Anomali サイバーウォッチ：マルウェア、フィッシング、ランサムウェアなど

レビュアー：Anomali Threat Research　2021年3月30日

カテゴリー：Anomali サイバーウォッチ

今回の「Anomali サイバーウォッチ」では、「BlackKingdom」やChrome拡張機能、マイクロソフト、「REvil」、「PurpleFox」、そしてフィッシングや脆弱性に関する話題を深堀りします。今回のトピックに関連するIoCは、以下の図の通りです。悪意のある潜在的アクティビティがないか、ログをチェックする際にご利用頂けます。

図1：IoCサマリーチャート（このチャートは本ブログ記事に関連するIoCを集約するもので、話題に上がった脅威の一部を示しています）

今話題のサイバーニュースと脅威インテリジェンス

Google、プライバシー重視型拡張機能「ClearURLs」を削除

(公開：2021年3月24日）

Cato Networks社の研究者は、これまで正体不明だった悪意のあるGoogle Chromeブラウザ拡張機能20数個と、それに関連する悪意のあるドメイン40個を発見しました。拡張機能の中には、ユーザーの名前やパスワードを盗むものや、財務データを盗むものが含まれていました。また、正規の拡張機能を装った偽装拡張機能も多く見られ、中でも「Postman」という偽装拡張機能は、企業のAPI認証情報を取得し、企業のアプリケーションを標的にしていました。Cato Networksは、数百社の顧客が所有するネットワーク上でこれらの拡張機能を発見しましたが、エンドポイント・プロテクションツールや脅威インテリジェンスシステムでは、これらの拡張機能が悪意あるものとして警告されていないことがわかりました。悪意のある拡張機能は、過去に悪意のあるキャンペーンに利用されたことがあり、2020年にはAwake Security社の研究者が、100以上の悪意のある拡張機能が、認証情報を盗んだり、スクリーンショットを撮ったり、その他の悪意のある活動を行うグローバルキャンペーンに関与していることを発見しました。悪意のある拡張機能のダウンロード数は、少なくとも3,200万件に上ると推定されています。

アナリストのコメント：

この記事は、現代生活におけるテクノロジーの複雑さを物語っています。Googleは、公私ともに誰の日常生活にも組み込まれている巨大で強固な企業です。多くの人がGoogleなしでは何もできないと感じているかもしれませんが、このソフトウェアを使用することの代償は多くの場合、自分のプライバシーです。Googleのポリシーやデータ使用に悪意はなく完全に合法的である一方で、自分たちは自身の情報を提供しているということを、ユーザーは認識する必要があります。「ただより高いものはない」ということです。

Tags：Google, Chrome, browser extension, privacy, Firefox, ClearURL

「Purple Fox」マルウェア、新たなワーム機能を武器にWindows機器を狙う

（公開：2021年3月24日）

2018年に初めて出現した「Purple Fox」は、フィッシングやエクスプロイトキットを介して被害者を狙った現在進行中のマルウェアキャンペーンです。このマルウェアは、Windows機器に感染する際にユーザーとのやり取りもしくは何らかのサードパーティツールを必要としていました。しかし、このキャンペーンを首謀する攻撃者は今や成長を遂げ、単独で被害者のシステムにブルートフォース攻撃ができる新機能を追加したと、Guardicore Labsの新たな研究が伝えています。研究者は、サーバーメッセージブロック（SMB）パスワードのブルートフォースを介した新たな感染経路とルートキットの追加を特定しました。これは、アクターがマルウェアを機器上に隠し、マルウェアの検出や削除をさらに困難にすることを可能にします。「Purple Fox」はおよそ3,000のサーバーを侵害したと考えられており、その大部分はWindows Server IISバージョン7.5の古いバージョンでした。同マルウェアは2020年の春と秋にかけて非常に活動的でした。その後停滞してから、2021年の初頭に再度活動を増加させています。

アナリストのコメント：

マルウェアの作成者は常に、管理サーバーへ通信し返すための新たな手法を導入しています。常に多層防御を実践してください（一つのセキュリティ機構のみをあてにするのはやめましょう。セキュリティ対策は、過剰なまでに層を重ねた万全なものであるべきです）

MITRE ATT&CK: [MITRE ATT&CK] Disabling Security Tools – T1089 | [MITRE ATT&CK] New Service – T1050 | [MITRE ATT&CK] Exploitation for Client Execution – T1203 | [MITRE ATT&CK] Hidden Files and Directories – T1158

Tags: Purple fox, Windows, Windows Server, worm, rootkit, malware, persistence, campaign

