敵がますますベンダーと契約者のアカウントを使ってネットワークに侵入
ネットワークへの侵入にベンダーと契約者のアカウントが増える
By Nick Biasini, Craig Jackson Tuesday, June 6, 2023 08:06 On The Radar
- Cisco Talos Incident Response (Talos IR) は、最近の緊急対応の際に攻撃者がベンダーや契約者のアカウント(VCA)を対象とし、そのアカウントを利用する事例を頻繁に観察しています。
- ソフトウェア供給チェーンの妨害事例が注目を浴びる一方(例えば、最近公表された3CX Desktop Softphoneアプリケーションを通じた供給チェーン攻撃)、第三者労働力のアカウントの悪用はしばしば見過ごされます。
- ベンダーのアカウントは魅力的な供給チェーンのエントリーポイントと見なされています。
- VCAは特に、初期アクセスが得られる前後に攻撃者にとって魅力的です。ある調査で、Talos IRは攻撃者が低い権限を持つユーザーアカウントを使って組織にアクセスし、その後、他の2つのアカウント(組織全体にソフトウェアをデプロイするためのサービスアカウントと第三者のベンダーアカウント)を使って成功裏に認証を行った事例を観察しました。
- 何故攻撃者が比較可能な権限を持つ他のアカウントよりもVCAを好むのか、その理由はいくつかあります。
VCAの悪用に関するIRの教訓
- 過去数年間にわたり、Talos IRは、インシデント対応の過程で、攻撃者がVCAを様々な方法で悪用する事例を度々観察してきました。
- これらのアカウントは、初期アクセスのために頻繁に利用され、組織のネットワークを通じて横断的に利用されることが多いです。特に、被害者が多要素認証(MFA)を導入していない場合にはこの傾向が強まります。
VCAの悪用からの防御と影響の軽減に向けた戦略
- VCAが持つリスクレベルを理解し、認識することが、この脅威を軽減するための第一歩です。その後の課題は、これらを適切に保護する方法です。
- 組織がVCAを保護し、VCAの侵害の影響を軽減するために使用できるいくつかの戦略があります。
- これらの勧告の一部は、予防だけを念頭に置いて行われているわけではありません。それらはまた、インシデント対応者が、特にActive Directoryが利用できない場合に、侵害されたVCAにより影響を受ける可能性のあるシステムの範囲を迅速に理解するのを助けます。
VCAが必要でない場合は無効化する
- ITチームや情報セキュリティチームがVCAを保護するために取ることのできる最も簡単なステップの一つは、それらが必要でないときに無効化することです。
ロギングを確認し、セキュリティ監視を強化する
- VCA周りのロギング設定を評価し、確認して、彼らが行う全てを視覚化できるようにします。疑わしいあるいは異常なVCAのアクティビティを特定するためのアラートを作成します。
最小特権アクセスを実装する
- エンタープライズ環境での効果的なアクセス制御は一般的な課題であり、VCAも例外ではありません。
VCAをリモートアクセスのヘルスチェックに含める
ジャンプボックスまたは専用のベンダーアクセスアプリケーションを使用する
- ベンダーのセキュリティ要件を強制する最善の方法
2023年6月16日から6月23日までの脅威ラウンドアップ
2023年6月16日から6月23日までの脅威ラウンドアップ
By William Largent
Friday, June 23, 2023 14:06
本日、Talosは6月16日から6月23日までに観察された最も一般的な脅威についての一部を公開します。前回のラウンドアップと同様、この記事は詳細な分析を意図したものではありません。代わりに、この記事では観察された脅威を要約し、主要な行動特性、コンプロミスの指標を強調し、お客様がこれらの脅威からどのように自動的に保護されているかについて説明します。 この記事で述べられる次の脅威についての情報は、公開日現在のものであり、全てを網羅しているわけではありません。また、IOCの検索は脅威ハンティングの一部に過ぎないことを覚えておいてください。一つのIOCを見つけただけでは必ずしも悪意があるとは言えません。以下の脅威に対する検出と対策は、追加の脅威や脆弱性分析を待って更新されます。最新の情報については、Firepower Management Center、Snort.org、またはClamAV.netを参照してください。 