2020.06.01

アナリスト・チョイス 2020年5月

Analyst's-Choice

 

Analyst’s Choice

 

Intel Thunderboltの脆弱性を利用してデータへのアクセスや盗み出しが可能に

・研究者のビョルン・リュイテンベルグ氏は、IntelのThunderboltポートの設計に7つの欠陥があることを明らかにしました。Windows、Linux、またはMacOSデバイスに物理的にアクセスできる攻撃者は、「ドライバーと簡単に持ち運べるハードウェア」を使えば、5分でこの欠陥をエクスプロイトすることができます。

・「Thunderspy」と名付けられたこのトレースレスの攻撃は、デバイスがロックやスリープの状態でも成功し、たとえドライブが暗号化されていてもデータにアクセスしたり、データを流出させたりすることが可能です。研究者は、この脆弱性が9つの実用的な攻撃シナリオにつながると述べています。

 

出典:https://www.theverge.com/2020/5/11/21254290/thunderbolt-security-vulnerability-thunderspy-encryption-access-intel-laptops

 

Analyst’s Comments:

Intel Thunderboltの脆弱性は、それ自体では比較的リスクが低いと言えます。この脆弱性を悪用するためには、攻撃者がマシンに物理的にアクセスする必要があります。しかしながら、現在、新型コロナウイルスの予防策として多くの従業員が在宅でリモートワークを行っていることや、企業がリモートワークに関する全般的な方針を緩和していることを考えると、この脆弱性は攻撃者にとって将来的なチャンスとなります。

ウイルスによる外出制限が緩和されると、オフィスへの復帰が許可されていないリモートワーカーの多くは、自宅という狭い場所を離れて、コーヒーショップや公園などの公共の場所で仕事をしたいと考えるようになります。これらは今回の脆弱性を悪用する攻撃者にとって理想的な場所です。

原文:By itself, the Intel Thunderbolt vulnerability is relatively low risk. In order for the vulnerability to be exploited, an attacker needs physical access to the machine. However with many employees currently working remotely from home due to the Covid-19 preventive measures and companies relaxing overall policies on working remotely, this presents a future opportunity for attackers. 

As the virus restrictions ease, many remote workers who are not cleared to return to the office will want to leave the confines of their homes to work at public places such as coffee shops and parks; the ideal location for attackers to abuse this vulnerability.

 

米国の納税者データを利用してコロナウイルス救済給付金を盗む脅威アクター

・脅威アクターたちが米国の納税者データを利用してコロナウイルス給付金を受け取ることに成功したことを議論し、さらなる詐欺の試みのためにお互いに協力し合おうとしている様子を、SecureWorksの研究者が観察しました。 また、fullzを含むデータベースと同様に、納税者番号の盗難プロセスを容易にするためのデータパッケージも販売されていました。

・また、給付金受給に必要な国税庁の納税フォームを装ったフィッシングページも発見されました。これらのフォームに入力された情報を利用して、攻撃者は被害者の税金還付や給付金を不正入手します。

 

出典:https://www.secureworks.com/blog/cybercriminals-target-us-citizens-for-covid-19-stimulus-fraud?_hsmi=87574868&_hsenc=p2ANqtz-95vLNUXPg35bjDNvFf_Yt0XlCAf6KVugHLG2xPEkVSmI8xukrscL4D95ZdEpOoWjb6mThN 

 

Analyst’s Comments:

米国は最近、市民に対し約1000ドルの給付金を支給しました。市民が給付金を請求するにはオンライン、郵送ともに様々な方法があります。多くの場合、納税記録は受給資格の証明として必要とされ、そこには小切手郵送先の住所が記載されています。脅威アクターは、この識別情報を収集し利用することで、給付金を盗み出そうとしています。

最近では、日本でも同じような形の給付金を住民に提供するプロセスが始まっています。日本での税金の扱いは米国と異なる点が多く、例えば申告書類は雇用主が準備して提出します。とはいえ給付金を請求するには、住民のマイナンバーを使用してオンライン申請するか、多くの人がまだ受け取っていない郵送のフォームを使用する必要があるでしょう。

