Unit 42は、先週公開したブログで、中東の政府機関を標的とした脅威グループを観測し、 新しくDarkHydrusと命名しました。 弊社の以前の資料で議論した攻撃は、スピアフィッシングを利用し、 RogueRobinと呼ぶPowerShellペイロードを配信していました。 しかし、DarkHydrusは2018年6月に資格情報収集攻撃を実行していたことがわかりました。 また、2017年秋に遡る、同じインフラストラクチャを使用した以前の資格情報収集の試みも判明しており、 現在も継続中のキャンペーンのようです。これらの攻撃は中東の政府機関および教育機関を標的にしていました。

パロアルトネットワークスの脅威インテリジェンスチームUnit 42のリサーチャーは、2017年以来Subaatという攻撃者を追跡してきました。最近、Subaatは標的型攻撃活動を再開したことが判明しました。この攻撃者は、世界の政府機関に標的型攻撃を仕掛ける、個人から構成されるより大きな攻撃グループの一員である可能性があります。攻撃の一部の技術的分析およびパキスタンの攻撃者との特徴的なつながりは、既に指摘されています（360およびTuisec）。今回のブログ記事では、Unit 42のリサーチャーが追跡していた大規模な攻撃者グループとの興味深いつながりについて解説します。弊社はこのグループをGorgon Groupと呼んでいます。

LockCryptはEncryptServer2018という別名でも知られるランサムウェアファミリで、2017年の半ばからインターネット上に出回りはじめて以降依然として活発です。本稿では、本マルウェアの自家製暗号について分析した結果とその解読方法、また25KB程度のごく小さい平文のみで暗号キーを復元する方法について説明します。

昨年、パロアルトネットワークスの脅威インテリジェンスチームUnit 42は、Google Play のアプリに悪意のあるIFramesに感染したものが多く含まれるという件について報告しました。最近、私たちはこれとよく似た事例をGoogle Playで発見しました。ただし今回は、悪意のあるIFramesではなく、悪意のあるMicrosoft Windows 実行ファイルに145個のGoogle Playアプリが感染していることが分かった、という事例です。本稿の発見内容についてはすでにGoogleのセキュリティチームに報告済みで、すべての感染したアプリはGoogle Playから削除されています。

2018年7月、Unit 42は、中東地域の少なくとも1つの政府機関に対する、新しいファイル タイプを使用した標的型攻撃を分析しました。この攻撃は、弊社が「DarkHydrus」として追跡している、これまでに公開されていない脅威グループによって実行されました。弊社のテレメトリに基づき、明らかになった追加の調査結果によると、2016年初めから、この攻撃者グループが現在の作戦で活動してきたと弊社は確信しています。今回の攻撃は、このグループに関して弊社がこれまで観測した攻撃とは異なり、悪意のあるExcel Webクエリ ファイル(.iqy)を含む、パスワードで保護されたRARアーカイブ ファイルを添付したスピアフィッシング メールを標的の組織に送信します。

5月初めに、Unit 42は、ロシアの少なくとも1つの国防企業と韓国の特定されていない1つの組織に対してBisonalマルウェアの亜種を配信する攻撃キャンペーンを発見しました。これまで公には報告されていませんが、この亜種は少なくとも2014年以降には出回っています。この亜種とこれまでのBisonalマルウェアには主な違いが3つあり、これにはC2通信用の異なる暗号および暗号化や、ネットワーク通信および永続性維持のためのコードの大規模な書き換えが含まれます。これまでに収集されたこの亜種のサンプルは14個だけであり、これが限定的にのみ使用されている可能性を示しています。これらの攻撃を実施した攻撃者は、(偽のPDFアイコンを使用して)PDFファイルに見せかけ、このおとりPDFファイルの内容として、公開されているデータを再利用することにより、標的となった相手にMicrosoft Windowsの実行可能マルウェアを起動させようとしていました。

OilRigグループ は引き続き戦略を適応し、新しく開発されたツールでツールセットを強化しています。 OilRigグループ(別名APT34、Helix Kitten)は諜報の動機を持つ攻撃者で、主に中東地域で活動しています。 当社は、2016年中頃にこのグループ を初めて 発見 しましたが、このグループの活動がその時期以前に始まっていた可能性もあります。 このグループは非常にしつこい攻撃者であることを自ら示しており、スロー ダウンする兆候は見えません。 このグループの過去の活動を現在のイベントとともに調査すると、OilRigグループの活動が近い将来さらに加速する可能性が高いことを示しています。

パロアルトネットワークスの脅威インテリジェンス調査チーム Unit 42は、インターネット上で公開されているMiraiおよびGafgytマルウェア ファミリのソースコードを使った3種類のマルウェア攻撃キャンペーンに属するサンプルをいくつか調査するうち、これまでMiraiの亜種が使用したことのないDDoS手法がいくつかサポートされていることを発見しました。