以下に述べる各脅威について、このブログ記事では関連するファイルハッシュを25件と、各カテゴリーのIOCを最大25件までリストします。この記事からのすべてのIOC、および完全なファイルハッシュのリストを含むJSONファイルはここで見つけることができます。各脅威に関連するMITRE ATT&CK技術の視覚的な描写も示されます。これらの画像では、技術の明るさが、ダイナミック分析が行われたすべての脅威ファイルでのその技術の普及度を示しています。明るさは5段階あり、最も暗い色がファイルに技術行動が見られなかったことを、最も明るい色がファイルの75%以上で技術行動が観察されたことを示しています。 このラウンドアップで強調された最も一般的な脅威は次のとおりです: 脅威の名前 タイプ 説明
- Win.Downloader.Zbot-10004448-0 Downloader - Zbot、別名Zeusは、キーロギングやフォームの掴み取りなどの方法で情報を盗むトロイの木馬です。
- Win.Dropper.Kuluoz-10004513-0 Dropper - Kuluoz、"Asprox"とも呼ばれることがあります。これは、偽のアンチウイルスソフトウェアなど、後続のマルウェアをダウンロードして実行することでも知られるモジュール式のリモートアクセストロイの木馬です。Kuluozは、出荷通知やフライト予約確認と偽ったスパムメールを通じて配信されることがよくあります。
- Doc.Downloader.Valyria-10004543-0 Downloader - Valyriaは、Emotetなどの他のマルウェアを配布する悪意のあるMicrosoft Wordドキュメントファミリーです。
- Win.Dropper.Tofsee-10004548-0 Dropper - Tofseeは、スパムメッセージの送信、クリック詐欺の実施、暗号通貨のマイニングなど、さまざまな活動を行うモジュールを備えた多目的マルウェアです。感染したシステムはTofseeスパムボットネットの一部となり、大量のスパムメッセージを送信して追加のシステムを感染させ、オペレータの制御下にあるボットネットの規模を増やします。
- Win.Malware.Bublik-10004580-0 Malware - Bublikは、Windowsホストを対象としたダウンローダです。主にバンキングトロイの木馬を配布するマルウェアとして使用されますが、ホストからの機密情報の抽出と流出も可能です。
- Win.Trojan.RevengeRAT-10004611-1 Trojan - RevengeRATのリモートアクセスツールは、オペレータが感染したシステムで広範囲の操作を行うことを可能にします。これには、ユーザの盗聴、データの外部送信、その他の悪意のあるソフトウェアの実行が含まれます。
- Win.Dropper.XtremeRAT-10004704-1 Dropper - XtremeRATは、2010年から活動しているリモートアクセストロイの木馬で、攻撃者がユーザーの盗聴とシステムの変更を行うことができます。XtremeRATのソースコードはDelphiで書かれており、オンラインで流出して以来、類似のRATに使用されています。
- Win.Packed.Upatre-10004837-0 Packed - Upatreは、エクスプロイトキットやフィッシングキャンペーンによく使用される悪意のあるダウンローダです。Upatreは、バンキングマルウェアなどの悪意のある実行ファイルをダウンロードして実行します。
ビデオ:Talosのオープンソースツールがセキュリティ耐性の向上を求めるすべての人をどのように支援できるか
ビデオ:Talosのオープンソースツールがセキュリティ耐性の向上を求めるすべての人をどのように支援できるか
By Hazel Burton, Martin Lee
Thursday, June 22, 2023 08:06
Cisco Talosの目的は、お客様をサイバー攻撃から保護するだけではありません。インターネットをより良く、より安全な場所にすることも目指しています。 それが、私たちがオープンソースソフトウェアを作成し、無料で公開している理由の一つです。これらのツールは、セキュリティコミュニティの誰でもが自分のスキルを強化したり、自分のセキュリティオペレーションで使用したり開発したりするために利用可能です。 現在、私たちは27のツールを持っており、すべてが私たちのウェブサイトのtalosintelligence.com/softwareとGitHubでダウンロード可能です。 以下は、私たちのオープンソースツールを見つけることができるカテゴリーです:
