2020.10.05

9月29日 Anomali ウィークリー 脅威ブリーフィング

Anomali Blog

ウィークリー脅威ブリーフィング:連邦当局への侵害、エクスプロイト、マルウェア、スパイウェア

 

レビュアー:Anomali Threat Research 2020年9月29日

カテゴリー:ウィークリー 脅威ブリーフィング

 

今回の「ウィークリー脅威ブリーフィング」では、脅威インテリジェンス関連のニュース記事を題材に、APT、サイバー諜報活動、FinSpy、Magneto、Taurusプロジェクトや脆弱性に関する話題を考察します。

今回のトピックに関連するIoCは、以下の図の通りです。悪意のある潜在的アクティビティがないか、ログをチェックする際にご利用頂けます。

図1:IoCサマリーチャート(このチャートは本ブログ記事に関連するIoCを集約するもので、話題に上がった脅威の一部を示しています)

 

サイバーニュースと脅威インテリジェンスのトレンド

 

ドイツ製の「FinSpy」スパイウェアがエジプトで発見され、Mac版とLinux版の存在が明らかに

(公開:2020年9月25日)

アムネスティ・インターナショナルのセキュリティ研究者は、個人データにアクセスしたり、音声/ビデオを録画したりできるスパイウェア「FinSpy」の新種を特定しました。独裁的な政府は、法執行ツールとして使用する一方で、活動家や反体制派を監視するために「FinSpy」を使用しています。Flash Playerの偽アップデートによって拡散し、エクスプロイトを使用してルートとしてインストールされ、logind.pslistファイルを作成することで永続性を獲得します。システムがこのマルウェアに感染すると、シェルスクリプトの実行、音声の録音、キーロギング、ネットワーク情報の表示、ファイルの一覧表示が可能になります。macOS、Windows、Android、Linux用の「FinSpy」のサンプルが見つかっています。

提案:ネットワークとホストベースのセキュリティの両方に焦点を当てて、脅威アクターからの安全性を確保するには、多層防御(セキュリティメカニズムの階層化、冗長性、フェールセーフ防御プロセス)が最善の方法です。また、予防と検知の機能も備えておく必要があります。さらに、すべての従業員は、スピアフィッシングのリスクを見極める方法について教育を受けなければなりません。

MITRE ATT&CK: [MITRE ATT&CK] Logon Scripts – T1037 | [MITRE ATT&CK] Standard Application Layer Protocol – T1071

Tags: Amnesty, Android, Backdoor, Linux, macOS, FinSpy, Spyware

 

 

Magneto上のクレジットカードを盗み出すマルウェア「gstaticapi」

(発行:2020年9月25日)

Sucuri社のセキュリティ研究者は、Magento ベースのWebサイトから支払い情報を盗むように設計された「gstaticapi」と呼ばれる悪質スクリプトを特定しました。このスクリプトはまず、WebブラウザのURLから「チェックアウト」文字列を見つけようとし、見つかった場合、Webページのヘッダーにエレメントを作成します。これにより、請求書や決済カード情報の盗難処理に使われる外部のコードロード機能をJavaScriptで処理できるようになります。

提案:Webマスターは、最初の感染から数ヶ月後に自分のサイトが侵害されていることを発見することがあります。個人のワークステーションと同じように、最新の脅威に対応するためには、常にメンテナンスと維持管理を行う必要があります。サーバーソフトウェアを最新の状態に保つことに加えて、外部に面したすべての資産を監視し、脆弱性をスキャンすることが重要です。バックアップから簡単に復元できる機能、インシデント対応計画、顧客とのコミュニケーションチャネルは、すべて侵害が発生する前に確立されている必要があります。

MITRE ATT&CK: [MITRE ATT&CK] Command-Line Interface – T1059 | [MITRE ATT&CK] Input Capture – T1056 | [MITRE ATT&CK] Data Encoding – T1132

Tags: Credit Card, Javascript, Magento

 

「TaurusProject」、悪質な広告を介して拡散

(発行:2020年9月24日)