EmotetおよびTrickbotは、Windowsベースのコンピュータを標的とした情報窃取マルウェアです。これらは、バンキング マルウェアとしても有名です。通常これらは、それぞれ別の悪意のあるスパム(マルスパム)キャンペーンを介して配布されます。しかし、当社は今回、単一の感染チェーンで両方のマルウェアを観測しました。このEmotetとTrickbotの組み合わせにより、脆弱なWindowsホストの危険は倍増します。

2017年から2018年にかけて、Unit 42は、KHRATトロイの木馬に関する弊社の調査研究を基にして、 特に東南アジアを重点的に狙った一連の標的型攻撃を追跡および観測してきました。 その証拠に基づくと、これらの攻撃は、前に未知のマルウェア ファミリを使用した攻撃者と 同じ一団によって実行されたと思われます。また、これらの攻撃は、 使用したマルウェアの配布および選択した標的において極めて絞り込まれた標的型攻撃のようです。 このような要因から、Unit 42は、これらの攻撃を実施した攻撃者は、 諜報目的でキャンペーンを実施していると確信しています。

5月25日、ついにGDPR（一般データ保護規則）が施行されました。同月、NIS指令（ネットワーク・情報システムのセキュリティに関する指令全体）をうけた国内法制化も動き始めました。変化はこれに留まらず、EUには更なるサイバーセキュリティ関連法制定の波が押し寄せています。

概要 「Tick」 は、主に日本と韓国を標的にしているサイバースパイ攻撃グループで、Minzen、Datper、Nioupale (別名 Daserf)、HomamDownloaderなどのカスタムマルウェアを使って攻撃キャンペーンをしかけることで知られています。パロアルトネットワークスの脅威インテリジェンス調査チーム Unit 42 はこれ以前に、2017年7月にも同グループについて報告したことがあります。

要約 フィッシングは、依然として、サイバー攻撃の最も危険な脅威ベクトル(手段、経路)の1つです。エクスプロイト キットは、全体として減少傾向にありますが、「ランサムウェアから暗号通貨マイニングと情報盗難へ ― エクスプロイトキットRig EKの変遷」の記事で示したように、フィッシング自体は減っていません。直近でUnit 42は、フィッシング攻撃およびフィッシングURLについて調査を行いました。このブログでは、2018年の第1四半期、1月から3月にかけてのフィッシングの結果を、特にHTTPSフィッシングURLに重点を置いて、統計的に示します。

要約 このブログでは、Unit 42よりEmail Link Analysis (ELINK)の2018年第1四半期の分析と統計を紹介し、最新のWeb脅威についての興味深い発見を取り上げます。はじめにCVE、悪意あるURL、およびエクスプロイトキット(EK)についての統計情報を説明し、次にこれらのWebベースの脅威の現在のライフサイクルについて述べ、そして進化し続けているEKと仮想通貨マイナーの2つのケーススタディで締めくくります。

パロアルトネットワークスの脅威インテリジェンスチームUnit 42では、この数か月というもの、仮想通貨マイナー（仮想通貨を採掘するプログラム）の新しい脅威やキャンペーンを調査する機会が非常に多くなっていました。そのうち、この増加の理由が偶然によるものか、あるいはより大きな傾向を組んだ結果なのかという疑問を持ち始めました。そこで、パロアルトネットワークスのWildFireクラウド脅威解析サービスを活用し、これまでに特定された仮想通貨マイニングマルウェアの数を調べた結果、そうしたマルウェアの特定頻度が急激に高まっていることが判明しました。

Sofacyグループは、依然としてグローバルな脅威として存在しています。Unit 42およびその他の機関は、2018年上半期に、この脅威グループが特に北米とヨーロッパの政府機関、外交機関、およびその他の戦略的組織を中心として、いかにして世界中の複数の組織を引き続き標的にしているかを示しました。

新たなマルウェア ファミリまたはキャンペーンを見つけて調査する作業は、衣服のほつれた糸を辿っていくようなものです。 糸をゆっくりと引くと網目がほどけていくように、真相が徐々に解明されるのです。 今回はSquirtDangerという新たなマルウェア ファミリの調査から開始しました。このマルウェアの攻撃では、 DLLファイル「SquirtDanger.dll」が使用されるからです。このマルウェア ファミリは、 ハンドル名「TheBottle」で知られるロシア人のマルウェア作成者によるものであることを示す強力な証拠があります。 いくつかのリードを辿っていくことで、TheBottleが背後にいることが明らかになりました。 この投稿では、TheBottleの活動と、彼が作成した最新のマルウェア ファミリがどのように特定されたかを詳細に説明していきます。

EST Securityによる最近の投稿で、北朝鮮のReaperグループ(APT37、Scarcruft、Group 123、Red Eyesとしても知られる)とつながるスピアフィッシング メールの添付ファイルで、Androidスパイウェアが使用されていることがわかりました。この脅威グループのツールキットに新たにモバイル ベクトルが追加されたことが注目されています。

ここ数か月の間、Unit 42は、「Rarog」と呼ばれるあまり知られていない暗号通貨マイニング トロイの木馬を調査してきました。 Rarogは、2017年6月以降さまざまな地下フォーラムで販売され、それ以来、無数の犯罪者によって使用されてきました。今日まで、パロアルトネットワークスは、161の異なるコマンド&コントロール(C2)サーバーに接続している、約2,500の独自のサンプルを観察しました。