- 検出と保護エンジン:単独で動作するか、より広範なセキュリティシステムに統合することができるソフトウェアスイート。
- デクリプタ:さまざまなマルウェアやランサムウェアを復号化するためのもの。
- プロフェッショナルツール:マルウェアの分析と脆弱性の発見のためのもの。
Talosから新たにリリースされたビデオでは、私たちのEMEAのStrategic Planning and CommunicationsのリーダーであるMartin Leeが、これらのカテゴリーと防衛者が私たちのオープンソースツールをどのように使用できるかについて語っています: Snort 私たちの最も知られているオープンソースツールはSnortで、これは優れた侵入防止と検出システムです。これはCisco Secure Firewallに含まれているのと同じエンジンです。 誰でもSnortをダウンロードして、ネットワーク攻撃から保護するために、または自分のネットワークルールを開発するために、自分のセキュリティオペレーションで使用することができます。 このThreatWise TVのエピソードでは、Cisco Talosの研究者であるBrandon StultzとNick MavisがSnort 3.0の素晴らしい概観を提供するだけでなく、最も多くのSnortシグネチャを引き起こす傾向にある脆弱性のタイプにも触れています:
2023年6月9日から6月16日までの脅威のまとめ
2023年6月9日から6月16日までの脅威まとめ
By William Largent 2023年6月16日 金曜日 16:06
脅威まとめ
本日、Talosは6月9日から6月16日までに観察した最も一般的な脅威を公開しています。以前のまとめと同様に、この投稿は深く分析するものではありません。代わりに、この投稿では主要な行動特性、侵害の指標を強調し、お客様がこれらの脅威からどのように自動的に保護されているかについて説明します。 リマインダー:この投稿で提供される次の脅威に関する情報は完全ではなく、公開日現在の情報です。 また、IOCの検索は脅威ハンティングの一部に過ぎないことを念頭に置いてください。単一のIOCを見つけただけでは、必ずしも悪意があることを示すものではありません。次の脅威に対する検出とカバレッジは、追加の脅威や脆弱性の分析を待って更新される可能性があります。最新の情報については、お使いのFirepower Management Center、Snort.org、またはClamAV.netをご参照ください。 以下に記述する各脅威について、このブログ投稿では関連するファイルハッシュの25個と、各カテゴリーについて最大25個のIOCのみをリストします。全てのファイルハッシュと、この投稿からの他のすべてのIOCを含むJSONファイルはこちらで見つけることができます。また、各脅威に関連するMITRE ATT&CKテクニックの視覚的な描写も示されています。これらの画像では、テクニックの明度は、動的分析が実施されたすべての脅威ファイルでどれだけ一般的であるかを示しています。5つの明 distinctな色合いが使用され、最も暗い色はファイルがテクニックの振る舞いを示していないことを、最も明るい色は75%以上のファイルからテクニックの振る舞いが観察されたことを示しています。 このまとめで強調された最も一般的な脅威は以下の通りです:
脅威名 タイプ 説明
- Win.Dropper.Zeus-10004541-0 Dropper Zeusはキーロギングやフォームグラビングなどの方法を使用して銀行の資格情報などの情報を盗むトロイの木馬です。
- Win.Dropper.Kuluoz-10004513-0 Dropper Kuluoz(別名 "Asprox")は、偽のアンチウイルスソフトウェアなどの続くマルウェアをダウンロードして実行することも知られているモジュラー型のリモートアクセストロイの木馬です。Kuluozは出荷通知や航空券の予約確認を装ったスパムメールを介してよく配信されます。
- Win.Packed.Redline-10004447-0 Packed Redline Stealerは、.NETで書かれた情報窃取ツールで、ハッキングフォーラムで販売されています。
