Trellix Threat Labs 調査レポート: 2022 年 4 月

弊社リード サイエンティストからのご挨拶

最新の脅威レポートをお読みいただき、ありがとうございます。

新年が開けてから 4 分の 1 近く経過しましたが、ゆったりとした年明けを迎えたといっても過言ではないでしょう。パンデミックから徐々に脱却しつつあるものの、最近のユーラシア地域紛争をめぐる不確実性が、私たちの日常生活や会話に大きな影響を及ぼしています。

まず、Trellix は平和を支持します。関係者がどのような紛争に巻き込まれていようとも、私たちの使命は、お客様を守り、国際法を遵守することです。このレポートを準備するにあたり、私たちは調査と警戒を続けました。たとえば、Lapsus$ グループは、当初南米諸国を拠点として世界中の大手企業を攻撃し、ソースコードや証明書などの機密データを流出させました。

私たちはその証明書が悪用されているのを観察しました。マルウェアのバイナリに署名する例として、オペレーティング システムやセキュリティ製品の信用をバイパスしようとする方法があります。このグループの詳細、最新の侵害と対応策については、こちらでお読みいただけます。

新会社発足後、2 回目となる脅威レポートでは、世界中で大ニュースとなった (サイバー) イベントがあったことを認めています。ウクライナのインフラストラクチャへの攻撃から、感染したマシンのブート セクタを破壊するマルウェアである HermeticWiper まで、新年は多くの人にとってサイバーセキュリティが最大の関心事となりました。また、2021 年第 4 四半期には、Log4shell の脆弱性が数億台のデバイスに影響を与えました。そして、多くの人が今、新年に現れる新たな脅威に備えて気を引き締めています。

Trellix Threat Labs チームは、長年にわたり、ランサムウェアの分析と研究の最前線に立ち続けています。公共部門とも協力し、2021 年 12 月に逮捕者が出て、ランサムウェアの運用が遮断されたときには、その成功を誇りに思いました。最近、ランサムウェア グループ Conti とマルウェア グループ Trickbot の両方からチャットが流出したインシデントでは、これらの運用がプロフェッショナルによる仕業であることが明らかになりました。したがって、こうした攻撃の混乱を阻止するには、公共部門と民間部門で統一された対策が必要であることが実証されています。

さらに、最新の脅威に関するコンテンツやビデオ、セキュリティ情報へのリンクが掲載されたTrellix 脅威ラボのブログ ページも確認してください。

本レポートでは、その他の流行中の一般的な脅威や攻撃についても取り上げています。

— Christiaan Beek
リード サイエンティスト

Christiaan Beek Twitter

Trellix Threat Labs は疑わしい DarkHotel APT 活動のアップデートを発見

3 月に、Trellix は、2021 年 11 月後半から中国マカオの高級ホテルを標的とした悪意のあるキャンペーンの第一段階を発見しました。この攻撃は、人事担当役員、アシスタント マネージャー、フロント オフィス マネージャーといった役割を担う、ホテルの管理職を宛先としたスピア フィッシング メールから始まりました。役職名から判断して、攻撃の対象者は、帳簿システムを含む、ホテルのネットワークに十分なアクセス権を持っていると推測されます。仕組み:

• このスピア フィッシング攻撃に使用された電子メールには、Excel シートが添付されています。この Excel シートは被害者を騙すためのもので、それを開くと、埋め込まれた悪意のあるマクロが有効になります。
• これらのマクロはいくつかのメカニズムを有効にします。そのことについては、テクニカル分析の部分で詳しく説明され、以下の感染フロー図に要約されています。
• 最初に、マクロはスケジュール タスクを作成して、認識、データ リストの作成、データ流出を実行します。
• そして、被害者データの流出に使用されるコマンド & コントロール サーバーとの通信を可能にするために、マクロは周知の LOLBAS (Living Off the Land Binaries and Scripts) 手法を使用して、信頼されたスクリプトとして PowerShell コマンド ラインを実行します。

弊社のブログでは、DarkHotel APT の背景、属性、キャンペーン、技術的な分析について詳しく説明しています。

Trellix Threat Labs は総理官邸のセキュリティの危機を特定

1 月に、弊社のチームは、西アジアで国家安全保障政策を管轄する政府高官と防衛産業の要人を狙った、ある多段階のスパイ キャンペーンを特定しました。Trellix は、被害者にリリース前の開示を行い、既知の攻撃コンポーネントをすべて環境から削除するために必要なすべてのコンテンツを提供しました。

