2020.10.08

10月8日 Anomali ウィークリー 脅威ブリーフィング

Anomali Blog

ウィークリー脅威ブリーフィング:ランサムウェア、IPStorm、APTグループなど

 

レビュアー:Anomali Threat Research 2020年9月29日

カテゴリー:ウィークリー脅威ブリーフィング

 

今回の「ウィークリー脅威ブリーフィング」では、脅威インテリジェンス関連のニュース記事を題材に、APT、Blacktech、BLINDINGCAN、Linux Malware、Plamerworm、脆弱性やXDSpyに関する話題を考察します。今回のトピックに関連するIoCは、以下の図の通りです。悪意のある潜在的アクティビティがないか、ログをチェックする際にご利用頂けます。

図1:IoCサマリーチャート(このチャートは本ブログ記事に関連するIoCを集約するもので、話題に上がった脅威の一部を示しています)

 

サイバーニュースと脅威インテリジェンスのトレンド

 

Grindrが任意のユーザーアカウントを完全に乗っ取ることができるバグを修正

(公開:2020年10月3日)

LGBTネットワーキングプラットフォーム「Grindr」は、あらゆるアカウントが乗っ取られる可能性がある脆弱性を修正しました。この脆弱性はセキュリティ研究者のWassime Bouimadaghene氏が発見したもので、ページのレスポンスコンテンツの中にリセットトークンが流出していることが判明しました。これにより、ユーザーのメールアドレスを知っている者は、メールで送信されるリセットリンクを生成することが可能になります。アカウントへのアクセス権を得ることで、攻撃者はアプリに保存されている写真やHIVの状態、位置情報、メッセージなどの機密情報を入手することが可能になっています。「Grindr」はバグ報奨金プログラムを発表しています。

提案:アカウントが破られた場合は、関連するメールアドレスに送信されるリセットリンクを使用してパスワードをリセットすることができます。

Tags: Browser, Exposed tokens, Grindr, Sensitive Info

 

 

「XDSpy」が2011年から国家機密を窃盗

(公開:2020年10月2日)

ESETのセキュリティ研究者は、東欧の政府や企業を最大9年間にわたって標的にしている新たなAPT攻撃(持続的標的型攻撃)グループを特定しました。このグループは「XDSpy」と呼ばれ、ESETは他の既知のグループとのコードの類似性や共有インフラを特定できませんでした。しかしESETは、同グループが月曜から金曜の間に、UTC+2またはUTC+3のタイムゾーンで活動していると考えています。「XDSpy」は、主にスピアフィッシングメールを使用しいます。メールには、いくつかの種類がありますが、中には添付ファイルや悪意のあるファイル(通常、ZIPもしくはRAR形式)へのリンクを含んでいるものもあります。悪意のあるファイルが被害者に感染すると、「XDDown」というダウンローダーをインストールし、追加のプラグインをインストールして、ファイル、パスワード、近くのSSIDなどの情報を盗み出し始めます。また、「XDSpy」は「CVE-2020-0968」(Internet ExplorerのレガシーJavaScriptの脆弱性)を使用していることが確認されており、「DarkHotel」のキャンペーンや「Operation Domino」と類似しています。ESETはこれらのキャンペーンと関連があるとは考えていませんが、同じエクスプロイトブローカーを使用している可能性があると見ています。

提案:APT からの安全性を確保する最善の方法は、多層防御(セキュリティメカニズムの階層化、冗長性、フェールセーフ防御プロセス)です。ここには、ネットワークベース、ホストベースの両方のセキュリティに焦点を当てることも含まれます。また、予防と検知の機能も備えておく必要があります。さらに、スピアフィッシングのリスクとそれを見破る方法について、従業員全員が教育を受けるべきです。

