週刊　脅威ブリーフィング：APTグループ、マルウェア、ランサムウェアと脆弱性

 
レビュアー：Anomali Threat Research　2020年9月15日
カテゴリー：週刊　脅威ブリーフィング
 
今回の「週刊　脅威ブリーフィング」では、脅威インテリジェンス関連のニュース記事を題材に、APT、「Conti」ランサムウェア、クリプトマイナー、「Emotet」、「Linux」、米大統領選挙、そして脆弱性に関する話題を考察します。
今回のトピックに関連するIoCは、以下の図の通りです。悪意のある潜在的アクティビティがないか、ログをチェックする際にご利用頂けます。
 

図1：IoCサマリーチャート（このチャートは本ブログ記事に関連するIoCを集約するもので、話題に上がった脅威の一部を示しています）
 

サイバーニュースと脅威インテリジェンスのトレンド

中国の「ハイブリッド戦争」：北京、秘密とスキャンダルを入手するためオーストラリアと世界の大規模監視を実行

（公開：2020年9月14日）
 
中国の諜報機関と関わりがあるとされる深センの企業 Zenhua Data社から240万人分の個人情報を含むデータベースが流出しました。このデータベースには、著名人を含む3万5000人以上のオーストラリア人、5万2000人以上のアメリカ人の個人情報：住所、銀行情報、生年月日、犯罪歴、職歴、心理学的プロフィール、ソーシャルメディアなどが含まれています。政治家、弁護士、ジャーナリスト、軍人、メディア関係者、ナタリー・イムブルグリアなどが、オーストラリア人のデータベース内に確認されました。中国が大量監視システムを開発しているという主張は公開されている情報源から確認できますが、非公開の情報もこの主張を裏打ちしています。
 
提案：ユーザーは、自分が公開している情報について常に警戒を怠らず、個人情報や機密情報をオンラインに投稿することを避けるべきです。
タグ：China、Spying
 

米国の刑事裁判所が「Conti」ランサムウェアに襲われ、重要データに被害

（公開：2020年9月11日）
 
米国のルイジアナ州第4地方裁判所は、「Conti」ランサムウェアの最新の犠牲者となりました。同裁判所のWebサイトが攻撃された際、被告人、陪審員、証人に関連する多数の法廷文書を盗み出され、「Conti」ランサムウェアがインストールされました。犯行の証拠はDarkWeb上に投稿されました。Emsisoft社の脅威アナリスト、ブレット・キャロウ氏のマルウェア分析によると、この攻撃で実行されたランサムウェアは「Conti」であり、別のランサムウェアの系統である「Ryuk」とコードが類似していることが明らかになりました。また、同グループは、ランサムウェア・アズ・ア・サービス（RaaS）のオペレーターとして洗練されており、支払われた身代金の大部分を回収しており、検出を回避し、高度な攻撃ツールを開発し続けようとする意欲を持っています。この攻撃はまた、「Ryuk」キャンペーンで使用されているものと同様の「Trickbot」マルウェアをエクスプロイトチェーンに使用していました。
 
提案：脆弱性の修復とスキャン、監視、エンドポイントの保護、バックアップなどを含む深層防御が、ますます巧妙化する攻撃を阻止する鍵となります。ランサムウェア攻撃は、成功するたびに複数の収入源を得ることができるため、攻撃者にとって特に魅力的です。攻撃者は、被害者のファイルを解読するために身代金を恐喝することができるだけでなく（特に被害者が適切な障害復旧計画を持っていないことが判明した場合）、流出したデータを直接収益化したり、将来の攻撃を支援するためにデータを使用したりすることができます。この手法は、検出が困難なスピアフィッシング攻撃を構築するために、サプライチェーンの侵害にますます利用されるようになってきています。
 
タグ：conti、ryuk、ransomware
 

マイクロソフト、米大統領選キャンペーンへのAPT攻撃を詳述

（公開：2020年9月11日）
 
マイクロソフトは、2020年の米大統領選挙を標的としたロシア、中国、イランのハッカーの取り組みについて詳細なブログを公開しました。同社は、両選挙運動に関連する人物やグループを狙った攻撃を中心に、APTグループの活動が活発化していることを観察していますが、マイクロソフトのセキュリティツールが大部分の攻撃を検知し、防ぐことができたと述べています。攻撃は、「APT28」（Fancy Bear）、「APT31」（Zirconiumn）、「APT35」（Charming Kitten, Phosphorus）による犯行である可能性が高いです。ロシアの「APT28」は両党のキャンペーンをターゲットにしているようですが、中国の「APT31」はバイデンキャンペーン、イランの「APT35」はトランプキャンペーンを標的にしているようです。攻撃の多くは、利害関係のある人々のログイン情報を盗み出し、情報の収集、運営の妨害を目的にしています。
 