- Win.Packed.Nanocore-10004398-0 Packed Nanocoreは.NETのリモートアクセストロイの木馬です。そのソースコードは何度もリークされており、広く利用可能です。他のRATと同様、システムの完全な制御を可能にし、ビデオや音声の録画、パスワードの盗み出し、ファイルのダウンロード、キーストロークの録画などが可能です。
- Win.Dropper.Ap0calypseRAT-10004380-0 Dropper Ap0calypseRATは、任意のコマンド実行、キーロギング、リモートデスクトップアクセス、ファイルのエクスフィルトレーションなど、多くの機能を持つリモートアクセストロイの木馬(RAT)です。このRATは地下のフォーラムで定期的に見つけられ、他のマルウェアファミリーによって追加のペイロードとして落とされることもあります。
- Win.Packed.Upatre-10004369-0 Packed Upatreは、エクスプロイトキットやフィッシングキャンペーンによく利用される悪意のあるダウンローダーです。Upatreは、バンキングマルウェアなどの悪意のある実行ファイルをダウンロードして実行します。
- Doc.Malware.Valyria-10004248-0 Malware Valyriaは、Emotetなどの他のマルウェアを配布するために使用される悪意のあるMicrosoft Word文書ファミリーです。
- Win.Ransomware.Cerber-10004233-0 Ransomware Cerberは、文書、写真、データベース、その他の重要なファイルを暗号化するランサムウェアです。歴史的には、このマルウェアはファイルを暗号化したバージョンに置き換え、ファイル拡張子を ".cerber" に追加していましたが、最近のキャンペーンでは他のファイル拡張子が使用されています。
- Win.Virus.Ramnit-10004200-0 Virus Ramnitは、感染したマシンのウェブブラウザのアクティビティを監視し、金融ウェブサイトからのログイン情報を収集するバンキングトロイの木馬です。また、ブラウザのクッキーを盗み出す能力があり、一般的なアンチウイルスソフトウェアから隠れる試みをします。
URLは常に脅威アクターにとって最適な隠れ家である
URLは常に脅威アクターにとって絶好の隠れ場所でした
By Jonathan Munshaw Thursday, June 15, 2023 14:06
Threat Source ニュースレター
今週のThreat Source ニュースレターへようこそ。
- Talosの最近のブログ投稿は、新しくリリースされた".zip"というトップレベルドメイン(TLD)がもたらす危険性について詳述しています。脅威アクターは実際のURLを作成してファイル名のように見せ、ユーザーがリンクをクリックするように仕向けることができます。
- .Zipやファイル名の拡張子と文字を共有する他のTLDは、偶発的な情報漏洩の可能性を拓きます。
- しかし、これらは初めてユーザーに問題を提起するTLDではありません、特にインターネットが意図した通りに機能するための用語について詳しく知らないユーザーにとっては。 同じ日に.zipが全てのユーザーが登録可能なTLDとしてリリースされたとき、インターネット割り当て名簿管理(ICANN)は.movもTLDとして利用可能にしました。
- 例えば、"WeddingVideo.mov"というファイルを見て、それが正当な家族から来たものだと仮定する人を考えてみてください。
- (余談ですが、.dadもこのバッチでリリースされたTLDなので、私は非常にjon.dadを所有したいと思っています。) しかし、攻撃者は長い間、狡猾なURLを使用して被害者を誘い込んできました。我々は、タイポスクワットドメインがサイバー攻撃でどのように使用されるかについて何度も書いてきました。
- これは、攻撃者が正当なURL(例えばtwitter.com)を取り、それをわずかに変更して本物に見えるようにする(例えば、tvitter[.]comやtwltter[.]com)ケースです。
- そして、URLをブラウザウィンドウに打ち込むだけを超えたDNSのわずかな誤設定が情報の漏洩やフィッシングの誘いにつながるさまざまな方法があります。 常に存在する.comも、アクターが正当に見える名前を作るのに利用されています。
ランサムウェア攻撃者が「二重の強請」戦術を使う意味
ランサムウェアのアクターが「二重の強請」戦術を使用するとは何を意味するのか? By Jonathan Munshaw