攻撃プロセスの分析は、MSHTML リモート コード実行の脆弱性 (CVE-2021-40444) に対するエクスプロイトを含む Excel ファイルの実行から始まります。これを利用して、第 3 段階のマルウェアのダウンローダーとして機能する、Graphiteと呼ばれる悪意のある DLL ファイルが実行されます。Graphite は、新たに発見されたマルウェア サンプルであり、Microsoft Graph API を介して One-Drive のアカウントをコマンド & コントロール サーバーとして利用する OneDrive Empire ステージャーをベースにしています。

APT の活動に関連すると考えられるこの多段階攻撃の最終段階では、最終的に被害者のコンピューターに Empire エージェントをダウンロードし、コマンド & コントロール サーバーに接続してシステムをリモート制御する目的で、さまざまな Empire ステージャーが実行されます。

次の図は、この攻撃の全体的なプロセスを示したものです。

弊社のブログでは、ステージ、インフラストラクチャ、属性など、より詳細な分析について説明しています。

方法論

Trellix のバックエンド システムは、四半期ごとの脅威レポートのデータとして使用するテレメトリーを提供しています。私たちは、テレメトリーと、脅威に関するオープンソースのインテリジェンスや、ランサムウェア、国民国家の活動といった流行している脅威に関する独自調査を組み合わせて分析しています。

テレメトリーを話題にするとき、感染ではなく、検出がその焦点になります。検出とは、ファイル、URL、IP アドレス、その他の指標を弊社のいずれかの製品が検出し、弊社に報告することです。

大切なのは、お客様のプライバシーです。それは、テレメトリーやお客様のセクターおよび国へのマッピングを行う際にも重要です。国によって顧客基盤が異なるため、数字で見ると増えているように見えるかもしれませんが、もっと詳しくデータを調べなければ説明できません。たとえば、弊社のデータでは、電気通信セクターが常に高いスコアを記録しています。しかし、必ずしもこのセクターが多く狙われているというわけではありません。電気通信セクターには、企業が購入できる IP アドレス空間を所有する ISP プロバイダーも含まれています。それはどういう意味でしょうか？ISP の IP アドレス空間からの送信は電気通信セクターでの検出と見なされますが、異なるセクターで稼働している ISP クライアントからのものである可能性があります。

ランサムウェア

2021 年最終四半期に、ランサムウェアの状況は変化し続けました。前回のレポートで紹介した大規模な攻撃の代わりに、ランサムウェアの攻撃者は地下に新たな拠点を見つけなければなりませんでした。法執行機関がいくつかの有名なランサムウェア グループに対する取り締まりを強化し始めたからです。そうしたグループの 1 つに REvil/Sodinokibi があります。このグループは、第 3 四半期でもランサムウェア ファミリーの上位にランクインしています。しかし、REvil は、組織的なインフラストラクチャの破壊、何回もの内部紛争、メンバーの逮捕などを経て、ステージを去りました。Trellix は、マルウェアの分析、主要なインフラストラクチャの特定、複数の容疑者の特定など、REvil の捜査に協力できたことを誇りに思っています。

2021 年第 4 四半期のトップ 3 は、Lockbit、Cuba、および Conti ランサムウェアでした。REvil の残りのメンバーは、これらのランサムウェア ファミリーに新たな居場所を見つけた可能性が高いと思われます。

このレポートのインクが乾かないうちにも、状況は刻一刻と変化しています。最大規模のファミリーへと成長した Conti は、何千もの内部チャットがインターネット上に流出し、内部機密を暴露されたも同然となりました。私たちは、この情報漏えいを「Panama Papers of Ransomware (ランサムウェアのパナマ文書)」と名付け、次回の四半期レポートでその調査結果を紹介する予定です。

企業が脅威状況におけるランサムウェア攻撃の理解を深め、それを防御できるように、Threat Labs チームは、2021 年第 4 四半期からファミリー、手法、国、セクター、ベクトルなど、さまざまなランサムウェア脅威の流行に関する研究と調査結果を紹介しています。