提案：ネットワークとホストベースのセキュリティの両方に焦点を当てることを含め、APT からの安全性を確保するには、詳細な防御（セキュリティメカニズムの階層化、冗長性、フェールセーフ防御プロセス）が最善の方法です。また、予防と検知機能も備えておく必要があります。
 
タグ：APT, apt28, apt31, apt35, fancy bear, charming kitten, phosphorus, China, Iran, Russia, US election, presidential election
 

「誰が電話をかけているのか？」CDRThief は Linux VoIP Softswitch を標的に

（公開：2020年9月10日）
 
「CDRThief」という新しいマルウェアがESETの研究者によって確認されました。VoIP ソフトスイッチ「Linknat VOS2009」および「VOS3000」を標的としたこのマルウェアは、発信者、通話時間、通話料金、着呼者 IP アドレスなどの通話データを盗み出します。通話情報は、ソフトスイッチの設定ファイルから取得した資格情報を使用してアクセスする内部MySQLデータベースから盗まれます。パスワードは暗号化されていますが、「CDRThief」はパスワードを解読して使用することができます。
 
提案：サーバーが常に最新のソフトウェアバージョンを実装していることを確認することが非常に重要です。ビジネスニーズを安全に遂行するために、適切なサーバー構成に関するポリシーを企業内で用意する必要があります。さらに、BYOD（Bring-Your-Own-Device）に関しては、すべてのデバイスを潜在的なセキュリティリスクと見なすポリシーを策定する必要があります。加えて、常に深層防御を実践してください（単一のセキュリティメカニズムに頼らず、複層セキュリティ、冗長化、フェイルセーフなどの実装をお勧めします）。
 
MITRE ATT&CK: [MITRE ATT&CK] Obfuscated Files or Information – T1027 | [MITRE ATT&CK] System Information Discovery – T1082 | [MITRE ATT&CK] Exfiltration Over Command and Control Channel – T1041
 
タグ：CDRThief, Linux, VoIP
 

Bluetooth の脆弱性により、攻撃者は認証キーを上書きすることが可能

（公開：2020年9月9日）
 
Bluetoothデバイスに「BLURtooth」と呼ばれる脆弱性が発見され、「Cross-Transport Key Derivation」（CTKD）を標的にしていることが明らかになりました。CTKDは、Bluetoothデバイスのペアリング時に認証キーを設定するために使用されますが、このCTKDを上書きすることで、攻撃者がデバイス上の他のBluetooth対応アプリやサービスへのアクセスを許可することができるようになりました。この攻撃のバージョンによっては、認証キーが完全にオーバーライドされるものもあれば、ダウングレードされるものもあります。標準的なBluetoothのバージョン4.0と5.0を使用しているすべてのデバイスが脆弱です。現在のところパッチは提供されていませんが、識別子「CVE-2020-15802」に対応したパッチの開発が期待されています。
 
提案：ユーザーは、「BLURtooth」の脆弱性のバグ識別子であるCVE-2020-15802が言及されてないが、ファームウェアやOSのリリースノートを確認することで、自分のデバイスがBLURtooth攻撃のパッチを受けているかどうかを把握することができます。
 
タグ：Bluetooth, blurtooth, vulnerability
 

正規のクラウド監視ツールを悪用したサイバー攻撃

（公開：2020年9月8日）
 
Intezerの研究者によると、「TeamTNT」という脅威アクターグループは、「Weave Scope」と呼ばれるオープンソースのツールを使用して、Linuxコンテナにクリプトマイナーをインストールしているようです。先日、AWSの認証情報を盗んだとして告発された同グループは、今度は攻撃手法を拡大しており、クラスタ環境へのアクセスは、公開されたDocker APIソケットを介して実行されています。ホストのファイルシステムにアクセスできる特権コンテナがデプロイされています。「hilde」という名前のローカルユーザーを作成し、SSH経由でグループが環境にアクセスできるようにします。アクセス可能になると、Weave Scopeがインストールされ、脅威アクターがクラスタ上で実行されているコンテナに任意のクリプトマイナーをインストールできるようになります。
 
