今週も脅威情報ニュースレターをお届けします。
Talos はお客様のために戦い、お客様に影響を及ぼす可能性のあるさまざまなサイバー脅威からお客様を保護します。攻撃者の性質や出自、所属は関係ありません。攻撃者がお客様を攻撃している、または攻撃を計画しているのであれば、全力で阻止します。
実際、誰が攻撃しているかを特定することは非常に難しく、攻撃そのものを特定するよりもはるかに困難です。国旗を掲げて攻撃が行われることはなく、どの国が関与しているのかの証明書があるわけでもありません。通常、攻撃者は法執行機関や国際社会の注目を避けるため、その出自を隠そうとします。しかしそれは簡単なことではありません。攻撃者は、知らず知らずのうちに自身の正体の手がかりを残していることがよくあります。
私たちは皆、習慣の生き物であり、好みのやり方や使い慣れたツール、気に入っているサプライヤーがいます。同じことがサイバー攻撃者にも当てはまります。攻撃方法や攻撃手段、攻撃対象などの選び方は、時が経つにつれて指紋のようにそれぞれ異なる特徴になります。
新たな攻撃を分析することで、その特徴が既知の攻撃者の特徴と一致するかを特定できます。一致した場合、その攻撃者が攻撃を実行したと推測できます。それでも、攻撃とその背後にいる攻撃者の関係を明らかにし把握するには詳細な調査が必要となり、場合によっては、時間が経ち、追加情報が公開されて初めて明らかになることもあります。
たとえ既知の攻撃者による攻撃だと特定できたとしても、攻撃者の性質や出自が明確にならない場合もあります。攻撃者が自ら攻撃を認めて正体を明かすことはめったにありません。法執行機関や諜報機関による詳細な調査によって攻撃者が特定されることもありますが、そうでなければ、セキュリティ業界では既知の攻撃者をさまざまな仮名で呼びます。これらのほとんどは、特定の個人や組織(1 つまたは複数)と確実に結びつけられるものではありません。攻撃者について説明する際に、不確実性の程度を理解して情報を伝えることは、脅威インテリジェンスのコミュニティにおける重要なスキルです。
言うまでもなく、Talos はブロックする脅威を選別しているわけではなく、誰が攻撃しているかに関係なくブロックします。それが Talos の存在意義であり、使命だからです。いずれにしても、攻撃者の正体を特定するのは簡単なことではありません。
重要な情報
高度な攻撃グループである Lotus Blossum が、ベトナム、香港、台湾、フィリピンにおける政府機関、製造業、通信会社、メディア企業を標的としたスパイ活動を行っていることを確認しました。同グループは、攻撃の一環として Sagerunex というマルウェア(バックドア)を使用し、コマンドアンドコントロール攻撃を実行します。
注意すべき理由
Lotus Blossom のような攻撃グループの攻撃方法を理解することは、この脅威や類似の脅威から組織を守るうえで必要な防御策を講じるのに役立ちます。今回の攻撃で被害を受けなかったとしても、他の攻撃者が情報を狙って攻撃を仕掛けてくる可能性があります。
必要な対策
攻撃に関連する IOC
を使用して、自社組織への侵入の証拠を調査します。この調査を通じて、ネットワーク上のシステムを可視化できているかどうか、また、既知の悪意のある IOC を検索できるかを確かめてください。
今週のセキュリティ関連のトップニュース
犯罪者が売ったデータダンプに含まれていた 2 億 4,400 万件の漏洩したパスワードを、プライバシー侵害通知サービス「Have I Been Pwned」に新たに追加(情報源:The Register)
8 万 6,000 台以上の侵害された IoT デバイスからなる大規模ボットネットが、電気通信企業やゲームプラットフォームに対して DDoS 攻撃を実施(情報源:Cybersecurity Dive)
米国政府機関 CISA がロシアからの脅威含め、脅威に対する防御を継続すると発表(TheRecord)
Talos についての関連情報
『The Talos Threat Perspective』エピソード 9 では、ソーシャルエンジニアリング手法の変化について、Hazel Burton が Nick Biasini と対談します。
Talos が参加予定のイベント
RSA(2025 年 4 月 28 日~ 5 月 1 日)カリフォルニア州サンフランシスコ
CTA TIPS 2025(2025 年 5 月 14 日~ 15 日)バージニア州アーリントン
Cisco Live U.S. (2025 年 6 月 8 日~ 12 日)カリフォルニア州サンディエゴ
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
MD5:71fea034b422e4a17ebb06022532fdde
VirusTotal:https://www.virustotal.com/gui/file/47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca/details
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Coinminer:MBT.26mw.in14.Talos
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5: 2915b3f8b703eb744fc54c81f4a9c67f
VirusTotal: https://www.virustotal.com/gui/file/9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
一般的なファイル名:VID001.exe
検出名:Simple_Custom_Detection
SHA 256:592835f805da0d9a24a5d91a0f77ad9988853da34a97b50e75e77c72573edeac
MD5:6361f25ede0442f2e0ad3bcd33c331c8
一般的なファイル名:KMSSS.exe
検出名:PUA.Win.Dropper.Hackkms::tpd
VirusTotal:https://www.virustotal.com/gui/file/592835f805da0d9a24a5d91a0f77ad9988853da34a97b50e75e77c72573edeac
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5:7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名:img001.exe
検出名:Win.Trojan.Miner-9835871-0
VirusTotal:https://www.virustotal.com/gui/file/a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
本稿は 2025 年 3 月 06 日にTalos Group
Authors