Analyst’s Choice
「アナリスト・チョイス」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションなどをコメントしています。
アナリスト:
(Intelligence Architect @Machina Record)
Articles
・富士フイルム、ランサムウェア攻撃でネットワーク停止
・マイクロソフトが悪意あるドライバー「Netfilter」に署名
富士フイルム、ランサムウェア攻撃でネットワーク停止
・富士フイルムは、東京本社が2021年6月1日にサイバー攻撃を受けたことを発表しました。同社は、「ランサムウェア攻撃の可能性を認識した」と述べました。
・この攻撃を受けて同社は、自社ネットワークの一部を停止し、外部からの通信を遮断することを決定しました。今回のインシデントはFujifilm USAにも影響を及ぼしました。Fujifilm USAはネットワークの問題に見舞われ、Eメールおよび電話システムが影響を受けました。
・Advanced IntelのVitali Kremez氏はBleepingComputerに対し、富士フイルムは先月トロイの木馬「Qbot」に感染した、と伝えました。Kremez氏は、「Qbot」マルウェアグループが現在「REvil」ランサムウェアグループと協力しているということを指摘しつつ、「Qbot」への感染により、将来ランサムウェア攻撃を受けるリスクが生じる恐れがあると述べました。
情報源:
Analyst’s Comments
影響範囲:
現在のところ、侵入の範囲は富士フイルム東京本社内の特定のネットワークに限られています。この攻撃中にどの情報が盗まれた、あるいは改ざんされた可能性があるかについては依然として詳細が明かされていません。
見解:
上記の情報源によると、富士フイルムは先月「Qbot」に感染したと報告されています。「Qbot」のオペレーターは被害者システムへのリモートアクセスを販売しているため、「Qbot」トロイの木馬は「REvil」ランサムウェアをはじめとする次のランサムウェアの感染経路として機能することが多いです。「Qbot」はまた、インストールされた際に、保存されている被害者のパスワード、クッキー、クレジットカード情報、Eメール、そしてオンラインバンキングのクレデンシャルを盗もうとすることでも知られています。「Qbot」は、被害者のクレデンシャルを利用することにより、フィッシングを通じて被害者と関わりのある組織や個人に感染しようとします。
緩和戦略:
被害者のコンピューターへの「Qbot」の主たるインストール手法は、フィッシングEメールやフィッシングウェブサイトに隠された悪意あるダウンロードファイル等を通じたものであるため、全ての従業員が適切なサイバーハイジーンを実践することで、この脅威を大幅に排除することができます。加えて、この脅威を緩和するために以下の措置をとることをご検討ください。
- 使用を権限のあるユーザーに限定するために、SMB(Server Message Block)を無効にするか、あるいはSMBのホワイトリスト機能を使用しましょう。
- ビヘイビア(挙動)ベースのアンチウイルス保護製品を使用しましょう。
- 実行可能なスクリプトや、PowerShellなどその他のスクリプトタイプで書かれたEメールメッセージを隔離しましょう。また、悪意あるサイトからのメッセージがユーザーの元へ到達するのを防ぐために、DMARCを有効にすることをご検討ください。
- Active Directory アカウントやウェブフィルタリングを利用するなど、全てのアクセスに対して最小限の権限を付与しましょう。
マイクロソフトが悪意あるドライバー「Netfilter」に署名
・G Dataの研究者が、マイクロソフトによって署名された、「Netfilte」と名付けられた悪意あるドライバーを発見しました。最も古いものは2021年3月のものです。このドライバーは文字列の一部を難読化し、TEMPファイルを作成して、C2から構成情報を呼び出します。このマルウェアの中核的な機能はIPリダイレクトであることが判明した上、同マルウェアにはセルフアップデートルーチンも備わっていてURLからアップデートサンプルの引き出しを行っているほか、プロキシ設定とルート証明書も組み込まれています。
・マイクロソフトによれば、このドライバーの配布は中国のゲームセクター内で行われており、企業環境内ではなかったとのことです。同マルウェアにより、アクターが自身の地理的位置情報を偽ってゲーム内での優位性を獲得することが可能になっていたほか、他のプレーヤーのアカウントをキーロガーなどのツールで侵害できるようになっていました。
・このマルウェアの活動は全て、すでに入手されていた管理者特権を利用し、侵入後に発生していました。マイクロソフトは、WHCP(Windows Hardware Compatibility Program)の署名証明書が流出したという証拠を視認しておらず、インフラは侵害されていませんでした。このドライバーがどのように署名プロセスを通過したのかは不明のままです。
情報源:
- https://www.gdatasoftware.com/blog/microsoft-signed-a-malicious-netfilter-rootkit?_hsmi=136778222&_hsenc=p2ANqtz-86wSxghApi4HNS6FSIMUAZAPKL2p2uiX4z_KTcbCuCRvvEcaOX0esPvrAojAYCvuWV0ErDuUXXXVAHBFWVYCWG3qCCvQ (IoCあり)
- https://msrc-blog.microsoft.com/2021/06/25/investigating-and-mitigating-malicious-drivers/?_hsmi=136778222&_hsenc=p2ANqtz-8kvAnGjQO_LuXsEuAf8a1KMRrYdJ6oSIEEJmV-VqWHDIKcdR54gNyDy5id88GVp4Rv2NWwhyAauoHxyMR_ray45w4fTw (IoCあり)
Analyst’s Comments
影響範囲:
これは、中国のゲームセクターのみに影響を与える独立したインシデントでした。標的にされていると報告された企業はありませんでした。
見解:
マイクロソフトによって正式に署名された悪意ある証明書あるいはドライバーは、見落とされた場合、ゼロデイエクスプロイトとほぼ同等の危険性を持つ恐れがあります。セキュリティ検出システムからは誤検出のように認識される場合があり、簡単に見過ごされる可能性があります。このインシデントは中国内の、企業ではないゲームセクターでのみ観測されているため、現在のところ、それ以外のセクターへのリスクは低いです。
緩和戦略:
サードパーティ製のマルウェア検出システムは、上記のような疑わしいドライバー/証明書/ファイルに誤検出のフラグを立てる可能性があります。こうした誤検出が本当に誤検出であることを確かめるための調査を、たとえ小規模であっても行う価値は常にあります。
このインシデントの情報源には、関連する既知の悪意あるファイルのIPアドレスやハッシュ値を含め、IoCが掲載されています。これらを侵入検出システムに取り入れることが、侵入の特定と予防の両方に役立つでしょう。
Writer