トレンドマイクロはセキュリティ関連事業者として、日夜脅威の監視と対応を行っています。特にさまざまな脅威が利用する高度に開発された攻撃手法に着目しています。攻撃手法を断定することが防御への大きな手掛かりとなるためです。今回は”注目すべき要注意脅威”について、トレンドマイクロセキュリティブログより紹介します。

注目すべきランサムウェア、マルウェア

ランサムウェアにおいては、新たな暗号化型ランサムウェアファミリ「DARKSIDE（ダークサイド）」が出現する一方で、別のランサムウェアファミリ「CRYSIS」（別名Dharma）を背後で操る攻撃者がハッキングツールキットを一般に公開しました。
メッセージ機能を悪用する脅威においては、攻撃対象を絞った標的型メールの送信活動（キャンペーン）を介して情報窃取型マルウェア「NEGASTEAL（ネガスティール）」（別名Agent Tesla）が拡散されました。
またファイルレス活動を行う脅威においては、不正マイニングを狙い、コインマイナーが正規アプリケーションにバンドルされ頒布されていることが確認されています。

「DARKSIDE」の出現

上述の通り、新たなランサムウェアファミリ「DARKSIDE」（「Ransom.Win32.DARKSIDE.YXAH-THA」として検出）が出現しました。このランサムウェアの背後にいる攻撃者は、他のランサムウェアファミリ「Maze」や「Nefilim」が採用する手口と同様の戦術を利用し、感染PCを所有する企業またはユーザが身代金を支払わない場合は暗号化したデータを公開すると脅迫します。暗号化したファイルに用いられるファイル拡張子は、感染PCのMACアドレスに基づいています。

ランサムウェアが利用する匿名通信システム「Tor」上のWebページによると攻撃者は、標的と定めた企業の財務能力を事前に調査・把握した上で企業に要求する身代金の額を決定しています。また、このWebページには、医療、教育、非営利、政府機関の部門下にある組織は攻撃しない旨も明示されています。

図1：DARKSIDEが用いた身代金要求文書（ランサムノート）

「CRYSIS」を背後で操る攻撃者がToolboxを公開

サイバーセキュリティ企業「Sophos」は、「CRYSIS」（「Ransom.Win32.CRYSIS.TIBGGS」として検出）の攻撃者がハッキングツールキット「Toolbox」を一般に公開したと報告しています。
Toolboxには、パスワードを詐取するための「MIMIKATZ」、リモートデスクトッププロトコル（RDP）のパスワードを窃取するためのNirSoft製「Remote DesktopPassView」、無料でハッシュをダンプするハッシュスイートツール、および攻撃対象のコンピュータを見つけたり、ランサムウェアを展開できるツールなどが含まれています。このToolboxを使用すると、新米ハッカーでもネットワークに侵入できる可能性があります。

CRYSISはランサムウェアサービス（Ransomeware as a Service）下で機能し、Toolboxを使用することで、アフィリエイト（ネット広告）を介してランサムウェアをより多くのターゲットに簡単に拡散することができます。

「NEGASTEAL」 – 銀行口座の所有者を狙って電子メールを拡散

トレンドマイクロは、不正な添付ファイルを介して情報窃取型マルウェア「NEGASTEAL」（「TrojanSpy.MSIL.NEGASTEAL.DYSGXT」として検出）を拡散させる電子メールキャンペーンを確認しました。
この攻撃の標的は、タイの銀行の口座所有者でした。攻撃メールは受信者に約9,000米ドル（約95万円）の「外部からの送金取引」があると虚偽の通知をし、ユーザに文書ファイルを含む添付ファイルをダウンロードするよう誘導します。この文書ファイルを実行すると、2017年から知られているMicrosoft Officeのメモリ破損の脆弱性「CVE-2017-11882」を利用して、マルウェアのペイロードをダウンロードして実行します。

2014年に初めて確認されたNEGASTEALは、収集した情報を、Webパネル、FTP、またはSMTPを介してコマンド&コントロール（C&C）サーバに送信することで知られています。