MITRE ATT&CK: [MITRE ATT&CK] Exploitation for Client Execution – T1203 | [MITRE ATT&CK] System Owner/User Discovery – T1033 | [MITRE ATT&CK] System Information Discovery – T1082 | [MITRE ATT&CK] System Information Discovery – T1082 | [MITRE ATT&CK] File and Directory Discovery – T1083 | [MITRE ATT&CK] Data from Local System – T1005 | [MITRE ATT&CK] Data from Removable Media – T1025 | [MITRE ATT&CK] Screen Capture – T1113 | [MITRE ATT&CK] Automated Collection – T1119 | [MITRE ATT&CK] Automated Exfiltration – T1020 | [MITRE ATT&CK] Exfiltration Over Command and Control Channel – T1041

Tags: XDSpy, XDDown, APT, Eastern Europe

 

 

Linux版の「IPStorm」を発見

(2020年10月1日)

「IPStorm (InterPlanetary Storm) 」は、Anomali の研究者によって発見されたボットネットで、IPFS (InterPlanetary File System)を使用して悪意のあるトラフィックを難読化し、被害者のマシン上で任意のコードを実行できるようにしています。最近では、Intezerのセキュリティ研究者が、「IPStorm」の新たなLinux版変種を特定しました。GoLangで書かれたこのLinux版は、SSHブルートフォースを介して拡散する能力と、Android Debug Bridge (ADB)をチェックする能力を持ちます。また、Android版のマルウェアをアップロードし、ウイルス対策ソフトウェアによる検出を回避し、root権限で実行された場合には永続性を獲得して、リバースシェルを行います。同ボットネットは、ユーザーが広告のiframeをクリックするのを模倣することで、偽の広告クリックを作成します。

提案:「IPStorm」がシステム上で動作しているかどうかは、’pstree | grep storm’ ‘sudo systemctl status storm.service’で確認できます。また、「IPStorm」のファイルがシステム上にあるかどうかを確認するには、’sudo find/ -name “storm*” -type f’ を使用します。もし、システム上に「IPStorm」がある場合は、 ‘sudo systemctl stop storm.service’ を実行してサービスの実行を停止し、’sudo pkill -9 storm’ を実行してプロセスを kill(終了)してください。また、全ての関連ファイルを確実に削除してください。

 

Tags: Botnet, Go, GoLang, IPStorm, Linux, Malware

 

 

「Palmerworm」がメディア、金融業界などを標的に

(公開:2020年9月29日)

シマンテックの研究者は、「Palmerworm(BlackTech)」 グループによる、米国とアジアの組織を標的にした新たなスパイ活動を追跡しています。今回のキャンペーンは2019年8月頃から始まったとみられ、台湾のニュースメディア、電子機器メーカー、金融会社、日本のエンジニアリング企業、中国の建設会社、および米国のさまざまな企業を標的にしていると見られています。研究者は現在、「Palmerworm」がどのように初期アクセスを獲得しているのか確証を得ていません。しかし「Palmerworm」は、以前には見られなかったマルウェアファミリーの「Backdoor.Consock」、「Backdoor.Waship」、「Backdoor.Dalwit」、「Backdoor,Nomri」を展開する前には、スピアフィッシングメールを使用していました。このグループは、「Trojan Horse」と呼ばれるカスタムローダーも利用しています。「Palmerworm」は中国政府とのつながりがあると考えられており、中国政府の支援を受けている可能性があります。

提案:APT からの安全性を確保する最善の方法は、多層防御(セキュリティメカニズムの階層化、冗長性、フェールセーフ防御プロセス)です。ここには、ネットワークベース、ホストベースの両方のセキュリティに焦点を当てることも含まれます。また、予防と検知の機能も備えておく必要があります。さらに、スピアフィッシングのリスクとそれを見破る方法について、従業員全員が教育を受けるべきです。

MITRE ATT&CK: [MITRE ATT&CK] Screen Capture – T1113 | [MITRE ATT&CK] Code Signing – T1116 | [MITRE ATT&CK] Spearphishing Link – T1192 | [MITRE ATT&CK] Standard Application Layer Protocol – T1071 | [MITRE ATT&CK] Exploit Public-Facing Application – T1190 | [MITRE ATT&CK] Masquerading – T1036 | [MITRE ATT&CK] Spearphishing Attachment – T1193 | [MITRE ATT&CK] Command-Line Interface – T1059 | [MITRE ATT&CK] Exfiltration Over Command and Control Channel – T1041