エネルギー大手、シェルが最近のAccellion攻撃の被害者に

（公開：2021年3月23日）

ロイヤル・ダッチ・シェルは、Accellion社が提供するファイル転送アプライアンス製品のユーザーを狙った一連の攻撃の最大の被害者です。同企業は、自身が「データセキュリティのインシデント」による影響を受けたこと、そして攻撃者が「複数のファイル」へのアクセスを獲得したことを認めました。これらのファイルには、シェルおよびその出資者企業両方の個人データや企業データが含まれていると考えられます。同企業によると、シェルは即座にこのサービスプロバイダーとサイバーセキュリティチームと共にこの脆弱性に対処し、インシデントの影響範囲についてさらに詳しく理解するための調査を開始したとのことです。シェルは攻撃者がどのようにAccellion社のアプライアンスを悪用したのかについては明言しませんでしたが、これが最近悪用された一連の脆弱性に関連していることはほぼ確実です。これらの脆弱性についてはAccellionがパッチの適用を急いでおり、これまでのところ4つが発見され、パッチが適用されました。しかし、このシェルへの攻撃は、未発見のエクスプロイトがさらに存在する可能性を示唆しています。攻撃のうちいくつかは、「FIN11」および「Cl0P」ランサムウェアグループによるものです。

アナリストのコメント：

ゼロデイベースの攻撃は時に、行動分析や、ヒューリスティックと機械学習に基づく検出システムといった従来とは異なるタイプの手法によって検出できる場合があります。影響を受けた企業によってパッチが適用された後であっても、脅威アクターによる脆弱性の利用はしばしば観測されます。したがって、入手可能になり次第すぐ、確実に全従業員にパッチをインストールさせられるよう、方針を定めておくことが不可欠です。

Tags: FIN11, Clop Cl0p, CVE-2021-27103, CVE-2021-27102, CVE-2021-27101, CVE-2021-27104, Shell, energy, oil, vulnerability, Accellion, zero-day

マイクロソフト、Eメールゲートウェイをバイパスするフィッシング攻撃について警告

（公開：2021年3月23日）

12月以来、推定で400,000件のOWA（Outlook Web App）やOffice 365から盗みを働いた現在進行中のフィッシングオペレーションは今、新たな合法サービスを濫用してセキュアEメールゲートウェイ（SEG）をバイパスするまでに進化しています。攻撃は、まとめて「Compact」キャンペーンと称される複数のフィッシングキャンペーンの一部です。これらのキャンペーンは、2020年初頭にWMC Global社の脅威インテリジェンスチームによって初めて検出されました。このフィッシングメールは、ビデオ会議サービスやセキュリティ・ソリューション、生産性ツールからの通知を装っていますが、これらは、侵害されたSendGridやMailGunのメール配信サービスから送信されます。この偽装により、信頼されたドメインとしてセキュアEメールゲートウェイを利用した攻撃が可能になり、システムからブロックされることがなくなります。これらのEメールには、Office 365やOutlookを含む、マイクロソフトのログインページに見せかけたフィッシングのランディングページへリダイレクトするハイパーリンクが掲載されています。同キャンペーンは今や、Amazon Simple Email Service（Amazonが提供するフルマネージド型のメール配信サービス）やAppspot（クラウドプラットフォーム）を濫用し、URLの配信や生成を行うまでに発展しています。マイクロソフトとWMC Globalは、検出でき次第、使用されたドメインやアカウントを回収しています。

アナリストのコメント：

ご自身の組織で、適切な基本的サイバーセキュリティ習慣を確実に取り入れるようにしてください。組織やその従業員が、簡単に推定できない強力なパスワードを用いること、そして、提供されたデフォルトの管理パスワードを使用しないようにすること（この種のパスワードはセキュリティが弱いことが多いため）が重要です。ファイアウォールやウイルス対策ソフトをアップデートして、被害を受けた際に深刻な影響を受けずに済むよう、システムができる限り早くデータ侵害や脅威を検出できるようにしてください。フィッシングメールの危険性について従業員を教育し、悪意のあるメールの見分け方を指導してください。また、将来起こり得るデータ侵害によるダメージを緩和させるために、厳重な取り扱いが必要な格納データや伝送中のデータを全て暗号化することも推奨されます。

Tags: Microsoft, phishing, email, outlook, office, Amazon, appspot, spoofing, compact, campaign, credentials, mail delivery,

Microsoft Exchange サーバーを今、「BlackKingdom」ランサムウェアが標的に

(公開: 2021年3月22日)