2023年6月14日(水) 08:06
The Need to Know
ダブルエクストーションについて
ランサムウェアのアクターがターゲットのファイルを暗号化し、金を要求してから立ち去るだけでは不十分になってきました。 近年、これらのグループは「二重の強請」戦術をますます使用し、被害者に要求した身代金を支払うように促し、支払わなければ盗まれたデータをインターネットに流出させると脅しています。 二重の強請ランサムウェア攻撃では、アクターはターゲットのマシンのファイルやフォルダを暗号化するという、伝統的なランサムウェアの行動を行います。これに対する報酬として特定の金額を要求する身代金のメモを残し、それと引き換えにターゲットのネットワークとハードウェアを正常な作業状態に戻すための復号化キーを提供します。 ただし、この復号化キーが適切に機能するとは限らないため、Talosは、組織がランサムウェア攻撃を受けた場合に迅速に回復できるように、バックアップが適切に設定されていることを確認するためのいくつかの別のランサムウェア対策方法を推奨しています。 二重の強請を使用するアクターは、この一歩進めて、身代金が支払われなければ、ターゲットのデータを公衆やダークウェブに流出させると脅します。このことにより、個人を特定可能な情報(PII)や他の悪質なアクターが後続の攻撃や誰かの身元を盗むために使用可能な金融情報など、潜在的に敏感なデータが大量に公開されるリスクが一部の組織にとっては生じます。
ダブルエクストーション攻撃の最終目標は何か?
ランサムウェアのアクターは、この追加のプレッシャー層を追加することで、被害者が自分で回復しようとするよりも、要求された身代金を支払う可能性が高くなることを期待しています。 データの漏洩は、被攻撃組織に法的な問題を引き起こす可能性があります。また、公衆の評価が低下し、顧客の信頼を失う可能性があります。 結局のところ、ランサムウェアのグループは金によって動機付けられています。彼らは被害者が支払う可能性を高めるために、何でもするでしょう。 これらのグループは、被害者とのコミュニケーションを進めることをますます積極的に行い、支払いを交渉したり、被害者に対する圧力を追加する可能性があります。Talos Outreachの責任者であるNick Biasiniは最近、Talos Takesのエピソードでこれらの戦術について話し、ランサムウェアグループの動機を「あなたが会話を始められなければ、給料日にはなりません...彼らがコミュニケーションを持っているとき、彼らは可能性のある被害者を持っていることを知っています。」と要約しました。
注目すべき例:RA Group
RA Groupは、Cisco Talosが最近発見した新しいランサムウェアのアクターで、明確に二重の強請戦術を使用しています。それはアクターが制御するウェブサイトを運営し、そこで可能な被害者のリストを投稿し、ターゲットから盗んだデータを公に脅迫すると脅しています。 RA Groupは、組織の名前、盗まれたデータのリスト、盗まれたデータのファイルサイズ、被害者組織のウェブサイトのURLを含むと主張しています。アクターが残した身代金のメモは被害者に合わせてカスタマイズされ、要求された身代金を3日以内に支払わなければ、すべての盗まれたデータが公開される可能性があると通告されています。 3日間の期限が来ると、RA Groupは自分たちの主張の正当性を証明するために「サンプルファイル」を公開すると言います。リークサイトは、「私たちは定期的に文書を公開し、すべての文書は1年以内にリリースされる」と述べています。 RA Groupは、ダークウェブでデータを売るという脅威を新たに導入しました。二重の強請戦術は、盗まれたデータのリークで知られていますが、販売は新しい策略かもしれません。 グループのリークサイトは、Talosが見た最初の例の一つで、1年間のウィンドウ期間中に他の悪質なアクターにデータを販売すると公に脅すものです。データを購入に興味がある人に対して、RA Groupは暗号化されたインスタントメッセージングプラットフォームであるqToxを通じて連絡するように明示的に指示しています。 これは、ランサムウェアの風景における新しい発展であり、脅威のアクターが成功した攻撃から収益を得るための新しい方法となります。 Talosは、過去3年間に二重の強請方法を使用し始めたいくつかの他の脅威アクターを調査してきました。これには、UNC2447、Vice Society、Silence Groupが含まれます。
予防