日本にも、米国同様、給付金を盗むために必要なあらゆる手段を利用しようとする悪質な存在がいることは間違いないでしょう。郵送されたフォームがまだ多くの人の手に渡っていない中、日本政府や関連業界にとって重要なのは、フィッシング詐欺に関する教育や、Flashpointのようなサービスを利用したDark Web取引フォーラムの監視など、この詐欺から確実に身を守るための特別な対策を講じることです。

原文:The United States recently extended a stimulus package to its citizens of approximately $1000. In order to claim the check there are various ways for a citizen to do so, both online and via postal mail. Tax records are in many cases required as proof of eligibility and also contain the address which the check can be posted to. By collecting and using this identifying information, threat actors are attempting to steal the stimulus checks. 

Recently Japan has begun the process of offering a similar style stimulus package to its residents as well. Though taxes are often handled differently in Japan, i.e. prepared and submitted by a resident’s employer, the stimulus checks will be requiring the use of either a resident’s My Number for online application, or a prepared posted form which many have yet to receive. 

It is certain that there exists the same kind of malicious entities in Japan who would attempt to utilize any means necessary to steal a stimulus payment. With the posted forms not yet in the hands of many yet, it would be vital for the Japanese government and related industries to take extra measures to insure protection against this fraud both by educating individuals of phishing attempts and monitoring darkweb trading forums with the use of services such as Flashpoint.

 

偽のZoomインストーラーに隠されたバックドア、Devil Shadow botネット

・トレンドマイクロの研究者は、悪意のあるZoomの2つのバージョンが現在、非公式なプラットフォーム上で拡散されているのを発見しました。1つのインストーラーはバックドアを含んでおり、もう1つのインストーラーはユーザーのデバイスにDevil Shadowボットネットをインストールします。

・どちらの場合でも、不正なアクティビティを隠すために正規バージョンのZoomインストーラが実行されますが、ダウンロードは正規のインストーラに比べてはるかに遅くなります。このマルウェアは、会議への侵入、キーストロークの記録、カメラへのアクセス、さらなるマルウェアのインストール、録音や録画を行うことができます。

 

出典:https://blog.trendmicro.com/trendlabs-security-intelligence/backdoor-devil-shadow-botnet-hidden-in-fake-zoom-installers/?_hsmi=88355172&_hsenc=p2ANqtz-8z3ml6XH41_I9vKhIgrvNGdUqn9VFzb8nd9HqmewzSXqn00TTS-PFRO5xCNHtfrPsc_V7ODfKibExprZfXmXsi690qRQ

 

Analyst’s Comments: 

ここ数ヶ月の間に、ビデオ会議ソフトウェアZoomとその人気の高まりについての記事が非常に多く見られました。これらの記事のほとんどが、国家や悪質なアクターとの提携の可能性や、セキュリティ上の欠陥という切り口からZoomを攻撃しています。しかし他のいくつかの記事は、上述の記事のように、人気の上昇そのものを悪用する脅威アクターに注目しています。これは、私たちが幾度となく目にしては忘れてきた教訓です。

私たちは、最も簡単で安価な解決策を選ぶのが早すぎるのではないでしょうか。今回のケースで言うなら、ビデオ会議の差し迫ったニーズを満たすためのZoomが、そのような解決策に該当します。普及したソフトウェアが必ずしも安全であるとは限りません。たとえ人気があって安全なソフトウェアの名前であっても、ユーザーを騙し、感染したバージョンを合法的に見えるソースからダウンロードさせるために利用することができるのです。

私はここで特にZoomを非難するつもりはありません。ただ、これは結果を最初に考慮せずにトレンドに飛びついた直近の例であるということです。とはいえ、インターネットからソフトウェアをダウンロードすることに関連するセキュリティリスクについて、従業員を教育することは有効ですが、完全な防御には程遠いものです。潜在的な脅威を監視し、侵入してくる攻撃を緩和し、詳細なフォレンジックレポートを提供する「Cycraft」のツール群のような、適切なエンドポイント検出・対応ソリューションを持つことは、すべての企業にとって不可欠なセキュリティコンポーネントです。

原文:In the past few months there have been quite a few articles about e-conference software Zoom and it’s rise to popularity. Mostly these articles have been attacking Zoom for potential nation state/bad actor affiliation and security flaws. Though some articles, like the above mentioned, focus on threat actors exploiting the rise in popularity itself. It’s a lesson we’ve seen time and again but never seem to remember.