マイクロソフトは、アクター「HAFNIUM」に関するレポートを公表してから、Exchangeサーバーを狙った攻撃が大幅に増加しているのを確認しています。この週末、セキュリティ研究者のMarcus Hutchins氏（MalwareTechBlog）は、「『ProxyLogon』の脆弱性を利用してMicrosoft Exchangeサーバーに侵入し、ランサムウェアを展開している脅威アクターがいる」とツイートしました。Hutchins氏は自ら所有するハニーポットのログを基に、脅威アクターがこの脆弱性を利用し、ランサムウェアの実行ファイルを「yuuuuuu44[.]com」からダウンロードするPowerShellスクリプトを実行した後、ネットワーク上の他のコンピュータに送信していると述べています。Hutchins氏によると、「BlackKingdom」を名乗るこの「ランサムウェア」は、ファイルを暗号化したようには見えず、すべてのディレクトリにランサムノートをドロップしただけとのことです。

アナリストのコメント： 

Microsoft Exchangeの脆弱性を悪用したサイバー攻撃の被害に遭わないために、組織はできるだけ早く重要な更新プログラムを適用することが推奨されます。なぜなら、パッチの適用が遅れれば遅れるほど、サイバー犯罪者が攻撃の一環として脆弱性を悪用する可能性が高くなるからです。組織がすでに関連するセキュリティアップデートを適用していたとしても、パッチ適用前に悪意のあるハッカーに侵入されていないという保証はありません。したがって、ネットワークを分析して、サイバー犯罪者がすでにアクセスしていないかどうかを調べることが重要です。Anomali Matchのようなツールは、過去にそのようなアクセスが行われたかどうかを特定するための指標を、過去にさかのぼって検索するのに役立ちます。

MITRE ATT&CK: [MITRE ATT&CK] Scripting – T1064 | [MITRE ATT&CK] Indicator Removal on Host – T1070 | [MITRE ATT&CK] Data Encrypted for Impact – T1486 | [MITRE ATT&CK] Web Shell – T1100 | [MITRE ATT&CK] Command-Line Interface – T1059 | [MITRE ATT&CK] System Network Configuration Discovery – T1016 | [MITRE ATT&CK] Credential Dumping – T1003 | [MITRE ATT&CK] Scripting – T1064 | [MITRE ATT&CK] Valid Accounts – T1078 | [MITRE ATT&CK] Email Collection – T1114 | [MITRE ATT&CK] Exploitation for Client Execution – T1203 | [MITRE ATT&CK] File Deletion – T1107 | [MITRE ATT&CK] Remote File Copy – T1105 | [MITRE ATT&CK] PowerShell – T1086 | [MITRE ATT&CK] Redundant Access – T1108

Tags: BlackKingdom, DearCry, REvil, EU & UK, North America, Russia, Middle East, , HAFNIUM, , cmd.exe, LemonDuck, dsquery, net.exe, reg.exe, DoejoCrypt, CVE-2021-26855, CVE-2021-27065,

Acerが5千万ドルのランサムウェア攻撃の標的となったとの報道

(公開：2021年3月22日)

Bleeping Computerによると、ランサムウェアグループ「REvil」がコンピュータメーカーのAcerに侵入し、3月20〜21日の週末には、盗まれたとされるファイルの画像を、証拠として自らのウェブサイトで公開したとのことです。漏洩した画像には、金融関係のスプレッドシート、銀行の残高、銀行のやり取りなどの文書が写っていました。「REvil」はランサムウェアを停止させるために5,000万ドルを要求しましたが、Acerが同グループへの支払いを行なったかどうかも、攻撃を認めたかどうかも確認されていません。この攻撃にはMicrosoft Exchangeのエクスプロイトが使用されたと考えられていますが、どのエクスプロイトかは現在のところ不明です。

アナリストのコメント： 

見知らぬ送信者からの添付ファイルを開くことのリスクについて、従業員を教育しましょう。また、信頼できるベンダーが提供するアンチスパムおよびアンチウィルス・アプリケーションを使用する必要があります。見知らぬ送信者から受信したメールは慎重に回避し、そのような送信者からの添付ファイルは開かないようにしましょう。さらに、ランサムウェアに感染してしまった場合のための事業継続計画と、テスト済みの包括的なバックアップソリューションを用意しておくことも重要です。

MITRE ATT&CK:[MITRE ATT&CK] Access Token Manipulation – T1134 | [MITRE ATT&CK] Standard Application Layer Protocol – T1071 | [MITRE ATT&CK] Command-Line Interface – T1059 | [MITRE ATT&CK] Data Destruction – T1485 | [MITRE ATT&CK] Data Encrypted for Impact – T1486 | [MITRE ATT&CK] Deobfuscate/Decode Files or Information – T1140 | [MITRE ATT&CK] Drive-by Compromise – T1189 | [MITRE ATT&CK] Exfiltration Over Command and Control Channel – T1041 | [MITRE ATT&CK] File and Directory Discovery – T1083 | [MITRE ATT&CK] Indicator Removal on Host – T1070 | [MITRE ATT&CK] Remote File Copy – T1105 | [MITRE ATT&CK] Inhibit System Recovery – T1490 | [MITRE ATT&CK] Masquerading – T1036 | [MITRE ATT&CK] Modify Registry – T1112 | [MITRE ATT&CK] Execution through API – T1106 | [MITRE ATT&CK] Obfuscated Files or Information – T1027 | [MITRE ATT&CK] Permission Groups Discovery – T1069 | [MITRE ATT&CK] Process Injection – T1055 | [MITRE ATT&CK] Query Registry – T1012 | [MITRE ATT&CK] Service Stop – T1489 | [MITRE ATT&CK] System Information Discovery – T1082 | [MITRE ATT&CK] System Service Discovery – T1007 | [MITRE ATT&CK] User Execution – T1204 | [MITRE ATT&CK] Windows Management Instrumentation – T1047