Malwarebytes社のセキュリティ研究者は、主に米国、英国やオーストラリアのアダルトサイトのユーザーを標的にした「Taurus Project」という新しいスパムキャンペーンを発見しました。ユーザーのインターネットトラフィックは Fallout exploit kit を経由してルーティングされ、その結果、パッチが適用されていないバージョンの Internet Explorer や Flash Player を搭載したシステム上で 「Taurus」をダウンロードします。「Taurus Project」は、2020年春に米国内のユーザーをターゲットにしたマルスパムキャンペーンを通じて配布されていることが最初に確認されたスチーラーです。感染は、ユーザーがマクロを含む文書を開くことから始まり、Powershellスクリプトをキックスタートさせ、そのスクリプトが「Taurus」バイナリをダウンロードします。デバイスにインストールされると、「Taurus」はブラウザ、VPN、FTP、Eメールクライアント、暗号通貨のウォレットから資格情報を盗むことができます。「Taurus」は、「Predator the Thief」というマルウェアと酷似しており、同じ開発者であると考えられています。そのため、多くのセキュリティ製品は、「Taurus」を「Predator the Thief」として検出します。

提案:必要なブラウザアドオン(Flash、Java)を含め、ブラウザとOSを常に最新の状態にしてください。可能であれば、ネットワークおよびホストベースの検知・防御システムを採用しましょう。感染した場合は、感染したシステムのワイプ(完全消去)や再フォーマットを必ず行いましょう。また、ネットワーク上の他の機器にも同様の感染がないか確認する必要があります。

MITRE ATT&CK: [MITRE ATT&CK] Hooking – T1179 | [MITRE ATT&CK] Kernel Modules and Extensions – T1215 | [MITRE ATT&CK] Hooking – T1179 | [MITRE ATT&CK] Process Injection – T1055 | [MITRE ATT&CK] File Deletion – T1107 | [MITRE ATT&CK] Process Injection – T1055 | [MITRE ATT&CK] Modify Registry – T1112 | [MITRE ATT&CK] Hooking – T1179 | [MITRE ATT&CK] Query Registry – T1012 | [MITRE ATT&CK] Application Window Discovery – T1010 | [MITRE ATT&CK] Peripheral Device Discovery – T1120 | [MITRE ATT&CK] Remote Desktop Protocol – T1076 | [MITRE ATT&CK] Data Compressed – T1002

Tags: Taurus Project, Predator the Thief, malspam, fallout exploit

 

悪意のサイバーアクターが連邦政府機関に侵入

(公開:2020年9月24日)

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)によると、ある連邦政府機関がサイバースパイ攻撃の被害を受けました。CISAは、被害を受けた機関名を公表しませんでしたが、攻撃の技術的詳細を提供しました。攻撃者は、従業員の正規の「Office 365」ログイン認証情報を使ってコンピュータにリモートログオンすることで最初のアクセスを得たと、CISAは考えています。次に、攻撃者はSharePointサイトのページを閲覧し、ファイルをダウンロードし、被害者の仮想プライベートネットワーク(VPN)サーバに接続しました。CISAは、ファイルをリモートで不正に取得することを可能にする未パッチの脆弱性「CVE-2019-11510」を、攻撃者が悪用したと考えています。VPNアクセスを確保し、コマンドアンドコントロール(C2)サーバに連絡し、「inetinfo.exe」をダウンロードすると、このカスタムマルウェア・ドロッパーは、2つ目の無名のマルウェアをシステムに展開させました。永続性が実現すると、攻撃者はディレクトリからファイルを閲覧およびコピーした後、Windows Terminal Servicesクライアントを使用してファイルを流出させました。CISAは、侵害されたファイルについてコメントしていませんが、攻撃は収まったとしています。

提案:APT からの安全性を確保する最善の方法は、多層防御(セキュリティメカニズムの階層化、冗長性、フェールセーフ防御プロセス)です。ここには、ネットワークベース、ホストベースの両方のセキュリティに焦点を当てることも含まれます。また、予防と検知の機能も備えておく必要があります。さらに、スピアフィッシングのリスクとそれを見破る方法について、従業員全員が教育を受けるべきです。