Too quickly do we take the easiest and cheapest solution, in this case Zoom to cover our immediate e-conferencing needs. Popularized software does not necessarily mean it is secure and even the name of popular secure software can be used to trick users into downloading infected versions from otherwise legitimate looking sources. 

I don’t mean to berate Zoom specifically here, just that it serves as the most recent example of jumping on a trend without considering the consequences first. That said, while educating employees on security risks associated with downloading software from the internet can help, it’s far from a perfect defense. Having an appropriate endpoint detection and response solution such as Cycraft’s suite of tools to monitor potential threats, mitigate attacks that get through, and give detailed forensic reports, is an essential security component to every company.

 

Rory Morrissey (Intelligence Architect@Machina Record)

 

Lazarus Group、2要素認証アプリケーションの中にmacOSのスパイウェアを隠蔽

Lazarus Groupとして知られる北朝鮮関連のサイバー脅威グループは、MacOS用に特別に設計されたスパイギアの武器として、リモートアクセス型トロイの木馬(RAT)「Dacls」の新たな変種を追加しました。

 

出典:https://threatpost.com/lazarus-macos-spyware-2fa-application/155532/

 

Analyst’s Comments:

MacはWindowsに比べてセキュリティ面では安全、といわれていたのは過去のことで、現在はMacもWindows同様に攻撃者からの脅威にさらされています。本記事では、主に中国で利用されている2要素認証用のアプリケーション「MinaOTP」をターゲットにしたMac用のマルウェアで、Apple Storeに関連するファイルであるよう偽装し、さらに暗号化までされているとのことです。一度侵入されると、C2Cサーバと通信を始め、奪取された情報を送信されます。

分析された結果を読み解くと、非常に高度なプログラムが施されており、技術力はやはり非常に高いと認めざるを得ません。

こういったサイバー攻撃から身を守るには、

・OSやよく利用するソフトウェアのアップデートは、更新されたタイミングでなるべく早く行う

・アンチウイルス対策ソフトやEDRなどを導入し、最低限の防衛ラインを築く

・ユーザ(従業員等)が常に気を配り、安易にリンクをクリックしない、ファイルを開かないといった心構えを持つ

ことが重要です。

 

2020年注目すべきマルウェアのトップ6

 

2020年も半分が過ぎようとしています。今年注目すべきマルウェアに関して、記事がまとめられていたのでご紹介致します。

 

Emotet

Emotetは、これまでで最も危険で、最も被害総額と攻撃性が高いマルウェアです。Center for Internet Security (CIS)によると、Emotetは「他のバンキング型トロイの木馬のダウンローダーまたはドロッパーとして機能している」とのことです。このタイプのマルウェアは、フィッシングコンテンツを含むEメールを介して拡散し、連絡先を収集して悪用することで、瞬く間にネットワーク全体を感染させることができます。

 

Kovter 

Kovterは、2014年に登場したマルウェアの一種ですが、以来何度も変遷を繰り返しています。当初はランサムウェアとして利用されたり、法執行機関を装い罰金を請求してユーザーを騙したりしていました。その後、コードインジェクションを使用して情報を取得し、悪意のあるハッカーに送り返すクリック詐欺マルウェアとして再登場しました。のちにファイルレスマルウェアとして再登場し、自動実行されたレジストリエントリのインストールをした後、今度はいくつかのフィッシングキャンペーンの一部として利用されました。

今日、Kovterは、過去数年間で最も多作なマルウェアの一つにランクされています。通常添付ファイルとして送信され、一度クリックすると標的システムを感染させるために使用されるシェルコードがインストールされます。

 

Ryuk

Ryukは広く蔓延しているランサムウェアです。他のマルウェア(TrickBotなど)を介して標的システムに落とされることが多く、被害総額と攻撃性が非常に高いマルウェアです。Ryukは、実行ファイルごとに固有のキーを持つRSA・AES暗号化アルゴリズムを使用しており、そのキャンペーンは、高額の身代金が期待できる大規模な組織や政府機関への攻撃に使用されています。