また、トレンドマイクロでは近年、メール送受信ソフト「Becky！Internet Mail」から認証情報を窃取するために、NEGASTEALがリムーバブルドライブを介して拡散していた事例も特定しています。

図2：NEGASTEALを含む不正ファイルが添付された電子メールの一例

正規アプリケーションにバンドルされたコインマイナー

トレンドマイクロでは、ファイルレス活動を行うコインマイナー（「Coinminer.Win32.MALXMR.THHADBO」として検出）がTeamViewer、Rufus、YTD Video Downloaderなどの正規アプリケーションのインストーラにバンドルされ拡散している事例を確認しました。
これらのインストーラは、当然、公式のダウンロードセンターやアプリストアで配布されているものではありません。ダウンロード時、正規アプリケーションと不正スクリプト（VBSファイル）がユーザのシステム内にドロップされます。この不正スクリプトは、特定の不正サイトに接続してコインマイナーのローダーをダウンロードした後、コインマイナーを読み込むために使用されます。

コインマイナーや別種のマルウェアを、ビデオ会議アプリなどアプリケーションの正規インストーラにバンドルすることは目新しい手法ではありませんが、この事実を知らないユーザは、不審なソースから無意識のうちにダウンロードして、誤ってシステムを危険にさらす可能性があります。

図3：TeamViewerインストーラにバンドルされているコインマイナー

図4：難読化されたVBSファイル

被害に遭わないためには

変化を続けるサイバーセキュリティの世界においては、次々と出現する高度化した脅威に対抗するため、攻撃者とセキュリティリサーチャの間で終わりのない鍔迫り合いが続いています。企業および個人ユーザは、これらの脅威からシステムを守るために必要なセキュリティ対策をしっかり活用できるよう、アップデートされた修正プログラム（パッチ）を迅速に適用する必要があります。
兵法の一節に習うとすれば「彼を知り己を知れば百戦殆うからず」と言えます。

さまざまな脅威に対処するため企業やユーザは、以下の事項を踏まえてセキュリティ対策を講じることが推奨されます。

• 公式サイトまたはアプリストアからのみアプリをダウンロードしましょう
• 身に覚えのない送信者からのメール、あるいは不審と感じるメールやメッセージに添付されたファイルをダウンロードしたり開いたりしないようにしましょう。リンク先がフィッシングサイトであったり、マルウェアをダウンロードしてしまう可能性があります。特定のリンクをクリックするよう指示がある場合は、一度、リンク上にカーソルを合わせてリンク先のURLを確認しましょう。（より安全性を確認したい場合はトレンドマイクロのSite Safety Centerまたは他社同等のサービスで確認してください）
• 利用するソフトウェアおよびアプリケーションを定期的にアップデートして脆弱性に対する最新のパッチを適用しましょう
• システムに、脅威をブロックして防御可能なセキュリティソリューションを適用しましょう

※情シスはセキュリティパッチの適用ルールなど、各自が行うセキュリティアクションは疎まれようとも周知徹底する必要があります。

その他には、法人向けのエンドポイント製品やクラウド型エンドポイントセキュリティサービスなどを導入することも大いに役立ちます。
導入製品やサービスが、事前防御（EPP）と事後対応（EDR）が統合されていると、予防だけでなく侵害があった際にもその原因調査までシングルエージェントで実現できるなどのメリットもあります。（その分、分析する人材も必要になるわけですが…）
近年はオーケストレーションツールも登場し、人工知能（AI）技術を使用して、エンドポイント、メール、ネットワークなどのアラートを相関させ、一つの防御ポイントの情報だけではわからないような脅威を可視化し、深刻度のレベルに応じて優先順位を付けるようなものも存在します。
これにより、企業は攻撃がどのように開始され、どの程度拡散しているかを迅速に把握でき、被害を最小化することができるのです。

自社の対策が今の脅威に対して有効なのか、確認してみるべきでしょう。

本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
https://blog.trendmicro.co.jp/archives/26512