MITRE ATT&CK: [MITRE ATT&CK] Valid Accounts – T1078 | [MITRE ATT&CK] Exploit Public-Facing Application – T1190 | [MITRE ATT&CK] Exploitation for Credential Access – T1212 | [MITRE ATT&CK] Email Collection – T1114 | [MITRE ATT&CK] External Remote Services – T1133 | [MITRE ATT&CK] Account Manipulation – T1098 | [MITRE ATT&CK] Command-Line Interface – T1059 | [MITRE ATT&CK] System Network Configuration Discovery – T1016 | [MITRE ATT&CK] Command-Line Interface – T1059 | [MITRE ATT&CK] Connection Proxy – T1090 | [MITRE ATT&CK] Create Account – T1136 | [MITRE ATT&CK] Data Staged – T1074 | [MITRE ATT&CK] Connection Proxy – T1090 | [MITRE ATT&CK] Data from Local System – T1005 | [MITRE ATT&CK] Data from Network Shared Drive – T1039 | [MITRE ATT&CK] Scheduled Task – T1053

Tags: cyber-espionage, government, APT, vulnerability

 

 

ハッカーがサウジアラビアのVirgin Mobileを攻撃

(公開:2020年9月21日)

Data Breach Todayによると、攻撃者がサウジアラビアにあるVirgin Mobileのオフィスネットワークに侵入したとのことです。この攻撃は、EメールシステムとActive Directory (AD)の両方にアクセスすることに成功しました。ADサーバーへのアクセスを得た後、攻撃者はドメインで使用されているクレデンシャルハッシュをダンプしました。このデータは、後にDarkWebフォーラムで販売・宣伝されました。攻撃者は2月にマイクロソフトによってパッチが当てられたMicrosoft Exchangeの脆弱性を悪用した模様です。脅威アクターがVirginのネットワーク内にいた期間は不明ですが、データは7月7日に流出したものと見られます。米国CISAは3月10日、「CVE-2020-0688」に対して脆弱なMicrosoft Exchangeサーバが脅威アクターの標的になっているとするアドバイザリーを発表しました。9月14日にはフォローアップアドバイザリを公開しました。

提案:会社内にパッチメンテナンスポリシーを整えておくことが大切です。このことは、BYODポリシー(注)が利用されている場合には特に重要です。オープンソースで脆弱性が報告されると、その脆弱性を脅威者が悪用しようとする可能性が高くなります。悪用を防ぐために、できるだけ早くパッチを見直し、適用する必要があります。

(注:BYODポリシー=社員が個人所有のデバイスを企業に持ち込み、業務に使用する仕組み)

MITRE ATT&CK: [MITRE ATT&CK] External Remote Services – T1133

Tags: CVE-2020-0688, Data breach, Virgin Mobile

 

Sambaが「ZeroLogon」のセキュリティアップデートをリリース

(公開:2020年9月21日)

米国CISAは、Sambaが「CVE-2020-1472」に対処したことに関する公示を出しました。同公示は、早急にパッチまたは回避策を適用するよう管理者に促しています。Sambaのアドバイザリによると、Sambaをドメインコントローラとして利用している場合、「CVE-2020-1472(ZeroLogon)」の脆弱性があるとのことです。バージョン4.8(2018年3月リリース)以降ではセキュアログオンが強制されており、デフォルト設定であれば影響を受けません。

提案:問題を修正するためには、Samba 4.10.18、4.11.13、4.12.7のいずれかにアップデートしてください。また回避策として、4.8より前のバージョンのユーザーは「smb.conf」ファイルに「server schannel = yes」を追加してください。それ以降のバージョンのユーザーは、設定ファイルに「server schannel」行が存在しないことを確認するか、設定ファイルに「server schannel = yes」を追加してください。

Tags: CVE-2020-1472, Samba, ZeroLogon

 

原文「ウィークリー Anomaliブログ」:https://www.anomali.com/blog/weekly-threat-briefing-apt-group-malware-ransomware-and-vulnerabilities

 

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。