週刊　脅威ブリーフィング：Androidマルウェア、APTグループ、投票アプリ、ランサムウェアなど

 
レビュアー：Anomali Threat Research　2020年9月22日
カテゴリー：週刊　脅威ブリーフィング
 
今回の「週刊　脅威ブリーフィング」では、脅威インテリジェンス関連のニュース記事を題材に、APT、「Cerberus」ソースコードの漏洩、中国系のAPTグループ、Mrbminerマルウェアそして脆弱性に関する話題を考察します。
今回のトピックに関連するIoCは、以下の図の通りです。悪意のある潜在的アクティビティがないか、ログをチェックする際にご利用頂けます。
 

図1：IoCサマリーチャート（このチャートは本ブログ記事に関連するIoCを集約するもので、話題に上がった脅威の一部を示しています）
 

サイバーニュースと脅威インテリジェンスのトレンド

米2020年大統領選アプリ、トラッキングとセキュリティ上の欠陥を抱える

（公開：2020年9月17日）
 
「Vote Joe 2020」アプリが、投票者の個人情報を流出させる可能性があることが判明しました。このアプリは、ジョー・バイデン陣営が投票者と関わりを持ち、支持者に宣伝用のテキストメッセージを送ってもらうために使用されています。TargetSmartというインテリジェンスサービスを使用して、アプリはAPIエンドポイントを介して獲得票数の予測を受信し、追加データを返していることが判明しています。投票者の嗜好と予測は公開されているが、そもそもTargetSmartが保有する情報は公開されることを意図したものではなかったようです。アプリはまた、メールでの本人確認がなされないので、米国外から米国市民以外のユーザーがダウンロードできるようになっています。ドナルド・トランプ氏のアプリがAPKでハードコードされた秘密キーを公開したように、セキュリティ上の問題があるのは「Vote Joe」だけではありません。
 
提案：個人識別情報（PII）の暴露は、影響を受けた個人が自分のアイデンティティと財政を保護するための予防措置を講じることを必要とします。ID 窃盗サービスは、不正な購入や、盗まれたデータを使用し、アクターによる金融サービスへの申請を防ぐのに役立ちます。
 
タグ：APK, Android, Campaign, Election, Joe Biden, PII

ドイツの病院が攻撃され、他の都市に運ばれた患者が死亡

（公開：2020年9月17日）
 
ドイツのデュッセルドルフ大学病院のITシステムに障害が発生した結果、女性が死亡しました。明らかなランサムウェア攻撃で病院のシステムがクラッシュし、スタッフはデータにアクセスできなくなりました。病院の３０台のサーバーは先週から暗号化されていましたが、サーバー１台にはハインリッヒ・ハイネ大学宛の身代金メモが見つかりました。デュッセルドルフ警察は犯人に連絡して、大学ではなく病院を攻撃したことを知らせ、犯人は復号鍵を提供しました。
 
提供：不明な送信者からの添付ファイルを開くことの危険性について、社内トレーニングを実施します。また、信頼できるベンダーが提供するアンチスパムやアンチウイルスアプリケーションを使いましょう。不明な送信者からのメールは慎重に避け、そのような送信者からの添付ファイルを開かないようにします。さらに、ランサムウェアに感染した場合の事業継続計画に加えて、テストを含めた包括的なバックアップソリューションを用意しておくことが重要です。
 
MITRE ATT&CK: [MITRE ATT&CK] Data Encrypted for Impact – T1486
 
タグ：Germany, Healthcare, Hospital, Ransomware
 

国際的なサイバーアクター「APT41」の7人の被告、世界中で100件以上の侵害キャンペーンとの関連により起訴

（公開：2020年9月17日）
 
米国司法省は、サイバースパイ集団「APT41」（別名：Winnti、Wicked Panda、Wicked Spider、Barium）のメンバーであると考えられる、5人の中国人に対して更なる起訴を行うと発表しました。2019〜2020年に、連邦大陪審はAPT41に対する2つの起訴を発表し、内容は次の通りです：ソースコードの窃盗の誘引、ソフトウェアコード署名、顧客データ、個人情報の窃盗、振り込み詐欺、マネーロンダリング、コンピュータ詐欺および乱用法（CFAA）の違反など。2019年の起訴状は、Zhang Haoran氏（35歳）とTan Dailin氏（35歳）を、ビデオゲーム会社やその他のハイテク企業へのサイバー攻撃を実行した容疑で起訴しています。2020年の起訴状は、Chendgu 404 Network Technologyという中国の企業の支援のもと活動していたとされる Jiang Lizhi氏（35歳）、Qian Chuan氏（39歳）、Fu Qiang氏（37歳）を起訴しています。「APT41」は、ゲーム会社、通信プロバイダー、政府、非営利団体、さらには香港の民主化活動家に至るまで、広範囲の事業体を標的にした悪名高いハッキンググループです。ワシントンDCの連邦地方裁判所は、被告人が活動に使用した数百のアカウント、コマンド・アンド・コントロール（C2）サーバー、ドメイン名を押収しました。
 