 

Zeus

Zeus は最も広く普及しているバンキングマルウェアで、主にスパムやフィッシングキャンペーン (またはドライブバイダウンロード) を介して拡散されています。ハッカーはキーストロークのログを利用し、感染したシステムのユーザーから銀行の認証情報を簡単に盗み出します。

このトロイの木馬は最近開発されたものではなく、実際、2007年に米国運輸省への攻撃で確認されています。その2年後、Cisco、Amazon、Oracle、Bank of Americaに対する攻撃で利用され、甚大な被害をもたらしました。

Zeusボットネットは今のところ、これまでで最も普及していて攻撃性の高いバンキング型トロイの木馬の1つであると思われます。このコードは容易に拡張・修正が可能で、「他の多くのマルウェアの亜種がそのコードベースの一部を採用して」おり、Zeusは現在も活動を続けています

 

Dridex

Dridexもバンキング型トロイの木馬の一つで、BugatやCridexとも呼ばれています。これは、被害者の銀行口座からの不正送金を可能にするフィッシングやメールスパムを通じて、金融情報を標的として活動しています。2019年には、このマルウェアは多数の国に影響を与え、データ損失と金銭的損失の両方をもたらしました。

Dridexボットネットは2012年に初めて登場し、2015年には金融機関を標的とするバンキング型トロイの木馬の中で最も普及したものの1つになっていました。US-CERTアラート(AA19-339A)によると、Dridexは新たな攻撃手法で再登場しています。つまり、BitpaymerやDoppelPaymerランサムウェアと並んで感染チェーンに埋め込まれ、リスクに晒されている中小規模の組織を標的にしています。

米国の国土安全保障省によると、このマルウェアとその様々なバージョンは、銀行機関や顧客を含む金融サービス部門を標的とするパーソナライズされた攻撃として、悪名高いものとなっています。また、多くのオンライン金融業務に対するランサムウェア攻撃と組み合わせて使用されており、影響を受けたシステム上にDridexマルウェアをダウンロードしたユーザーをランサムウェアに感染させています。

 

Trickbot

Trickbotは、Windowsを標的とした新しいバンキング型トロイの木馬の一つであり、より効果的に個人データや銀行の資格情報を盗むことを目指し、すでに数回アップデートされています。ここ数年で、自らを隠す能力や検出をより困難にする能力を向上させています。現在、複数の方法で拡散しており、フィッシング経由だけでなく、感染した接続済みのシステム(企業ネットワークなど)を経由して二次的なペイロードとしても広がっています。このことは、2019年を通して着実に検出数が増えていることに表れており、Malwarebytes Labs 2020 State of Malware Reportの中でも言及されています。

攻撃は多くの場合、Google Docs上のファイルにリンクするメールを介して行われます。ユーザーはその文書がPDFであると信じるように誘導されますが、実際には実行ファイルです。一度起動すると、ファイルが利用できないことをユーザーに知らせる偽のエラーメッセージを表示しつつ、バックグラウンドで動作します。 

「バンキング型トロイの木馬『TrickBot』は、2016年後半に登場して以来、ディフェンダーやインターネットセキュリティプロバイダーの一歩先を行くために、絶えずアップデートや変更を繰り返してきた」と、Webrootは指摘します。「TrickBot の開発者は、世界中のさまざまな金融機関を標的にし続けており、MS17-010 のエクスプロイトを使用して、被害者のネットワーク全体を上手く移動しようと試みています」。そのため、企業にとっては深刻なリスクとなります。

 

出典:https://resources.infosecinstitute.com/top-6-malware-strains-to-watch-out-for/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+infosecResources+%28InfoSec+Resources%29

 

Analyst’s Comments:

新型コロナウイルスのパンデミックに乗じて、マルウェアを実行させようとする不正なメールや、フィッシングが非常に多く見受けられるようになってきています。日本国内においても被害が増えることが予想されますので、更に警戒を強めていく必要があると考えています。

Yusuke Gunji (CEO @Machina Record )

 

 

 

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。