二重の強請ランサムウェア攻撃から防御するために、ユーザーや組織はランサムウェアを回避するための古典的なアドバイスに従うべきです:
- 多要素認証プロトコルを使用する。Cisco Duoのような多要素認証プロトコルを使用することで、脅威のアクターが目標とするシステムに初めて足を踏み入れるための手段であるクレデンシャルの窃取を防ぐことができます。
- Cisco Secure Endpointおよび他のCisco Secure製品を利用する。これらはネットワークをより強固にするための多層的な保護を提供します。Cisco SecureとTalosには、初期の感染、偵察、横方向の移動、ファイルの暗号化を検出し、防止するためのエンジンが多数あります。
- インシデント対応のプレイブックと計画を用意する。インシデント対応のプレイブックと計画が存在し、試験済みであることは、攻撃後の迅速な回復と組織全体のランサムウェアからの防御において重要です。
- システムとアプリケーションを定期的に更新する。これにより、脅威のアクターがエクスプロイトに利用することのできる既知の脆弱性を修正できます。
これらはすべて有効な手段ですが、二重の強請攻撃からの完全な保護を提供するものではありません。Talosは、ランサムウェア攻撃が発生した場合、組織が適切に回復できるように、データのバックアップを強く推奨しています。 さらに、組織が自身の情報を保護するためにどのような手段を講じるかについて考える際に、重要なデータがどこに保存されているか、誰がアクセスできるのか、それらがどのように保護されているのかについての総合的な理解が重要です。 どんなに防御を強化しても、ランサムウェアのアクターが自身の目標を達成するための新しい方法を見つける可能性があるため、企業や個人は警戒を怠らないようにする必要があります。 Source: Cisco Blogs
Microsoft Excelで発見された二つのリモートコード実行脆弱性
Microsoft Excelで発見された二つのリモートコード実行脆弱性 By Marcin Noga
火曜日, 2023年6月13日 15:06
Vulnerability Spotlight Cisco Talosは最近、Microsoft Excelのスプレッドシート管理ソフトウェアに存在する2つの脆弱性を発見しました。これらの脆弱性を利用すると、悪意のあるアクターがターゲットとなるマシンで任意のコードを実行することが可能になります。 これらの問題はMicrosoftによって公開され、同社の6月の月次セキュリティリリースの一部としてパッチが適用されました。
一つの脆弱性であるTALOS-2023-1730 (CVE-2023-32029)は、ExcelのFreePhisxdb関数に存在します。攻撃者は、特別に作られたファイルを開くようにターゲットのユーザーを誘導することでこの脆弱性を利用できます。その後、ヒープを操作して任意のコードを実行する能力を得ることができます。 TALOS-2023-1734 (CVE-2023-33133)も同様に働きますが、この場合、範囲外の読み取りが範囲外の書き込みにつながり、これがさらにメモリの破壊を引き起こし、最終的には任意のコードを実行することができます。 Microsoftはこれらの脆弱性が「リモートコード実行」と記載されているにもかかわらず、攻撃自体はローカルで行われると注記しています。どちらの脆弱性もCVSSの重大度スコアは10点中7.8で、「より少なく」利用される可能性があるとMicrosoftは考えています。
Cisco Talosは、これらの問題が解決し、影響を受ける顧客向けの更新が利用可能になるよう、Microsoftと協力しました。これはすべて、Ciscoの脆弱性開示ポリシーに従って行われました。 ユーザーは、可能な限り早くこれらの影響を受ける製品を更新することを推奨します: Microsoft Office Excel 2019 Plus、バージョン16.0.16130.20218。Talosは、このバージョンのExcelがこれらの脆弱性によって攻撃を受ける可能性があることを確認しました。 以下のSnortルールがこれらの脆弱性に対する攻撃試行を検出します: 61503、61504、61574、61575。将来的に追加のルールがリリースされる可能性があり、現行のルールは追加の脆弱性情報を待って変更される可能性があります。最新のルール情報については、お手持ちのCisco Secure FirewallまたはSnort.orgをご覧ください。