提案：これらのリソース乗っ取り攻撃の被害を受けないように、エンドポイントが最新のパッチで安全に保護されていることを確認することをお勧めします。また、ユーザーには標準的なユーザーアカウントを与え、不必要にエスカレートした権限を持たせないようにし、エンドポイントのマルウェア対策ツールを使用してdockerコンテナを保護することも提案し。または、アプリケーションが脅威アクターによって悪用されないように適切に設定されていることを確認し、この場合、脅威アクターがdockerコンテナを使って暗号化を行うことを防ぐ必要があります。
 
MITRE ATT&CK: [MITRE ATT&CK] Exploit Public-Facing Application – T1190 | [MITRE ATT&CK] Resource Hijacking – T1496
 
タグ：TeamTNT, Docker, cryptomining
 

EmotetマルウェアがEメール経由で拡散中

（公開：2020年9月8日）
 
CERT NZが、「Emotet」のフィッシングメール増加に関する勧告を発表しました。同機関によると、これらのメールには、本物の請求書や財務書類、出荷情報、履歴書、書類のスキャン、もしくはコロナ関連情報を装った、悪質な添付ファイルやリンクが含まれているとのことです。「Emotet」は認証情報を盗むためのものですが、他のマルウェアをインストールするためにも用いられる可能性があります。
 
提案：ドキュメントを正常に開くために「コンテンツの有効化」を求めるファイルは、フィッシング攻撃のサインである場合が多いです。もし、このようなファイルが信頼できる知り合いから送られてきたら、開封する前に送った本人に連絡し、ファイルの信憑性を確認することをお勧めします。知らない人から添付ファイル付きのメールが送られてきた場合には、ファイルを注意深く観察した上で、絶対に開封せず、信頼できる人に報告しましょう。
 
タグ：Emotet, phishing
 

PINコード認証バイパスの欠陥が、Visaの非接触型決済に影響

（公開：2020年9月7日）
 
VisaのEMV対応カードにおける新たな欠陥により、高価な買い物をする際にPINコードによる保護をすり抜けることが可能になると、チューリッヒ工科大学の研究者が発表しました。EMVとは、「スマート」チップカード開発に携わるクレジットカード大手3社の「Europay、Mastercard、Visa」の頭文字です。今回の欠陥を悪用したPINバイパス攻撃を行う犯罪者は、たとえPINコードを知らなくても、被害者の盗難・紛失クレジットカードを掌握して高価な買い物を行うことが可能です。またPOSターミナルを欺いて、オフラインでの不正なカード取引を承認させることもできます。今回のセキュリティ欠陥による影響は、「Visa Credit」「Visa Debit」「Visaエレクトロン」および「V Pay」カードなど、Visaのプロトコルを用いる全ての非接触型カードに及びます。Mastercard、American Express、およびJCBはこの欠陥の影響を受けません。
 
提案：今回の欠陥について、研究者はVisaに注意喚起を行いました。また、PINバイパスとオフライン攻撃を防ぐため、Visaのプロトコルにおける3点のソフトウェア修正を提案しました。例えば、高価なオンライン取引を保護するために動的認証（DDA）を利用すること、またオフライン取引をオンライン上でも処理させるよう、全てのPOSターミナルにオンライン・クリプトグラムの導入を求めることなどです。
 
タグ：VISA, PIN bypass
 

マイクロソフト、9月のセキュリティ更新プログラムで129の脆弱性にパッチ

(公開：2020年9月8日)
 
マイクロソフトは9月の「Patch Tuesday」の中で、129件のセキュリティバグに対するパッチをリリースしました。深刻度に関して、23件が「critical（緊急）」、105件が「important（重要）」、1件が「moderate（中）」と評価されています。マイクロソフトによると、これらのうち、脅威アクターによる悪用が判明しているものはありません。研究者によると今回の脆弱性の中で、最も深刻で注目すべきなのは「CVE-2020-16875」であるとのことです。これは「Microsoft Exchangeにおけるメモリコラプションの脆弱性」で、これによりリモートの攻撃者は、Exchangeサーバーに特殊なEメールを送るだけでリモートコード実行が可能です。
 
提案：マイクロソフトによる月例の「Patch Tuesday」を見逃さないよう、パッチメンテナンスのポリシーを準備しましょう。脆弱なアプリケーションを利用し続ければ、脅威アクターに悪用される確率は高まります。まして、脆弱性について詳しい情報交換がオープンソースで行われている現状を考えれば尚更危険です。こうした情報源は、一部の悪質なアクターが脆弱なソフトウェアのエクスプロイトを作成することに利用されている可能性があります。
 
タグ：Patch Tuesday, vulnerabilities

 
 
原文「週刊 Anomaliブログ」：https://www.anomali.com/blog/weekly-threat-briefing-apt-group-malware-ransomware-and-vulnerabilities