トレンドマイクロでは日夜脅威の監視と対応を行っています。その中からさまざまな脅威が利用する高度に開発された攻撃手法に着目しました。ランサムウェアにおいては、新たな暗号化型ランサムウェアファミリ「DARKSIDE(ダークサイド)」が出現する一方で、別のランサムウェアファミリ「CRYSIS」(別名Dharma)を背後で操る攻撃者がハッキングツールキットを一般に公開しました。メッセージ機能を悪用する脅威においては、攻撃対象を絞った標的型メールの送信活動(キャンペーン)を介して情報窃取型マルウェア「NEGASTEAL(ネガスティール)」(別名Agent Tesla)が拡散されました。またファイルレス活動を行う脅威においては、不正マイニングを狙い、コインマイナーが正規アプリケーションにバンドルされ頒布されていることが確認されました。
■「DARKSIDE」の出現
上述の通り、新たなランサムウェアファミリ「DARKSIDE」(「Ransom.Win32.DARKSIDE.YXAH-THA」として検出)が出現しました。このランサムウェアの背後にいる攻撃者は、他のランサムウェアファミリ「Maze」や「Nefilim」が採用する手口と同様の戦術を利用し、感染PCを所有する企業またはユーザが身代金を支払わない場合は暗号化したデータを公開すると脅迫します。暗号化したファイルに用いられるファイル拡張子は、感染PCのMACアドレスに基づいています。
ランサムウェアが利用する匿名通信システム「Tor」上のWebページによると攻撃者は、標的と定めた企業の財務能力を事前に調査・把握した上で企業に要求する身代金の額を決定しています。また、このWebページには、医療、教育、非営利、政府機関の部門下にある組織は攻撃しない旨も明示されています。
■「CRYSIS」を背後で操る攻撃者がToolboxを公開
サイバーセキュリティ企業「Sophos」は、「CRYSIS」(「Ransom.Win32.CRYSIS.TIBGGS」として検出)の攻撃者がハッキングツールキット「Toolbox」を一般に公開したと報告しています。Toolboxには、パスワードを詐取するための「MIMIKATZ」、リモートデスクトッププロトコル(RDP)のパスワードを窃取するためのNirSoft製「Remote DesktopPassView」、無料でハッシュをダンプするハッシュスイートツール、および攻撃対象のコンピュータを見つけたり、ランサムウェアを展開できるツールなどが含まれています。このToolboxを使用すると、新米ハッカーでもネットワークに侵入できる可能性があります。
CRYSISはランサムウェアサービス(Ransomeware as a Service)下で機能し、Toolboxを使用することで、アフィリエイト(ネット広告)を介してランサムウェアをより多くのターゲットに簡単に拡散することができます。
■「NEGASTEAL」 – 銀行口座の所有者を狙って電子メールを拡散
トレンドマイクロは、不正な添付ファイルを介して情報窃取型マルウェア「NEGASTEAL」(「TrojanSpy.MSIL.NEGASTEAL.DYSGXT」として検出)を拡散させる電子メールキャンペーンを確認しました。この攻撃の標的は、タイの銀行の口座所有者でした。攻撃メールは受信者に約9,000米ドル(約95万円)の「外部からの送金取引」があると虚偽の通知をし、ユーザに文書ファイルを含む添付ファイルをダウンロードするよう誘導します。この文書ファイルを実行すると、2017年から知られているMicrosoft Officeのメモリ破損の脆弱性「CVE-2017-11882」を利用して、マルウェアのペイロードをダウンロードして実行します。
2014年に初めて確認されたNEGASTEALは、収集した情報を、Webパネル、FTP、またはSMTPを介してコマンド&コントロール(C&C)サーバに送信することで知られています。また、弊社では近年、メール送受信ソフト「Becky!Internet Mail」から認証情報を窃取するために、NEGASTEALがリムーバブルドライブを介して拡散していた事例も特定しています。
■正規アプリケーションにバンドルされたコインマイナー
