Analyst’s Choice
「アナリスト・チョイス」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションなどをコメントしています。
アナリスト:
(Intelligence Architect @Machina Record)
Articles
Article.1
Article.2
Article.3
日本の組織を狙うBlackTechのマルウェアGh0stTimes
クレデンシャル・スタッフィング攻撃とは?
ECサイトが狙われた最近の実例
盗まれたアカウント認証情報150万組を使って、ECサイトに対して自動化されたクレデンシャル・スタッフィング攻撃を行う「Proxy Phantom」という名のアクターを、Siftの研究者が発見しました。
同アクターは毎秒約2,691回のログイン試行を、変化するIPアドレスを使って行うことで、リクエストがより本物らしく、かつ地理的に分散しているように見せかけています。
同アクターの活動が特に増加したのは2021年4〜6月の間で、この時にはIPクラスタが倍増しました。
情報源:
アナリストのコメント
影響範囲
ログイン画面があり、2要素認証を導入していない、誰でもアクセスできるWebサイトすべて
見解
クレデンシャル・スタッフィングとは
今回のインシデントで使用された攻撃の主な手法は「クレデンシャル・スタッフィング」です。
クレデンシャル・スタッフィングでは、脅威アクターは、ユーザー名とパスワードの膨大なリストを、通常、ダンプやダークウェブ上のマーケットプレイスから入手します。次に、スクリプトを作成し、これらのクレデンシャル(*)すべてをWebサイトのログインフィールドに自動入力します。
(*)クレデンシャルとは…ユーザー名・パスワードなど、ユーザーの認証で使われる情報のこと
ログインが成功すると、上記のスクリプトはこれを記録し、有効なクレデンシャルをリスト内から攻撃者に返します。
攻撃に使われるマシンは通常、VPNや、その他IPアドレスを絶えず変化させるサービスの背後にあるため、ログイン試行が複数回失敗したことによるブロッキングをもってこの攻撃を阻止することは困難です。
緩和戦略
対策は「2要素認証」
クレデンシャル・スタッフィング攻撃を防ぐための最も効果的な方法は、ユーザーに対して2要素認証を要求することです。
2要素認証用コードは数秒間しか表示されず、多くの場合、トークンを生成する物理的なデバイスを利用できる状態が求められます。そのため、攻撃者は、たとえ正しいユーザー名とパスワードを所持していたとしても、認証を通り抜けることはできません。
ダークウェブ監視ツールも有効
2要素認証が使用できない場合は、クレデンシャル・スタッフィング攻撃に対する早期の警告を受け取るために、FlashpointのCompromised Credentials Monitoring(侵害されたクレデンシャルの監視)などのサービスを利用することが可能です。
この警告は、クレデンシャルがクリアウェブサイトやダークウェブサイト上で観測された際に、顧客にアラートを送信することによって行われます。
JVCケンウッドをContiランサムウェアが攻撃
従業員のパスポートが共有される
Contiランサムウェアのオペレーターらは、JVCケンウッドから1.7TBのデータを盗んだと主張しており、報道によると、身代金7百万ドルを要求しているとのことです。Contiは攻撃の証拠として、JVCケンウッド従業員のパスポートのスキャンデータを含んだPDFを共有しました。
狙われたのは欧州の販売会社
JVCケンウッドは、欧州の販売会社のサーバーが2021年9月22日に狙われたことを認めました。また、その時に攻撃者がデータにアクセスした可能性があるとも述べました。現在調査中ですが、顧客データの漏洩は現時点で1件も確認されていません。
情報源:
アナリストのコメント
影響範囲
JVCケンウッド
見解
Contiは、盗まれたリモートデスクトップ・プロトコル(RDP)のクレデンシャルを使って、被害者のネットワークに不正アクセスすることが確認されています。また、Contiランサムウェアは多くの場合、感染したメール添付ファイルや有害リンクを使ったスピアフィッシングという手段で拡散されたり、最近の注目されている脆弱性(例えば、PrintNightmare(CVE-2021-34527)の脆弱性 )を通じて拡散されたりします。
Contiランサムウェアの攻撃技術に関する、さらに詳しい情報は、 US-CERT(米コンピューター緊急事態対策チーム)のContiに関するアラートで確認いただけます。
緩和戦略
米国のCISA、FBI、NSAによって、以下の緩和戦略が推奨されています。さらに詳しいものは、US-CERTのContiアラート内でご覧いただけます。
・多要素認証を使用する。
・ネットワークセグメンテーションとトラフィックのフィルター処理を実施する。
・脆弱性がないかスキャンを行い、ソフトウェアを最新状態に保つ。
・不要なアプリケーションを削除し、組織内で利用できるアプリを規制する。
・EDR(Endpoint Detection and Response)ツールを実装する。
・特にRDPを制限することにより、ネットワーク上のリソースへのアクセスを制限する。
・ユーザーアカウントを保護する。
・ランサムウェアに感染した場合は、Ransomware Response Checklist(MS-ISACによる資料「Ransomware Guide」内)を使用する。
日本の組織を狙うBlackTechのマルウェアGh0stTimes
Gh0st RATのカスタマイズ版
JPCERTコーディネーションセンター (JPCERT/CC) の研究者は、脅威アクターBlackTechが日本企業に対して現在実行中の攻撃で使用しているマルウェア、Gh0stTimesを分析しました。同マルウェアは、2020年から使用されているGh0st RATのカスタマイズ版です。
共通点と、追加された機能
Gh0stTimesはカスタマイズされた通信プロトコルを使用し、ホスト名、ユーザー名、プロセッサー名など、特定のシステム情報を収集します。同マルウェアのリモートシェル実行コマンドやファイル操作コマンドはGh0st RATのものと同一である一方、C2サーバーリダイレクト機能とプロキシ機能が追加されています。
情報源:
アナリストのコメント
影響範囲
日本、台湾、および香港の企業が、BlackTechグループによる攻撃の主な標的です。
見解
BlackTechはマルウェアを拡散するために、RLO(Right to left override)と呼ばれる技術など、多数の特徴的な手法を用います。
この技術では、本来、右から左へと記述される言語がコンピューター基準に適合できるようにすることを意図している特殊なUnicode文字が、ファイル名に含まれるファイル拡張子を判読しにくくするために使用されます。
例えば、「INVOICE_01.10.2021_.fildoc.exe」というファイル名のついた有害な添付ファイルは、RLOを用いて「INVOICE_01.10.2021_.filexe.doc」という表記に見えるよう修正される恐れがあります。
これにより、この実行可能ファイルがあたかも無害なドキュメントファイルであるかのように見せかけるのです。
緩和戦略
以下は、JP-CERTがこのマルウェアに関して提供しているIoC(C2サーバー)のリストです。
・tftpupdate.ftpserver.biz
・108.61.163.36
・update.centosupdates.com
・107.191.61.40
・osscach2023.hicloud.tw
・103.85.24.122
・106.186.121.154
上記以外のIoCや、同マルウェアのオペレーションに関するその他の技術情報は、関連するJP-CERTのブログ記事でご確認いただけます。
関連投稿
Writer