提案：ネットワークとホストベースのセキュリティの両方に焦点を当てることを含め、APT からの安全性を確保するには、詳細な防御（セキュリティメカニズムの多層化、冗長性、フェールセーフ防御プロセス）が最善の方法です。また、予防策と検出機能も備えておく必要があります。さらに、組織内でスピアフィッシングのリスクを見極める方法について教育を実施することが必要です。
 
タグ：APT41, China, APT, espionage, Wicked Spider, Wicked Panda, Winnti
 
 

「Cerberus」バンキングトロイの木馬のソースコードを無償公開

（公開：2020年9月17日）
 
バンキング型トロイの木馬「Cerberus」のソースコードがオークションで10万ドルに届かなかったため、犯罪フォーラム上で公開された。「Cerberus」とは、ロシアが設計したAndroidモバイル用のバンキング・リモートアクセストロイの木馬（RAT）です。少なくとも2019年7月から流通していると考えられています。「Cerberus」がデバイス上で実行されると、銀行やソーシャルネットワークのアプリにまたがるオーバーレイを作成することで、通信を傍受し、銀行の認証情報やその他のデータを盗むことができるようになります。7月下旬、ハドソンロックの研究者は、「Cerberus」の開発チームが解散し、新しいオーナー定められている中、オークションにかけられるのを観察しました。Androidパッケージキット(APK)のソースコード、クライアントリスト、サーバー、管理パネル用のコードの開始価格は5万ドルに設定されており、オークションの出品者は、このマルウェアが月に1万ドルの収益を得ていると主張しています。オークションは開発者の目標である10万ドルに届かなかったため、開発者は逃げ出し、犯罪フォーラムで無料で提供しました。「Cerberus」攻撃の採用が増えるだけでなく、このコードから新たな亜種が開発される可能性があります。
 
提案：モバイルアプリをダウンロードする時は、Google PlayストアやApple App Storeなどの公式サイトからのみ行うようにしてください。また、アクセスやコンテンツ閲覧に追加のソフトウェアが必要なWebサイトやドキュメントは、適切に回避してください。また、信頼できるベンダーが提供するモバイルセキュリティアプリを利用することをお勧めします。
 
タグ：Android malware, Cerberus, mobile malware, banking malware
 
 

新しい「Mrbminer」マルウェア、何千ものMssqlデータベースを感染

（公開：2020年9月16日）
 
テンセント社の研究者が、Microsoft SQL Server（MSSQL）に感染し、クリプトマイナーをインストールする「MrbMiner」という新しいマルウェアを発見しました。研究者によると、数千台以上のMSSQLサーバーが「MrbMiner」マルウェアに感染しているという。このマルウェアの背後にいる脅威アクターは、インターネット上でMSSQLサーバーのスキャンを開始し、ブルートフォース攻撃を実行してマルウェアを拡散させました。感染に成功した後、永続性を確立するために「assm.exe」という名前のファイルをダウンロードしてインストールします。Command and Control（C2）サーバの調査中に、研究者は「MrbMiner」マルウェアのLinuxとARMの亜種も発見しました。
 
提案：強力なパスワードを設定し、MSSQL サーバーのインターネットへの露出を制限することをお勧めします。このマルウェアに対しては、管理者は Default/@fg125kjnhn987 バックドアアカウントの存在を確認するために MSSQL サーバーをスキャンすることをお勧めします。
 
MITRE ATT&CK: [MITRE ATT&CK] Brute Force – T1110 | [MITRE ATT&CK] Valid Accounts – T1078
 
タグ：MrbMiner,bruteforce, MSSQL
 
 

