes』エピソード#130:確定申告時期はスパムが実際に増えるのでなく、種類が変わるだけ
- 注目のセキュリティ研究者:ターミナルを開いたこともなかった David Liebenberg が国際的な APT の追跡に携わるようになるまで
- CIS のエネルギー機関と EU 大使館がサイバースパイ YoroTrooper の標的に
- YoroTrooper が CIS、EU 諸国に対してスパイ活動を展開
- 更新された Prometei ボットネットが防御をかいくぐり Monero をマイニング
Talos が参加予定のイベント
WiCyS (3 月 16 日~ 18 日)
デンバー(コロラド州)
RSA (4 月 24 日~ 27 日)
カリフォルニア州サンフランシスコ
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:00ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725
MD5: d47fa115154927113b05bd3c8a308201
一般的なファイル名: mssqlsrv.exe
偽装名:なし
検出名: Trojan.GenericKD.65065311
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5: 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名: Wextract
偽装名:Internet Explorer
検出名: PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:00ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725
MD5: d47fa115154927113b05bd3c8a308201
一般的なファイル名: mssqlsrv.exe
偽装名:なし
検出名:Trojan.GenericKD.65065311
SHA 256:5616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1
MD5: 3e10a74a7613d1cae4b9749d7ec93515
一般的なファイル名: IMG001.exe
偽装名:なし
検出名: Win.Dropper.Coinminer::1201
SHA 256:de3908adc431d1e66656199063acbb83f2b2bfc4d21f02076fe381bb97afc423
MD5: 954a5fc664c23a7a97e09850accdfe8e
一般的なファイル名: teams15.exe
偽装名: teams15
検出名:Gen:Variant.MSILHeracles.59885
本稿は 2023 年 03 月 16 日に Talos Group
Authors