セキュリティツールは時として非常に大量のデータを生成します。そうした膨大なデータは優秀な人材を抱えるハイテク企業でも扱いに苦労します。
大規模なランサムウェア攻撃や巨額の身代金などが頻繁にニュースの見出しを飾る中、隠密に利益を得ようとする攻撃者もいます。 Cisco Talos は最近、暗号通貨マイニングボットネット攻撃の増加を確認しました。サイバーセキュリティ専門家であれば簡単に発見できるものの、エンドユーザには気付きにくい手口が使用されています。
Cisco Talos が最近発見した攻撃は、標的となるエンドポイントを段階的に感染させる手段として、カスタマイズされた Cobalt Strike ビーコンを使っています。攻撃に利用されている不正文書(Maldoc)のテーマが軍事であることから推測すると、標的になっているのは南アジア諸国の軍組織および政府機関であると考えられます。
Cisco Talos では、進化した Aggah 攻撃を確認しました。スパムメールで Microsoft Office の不正ドキュメントを拡散し、標的ユーザのエンドポイントに対して多段階の攻撃を仕掛けるものです。
ランサムウェア攻撃や大規模な攻撃が頻繁に見出しを飾っていますが、目立たずに金銭的利益を得る攻撃も発生しています。 今回は複数の手口を組み合わせた複合的なサイバー犯罪攻撃を取り上げます。
Cisco Talos が「ObliqueRAT」と名付けたリモートアクセス型トロイの木馬(RAT)を拡散させるキャンペーンが最近確認されています。また、2019 年 12 月以降拡散されている別の RAT「CrimsonRAT」とよく似た不正ドキュメントやマクロを使用するなど、双方の間での関連性も確認されています。
以前の記事では、侵害後の攻撃フェーズにおいて、OS のデフォルト機能や他の正規の実行可能ファイルを使用して「環境寄生型」バイナリを実行する手口について概説しました。このような環境寄生型バイナリを Talos では「LoLBin」と呼んでいます。
Talos は、新バージョンの Loda で次のような変更点を観察しました。まず、AutoIT スクリプト内で使用されている難読化手法が、別の形式の文字列符号化に変更されています。
「Panda」という名前の新たな攻撃者が、リモート アクセス ツール(RAT)と暗号通貨マイニング マルウェアによって、数千ドル相当の Monero 暗号通貨を生み出しています。Panda は、これまで確認された中で最も巧妙な攻撃者とはほど遠いですが、Cisco Talos の脅威トラップ データで検知された中では、とりわけ活発な攻撃者です。
企業が直面している難題のひとつは、ユーザの自由なアクセスを保ちながら、悪意のある広告(マルバタイジング)は積極的にブロックするという、2 つの相反する課題でバランスを取ることです。Web ブラウザに基本的な広告ブロッカーをインストールするだけで完全な保護を期待でる日々は過ぎ去りました。