アラート（AA20-258A）： 中華人民共和国国家安全部と関連しているサイバー脅威アクターの活動について

（公開：2020年9月14日）
 
サイバーセキュリティ・インフラセキュリティ庁（CISA）は、中華人民共和国国家安全部（MSS）に所属する脅威アクターに関するアドバイザリーを発表しました。CISAによると、同アクターは、サイバー作戦を計画する際にオープンソースの情報収集を一般的に利用しています。既知の脆弱性に対して、すぐに入手可能なエクスプロイトやエクスプロイトツールキットを使用しています。過去12ヶ月間に、MSSの脅威アクターは、F5 Big-IP (CVE-2020-5902)、Citrix Virtual Private Network (VPN) Appliances (CVE-2019-19781)、Pulse Secure VPN Servers (CVE-2019-11510)、Microsoft Exchange Server (CVE-2020-0688)の脆弱性を悪用していることが確認されています。また、使用されているツールは、Cobalt Strike、China Chopper Web Shell、Mimikatzのようです。
 
提案：ネットワークとホストベースのセキュリティの両方に焦点を当てることを含め、APT から自組織から身を守るためには、セキュリティメカニズムの多層化、冗長性、フェールセーフ防御プロセスが最善の方法です。また、予防策と検出機能も備えておく必要があります。厳格なパッチ適用ポリシーを持つことは、最も頻繁に使用される攻撃に対する最善の防御策です。
 
MITRE ATT&CK: [MITRE PRE-ATT&CK] Determine approach/attack vector – T1245 | [MITRE PRE-ATT&CK] Acquire OSINT data sets and information – T1247 | [MITRE PRE-ATT&CK] Conduct active scanning – T1254 | [MITRE PRE-ATT&CK] Analyze architecture and configuration posture – T1288 | [MITRE PRE-ATT&CK] Research relevant vulnerabilities/CVEs – T1291 | [MITRE PRE-ATT&CK] C2 protocol development – T1352 | [MITRE PRE-ATT&CK] Buy domain name – T1328 | [MITRE PRE-ATT&CK] Acquire and/or use 3rd party infrastructure services – T1329 | [MITRE PRE-ATT&CK] Obtain/re-use payloads – T1346 | [MITRE PRE-ATT&CK] Build or acquire exploits – T1349 | [MITRE ATT&CK] User Execution – T1204 | [MITRE ATT&CK] Exploit Public-Facing Application – T1190 | [MITRE ATT&CK] Third-party Software – T1072 | [MITRE ATT&CK] Credential Dumping – T1003 | [MITRE ATT&CK] Brute Force – T1110 | [MITRE ATT&CK] Network Service Scanning – T1046 | [MITRE ATT&CK] Email Collection – T1114 | [MITRE ATT&CK] Connection Proxy – T1090
 
タグ：APT, China, MSS, CISA, CVE-2020-5902, CVE-2019-19781, CVE-2019-11510, CVE-2020-0688
 
 

Zerologon： Netlogon暗号を迂回するドメインコントローラー脆弱性 (CVE-2020-1472)

（公開：2020年9月11日）
 
Securaのセキュリティ研究者であるTom Tervoort氏は、攻撃者にドメイン管理者権限を与えることができるWindows Active Directory (AD)サーバに対する攻撃について、ホワイトペーパーを発表しました。この脆弱性は、クライアントが資格情報を知っていることを証明する際に、サーバから送信されるプロンプトに対する入力を生成するために使用されるAES-CFB8の実装に欠陥があることに起因しています。この欠陥は、初期化ベクトル(IV)として16個のスタティックゼロバイトを使用していました。パスワードがちょうどゼロバイトで構成されている場合、256個のキーのうち1個が使用されているため、ちょうどゼロバイトの暗号化されたテキストが生成されます。これは、コンピュータ（AD）のパスワードを変更するために使用することができます。ADサーバー上で実行された場合、攻撃者は、ドメインレプリケーションサービス（DRS）プロトコルを介してすべてのユーザーのハッシュをダンプするために新しいパスワードを使用することができます。ハッシュから、攻撃者は「ゴールデンチケット」を生成し、ドメイン管理者になるための「パス・ザ・ハッシュ」攻撃を実行することができます。
 
提案：常に「多層防御」を実践してください。攻撃者がこの脆弱性を悪用するには、すでにネットワークに侵入しているか、外部からアクセスされているサーバを経由して、アクティブディレクトリサーバにネットワークパケットを送信することができる必要があります。8月のパッチ火曜日の一部として、マイクロソフトは問題に対処する修正プログラムをリリースしました。できるだけ早くパッチを適用することを強くお勧めします。
 
タグ：CVE-2020-1472, Zerologon
 

 
原文「週刊 Anomaliブログ」：https://www.anomali.com/blog/weekly-threat-briefing-apt-group-malware-ransomware-and-vulnerabilities