あなたの会社では、業務用PCとは別にモバイルPCが用意されていますか？そんなPCに潜むセキュリティの問題点と、パロアルトネットワークスによる解決策を、弊社シニアプロダクトマーケティングマネージャ―の広瀬が解説します。

パロアルトネットワークスは、サイバー攻撃を阻止し、デジタル時代の人々の暮らしを保護するという使命を果たすため、常に新しい手法を探求しています。攻撃者が用いるあらゆる攻撃手段を分析し、阻止するための新しい保護策を系統的に追加しています。

TelegramのボットAPIを悪用し、イラン人を標的にするAndroidマルウェアは初めてのケースではありません。この手法を利用したトロイの木馬の出現については、2017年6月および７月に議論されています。Telegramボットは、セットアップに追加の電話番号を必要としない特別なアカウントで、一般的には外部サービスのコンテンツによってTelegramチャットを強化したり、カスタマイズされた通知やニュースを取得したりするために使用されます。わたしたちは、これらのTelegramボットが悪意のあるAndroidアプリケーションのコマンド&コントロールにどのように利用されたか、調査を開始しました。

Unit 42は、新しいAndroidマルウェア ファミリを最近発見し、「HenBox」と命名しました。「HenBoxは、VPNおよびAndroidシステム アプリなどのアプリになりすまし、多くの場合これらのアプリの正規バージョンをHenBoxと一緒にインストールすることで、ユーザーをだまして正規のアプリをダウンロードしたと思わせます。

2016年10月、Unit 42は、Sofacy脅威グループによって使用されたFlashエクスプロイト フレームワークの分析を初めて公開しました。このフレームワークはDealersChoiceと呼ばれています。Sofacyは、2016年の秋に繰り返しDealersChoiceを使用しました。3月12日と3月14日、SofacyグループがDealersChoiceの更新された亜種を使用してヨーロッパの政府機関を攻撃したことに私たちは気付きました。

この数カ月間、Patchworkサイバー脅威グループ(別名「Dropping Elephant」、「Monsoon」)がインド亜大陸を標的にしたキャンペーンを行っています。Patchworkグループは、更新されたBADNEWSペイロードを拡散するために、正規文書にEPSエクスプロイトをひと組埋め込んだ悪意のある文書を利用していました。正規文書を兵器化する手法は、このサイバー脅威グループが以前からよく使用している方法です。

ここ6か月で、仮想通貨のマイニングを最終目的とした攻撃活動数の大幅な増加が観察されています。 何が、攻撃者からの大幅な変化を促進し、業界における著しい動向を生み出しているのでしょうか? より詳しく疑問を解決するために、犯罪者の立場に立って、感染を収益化する必要がある代替のルートは何かを考えることが重要です。つまり、この動向がどのように実を結ぶのか、なぜ、そのように行き渡っているのか、セキュリティ プロフェッショナルと防御者はどのようにこの増大しつつある脅威のタイプを監視できるのかを考察します。

パロアルトネットワークスの脅威インテリジェンスチームUnit42は、日米のユーザーの仮想通貨とオンラインウォレットを標的にした、新しい通貨窃取マルウェアを発見しました。「CryptoJack」は、ターゲットのクリップボード上の仮想通貨のウォレットのアドレスを、攻撃者のアドレスに置き換え、攻撃者のウォレットへの資金の送付を狙います。

本日、パロアルトネットワークスの次世代ファイアウォールを強化するソフトウェアの最新バージョンとして、PAN-OS 8.1を発表します。本ソフトウェアのリリースにより、アプリケーションベースのセキュリティが容易に導入できるようになり、暗号化されたトラフィックを保護する際の障壁がなくなります。また、大規模なネットワークの管理が簡素化されるほか、行動分析用のMagnifierと組み合わせ、高度な脅威を迅速に特定できるようになります。

2018年の始まりとともに、私たちは暗号通貨マイニング ソフトが増大している傾向を認識しました。特定された最新の脅威は、ロシアのBitTorrentサイトという形で現れ、このサイトは密かにマルウェアをユーザーに配信し、主にMonero暗号通貨をマイニングしています。この特定のロシアのBitTorrentサイト、b-tor[.]ruは、2017年7月以来アクティブで、2017年9月以降、ユーザーへ提供された正規のファイルにバンドルされているマルウェアが観察されてきました。多くの同様な活動のように、暗号通貨マイニング ソフトはユーザーの知らないうちに配信されています。事実、この攻撃の背後にいる攻撃者は、エンド ユーザーが自分のマシンにマルウェアがロードされたことに気付かないようにするための特定の試みを行っています。

現状の脅威において主流のエクスプロイトキット「Rig EK」は、1年で大幅に変化しました。パロアルトネットワークスの脅威インテリジェンスチームUnit 42では、活動レベル、マルウェアのペイロード、そしてネットワークトラフィックの特性を2017年1月と2018年1月で比較してみました。