Tags: REvil, Banking And Finance, ransom, ransomware, Acer, computer manufacturing, manufacturing, North America, CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065

GEの電源管理機器のセキュリティ欠陥についてCISAが警告

(公開：2020年3月22日)

米CISA（サイバーセキュリティ・インフラストラクチャー・セキュリティ庁）は、GEの電源管理機器である Universal Relay （UR）familyに非常に重大なセキュリティ上の欠陥があることを警告しています。アップデートがなされない場合、影響を受ける製品は機密情報へのアクセスやURの再起動、特権的アクセスの獲得のため、または、サービス拒否状態を引き起こすために悪用される可能性があると、CISAは警告しています。GEのUniversal Relay (UR)シリーズは、産業用プラント・オートメーションにおける電力の監視と計測を行う電力管理デバイスです。

アナリストのコメント： 

企業がパッチメンテナンスのポリシーを整えることが重要です。脆弱性がオープンソースで報告されると、脅威アクターはその脆弱性を利用して悪意ある活動を行おうとします。悪意のある活動を未然に防ぐために、パッチを見直し、できるだけ早く適用する必要があります。

MITRE ATT&CK: [MITRE ATT&CK] Bootkit – T1067 | [MITRE ATT&CK] System Information Discovery – T1082 | [MITRE ATT&CK] Remote File Copy – T1105 | [MITRE ATT&CK] Exploitation for Privilege Escalation – T1068

Tags: CVE-2021-27428, CVE-2021-27422, CVE-2021-27426, CVE-2021-27430, North America, General Electric, energy, industrial, manufacturing, utilities, industrial controls

Chromeの悪意のある拡張機能20数個を研究者たちが発見

(公開：2021年3月22日)

Cato Networks社の研究者は、これまで正体不明だった悪意のあるGoogle Chromeブラウザ拡張機能20数個と、それに関連する悪意のあるドメイン40個を発見しました。拡張機能の中には、ユーザーの名前やパスワードを盗むものや、財務データを盗むものが含まれていました。また、正規の拡張機能を装った偽装拡張機能も多く見られ、中でも「Postman」という偽装拡張機能は、企業のAPI認証情報を取得し、企業のアプリケーションを標的にしていました。Cato Networksは、数百社の顧客が所有するネットワーク上でこれらの拡張機能を発見しましたが、エンドポイント・プロテクションツールや脅威インテリジェンスシステムでは、これらの拡張機能が悪意あるものとして警告されていないことがわかりました。悪意のある拡張機能は、過去に悪意のあるキャンペーンに利用されたことがあり、2020年にはAwake Security社の研究者が、100以上の悪意のある拡張機能が、認証情報を盗んだり、スクリーンショットを撮ったり、その他の悪意のある活動を行うグローバルキャンペーンに関与していることを発見しました。悪意のある拡張機能のダウンロード数は、少なくとも3,200万件に上ると推定されています。

アナリストのコメント：

この記事は、現代生活におけるテクノロジーの複雑さを物語っています。Googleは、公私ともに誰の日常生活にも組み込まれている巨大で強固な企業です。多くの人がGoogleなしでは何もできないと感じているかもしれませんが、このソフトウェアを使用することの代償は多くの場合、自分のプライバシーです。Googleのポリシーやデータ使用に悪意はなく完全に合法的である一方で、自分たちは自身の情報を提供しているということを、ユーザーは認識する必要があります。「ただより高いものはない」ということです。

MITRE ATT&CK: [MITRE ATT&CK] User Execution – T1204 | [MITRE ATT&CK] Create Account – T1136 | [MITRE ATT&CK] Browser Extensions – T1176

Tags: CVE-2021-22314, CVE-2021-25917, CVE-2021-25922, CVE-2021-25918, CVE-2021-22321, Chrome, Google, browser extension

原文「Anomaliブログ」：https://www.anomali.com/blog/anomali-cyber-watch-malware-phishing-ransomware-and-more