トレンドマイクロでは、ファイルレス活動を行うコインマイナー(「Coinminer.Win32.MALXMR.THHADBO」として検出)がTeamViewer、Rufus、YTD Video Downloaderなどの正規アプリケーションのインストーラにバンドルされ拡散している事例を確認しました。これらのインストーラは、当然、公式のダウンロードセンターやアプリストアで配布されているものではありません。ダウンロード時、正規アプリケーションと不正スクリプト(VBSファイル)がユーザのシステム内にドロップされます。この不正スクリプトは、特定の不正サイトに接続してコインマイナーのローダーをダウンロードした後、コインマイナーを読み込むために使用されます。
コインマイナーや別種のマルウェアを、ビデオ会議アプリなどアプリケーションの正規インストーラにバンドルすることは目新しい手法ではありませんが、この事実を知らないユーザは、不審なソースから無意識のうちにダウンロードして、誤ってシステムを危険にさらす可能性があります。
■被害に遭わないためには
変化を続けるサイバーセキュリティの世界においては、次々と出現する高度化した脅威に対抗するため、攻撃者とセキュリティリサーチャの間で終わりのない鍔迫り合いが続いています。企業および個人ユーザは、これらの脅威からシステムを守るために必要なセキュリティ対策をしっかり活用できるよう、アップデートされた修正プログラム(パッチ)を迅速に適用する必要があります。兵法の一節に習うとすれば「彼を知り己を知れば百戦殆うからず」と言えます。
さまざまな脅威に対処するため企業やユーザは、以下の事項を踏まえてセキュリティ対策を講じることが推奨されます。
- 公式サイトまたはアプリストアからのみアプリをダウンロードしましょう
- 身に覚えのない送信者からのメール、あるいは不審と感じるメールやメッセージに添付されたファイルをダウンロードしたり開いたりしないようにしましょう。リンク先がフィッシングサイトであったり、マルウェアをダウンロードしてしまう可能性があります。特定のリンクをクリックするよう指示がある場合は、一度、リンク上にカーソルを合わせてリンク先のURLを確認しましょう。より安全性を確認したい場合はトレンドマイクロのSite Safety Centerでご確認ください
- 利用するソフトウェアおよびアプリケーションを定期的にアップデートして脆弱性に対する最新のパッチを適用しましょう
- システムに、脅威をブロックして防御可能なセキュリティソリューションを適用しましょう
■トレンドマイクロの対策
以下のセキュリティソリューションは、さまざまな脅威から保護するのに役立ちます。
法人向けのエンドポイント製品「Trend Micro Apex One™」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ビジネスセキュリティサービス」では、クロスジェネレーション(XGen)セキュリティアプローチにより、従来の実績ある技術によるウイルス検出に加え、新しい機械学習型検出や挙動監視機能(不正変更監視機能)などを組み合わせて、高い検出率と誤検出/過検出の回避を両立します。これら技術により侵入時点で未知のランサムウェアであっても対処することができます。
同時に、事前防御(EPP)と事後対応(EDR)の統合により、予防だけでなく侵害があった際にもその原因調査までシングルエージェントで実現します。
「Trend Micro XDR」は高度な分析と人工知能(AI)技術を使用して、エンドポイント、メール、ネットワークなどのアラートを相関させ、一つの防御ポイントの情報だけではわからないような脅威を可視化し、深刻度のレベルに応じて優先順位を付けます。これにより、企業は攻撃がどのように開始され、どの程度拡散しているかを迅速に把握でき、被害を最小化することができます。
「Deep Discovery™ Email Inspector」や「Trend Micro Cloud App Security™」などのメール対策製品、「Trend Micro Web Security as a Service – Advanced」などのWeb対策製品で使用可能なサンドボックス機能もその時点で未知のランサムウェアの検出に有効です。
■侵入の痕跡(Indicators of compromise)
今回の記事に関する侵入の痕跡はこちらを参照してください。
参考記事:
- 「Threat Recap: Darkside, Crysis, Negasteal, Coinminer」
Insights and analysis by Miguel Ang, Raphael Centeno, Don Ovid Ladores, Nikko Tamaña, and Llallum Victoria
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)