Tags: Palmerworm, BlackTech, APT, espionage

 

 

Lazarusが利用するマルウェア、「BLINDINGCAN」

(公開:2020年9月29日)

JPCERT/CCは、「Lazarus」グループが利用する、「BLINDINGCAN」と呼ばれるマルウェアの分析結果を公開しています。このマルウェアによってオペレーターは、感染したマシンのリモートアクセス制御ができるようになります。「BLINDINGCAN」は、ダイナミックリンクライブラリ(DLL)の形を取っており、実行するためにローダーを必要とします。JPCERT/CCが調査したいくつかのサンプルは暗号化されており、ローダーによって復号化された後に、ペイロードが実行されていました。脅威アクターはコンフィグファイルファイルを使用することで、このマルウェアを構成することができます。コンフィグファイルファイルは、マルウェアにハードコードされているか、DLLと同じフォルダ内のファイルとして保存されているか、レジストリキーに保存されているかのいずれかです。構成は、XOR スキーム、AES、または RC4 で暗号化されます。コマンドアンドコントロール(C2)プロトコルでは、データはRC4またはRC4の修正バージョンで暗号化されます。プレーンなRC4 と修正されたRC4 は、ネットワークペイロードの異なるパラメータに使用されるため、暗号化スキームの修正を知らない限り、解析者が復号化することが困難になります。

提案:APT からの安全性を確保する最善の方法は、多層防御(セキュリティメカニズムの階層化、冗長性、フェールセーフ防御プロセス)です。ここには、ネットワークベース、ホストベースの両方のセキュリティに焦点を当てることも含まれます。また、予防と検知の機能も備えておく必要があります。

MITRE ATT&CK: [MITRE ATT&CK] Deobfuscate/Decode Files or Information – T1140 | [MITRE ATT&CK] Modify Registry – T1112 | [MITRE ATT&CK] Obfuscated Files or Information – T1027

Tags: APT, Lazarus, BLINDINGCAN

 

 

米医療大手のUHS病院に「Ryuk」ランサムウェア攻撃

(2020年9月28日公開)

Bleeping Computerは、米国の医療大手、Universal Health Services(UHS)に対する攻撃を報告しました。Bleeping Computerによると、攻撃は「Ryuk」ランサムウェアのキャンペーンと見られます。「Ryuk」は、日曜日の夜遅くにネットワーク全体のファイルを暗号化し始めました。UHSは、ITセキュリティインシデントの影響を受けているとの声明を出していますが、「Ryuk」であることは認めていません。「Ryuk」関連の攻撃は、フィッシングメールを使って「Emotet」をインストールした後、「Trickbot」や「BazarBackdoor」、「Cobalt Strike」をインストールすることで始まるということが知られています。

提案:知らない送信者からの添付ファイルを開くことのリスクについて、従業員を教育しましょう。また、今回の事例で明らかなように、社内から送信されたように見えるEメールであっても、不審な添付ファイルを開くことには注意する必要があります。また、信頼できるベンダーが提供するスパムメール対策やウイルス対策アプリケーションを導入することも必要です。送信者が不明なメールは慎重に避け、そのような送信者からの添付ファイルは開かないようにしましょう。さらに、ランサムウェアに感染した場合に備えて、包括的でテスト済みのバックアップソリューションと事業継続計画を用意しておくことが重要です。

MITRE ATT&CK: [MITRE ATT&CK] Data Encrypted for Impact – T1486

Tags: Ransomware, Ryuk

 

 

原文「ウィークリー Anomaliブログ」:https://www.anomali.com/blog/weekly-threat-briefing-apt-group-malware-ransomware-and-vulnerabilities

 

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。