SAS 2023:当社GReATの調査研究

タイで開かれたSAS2023で、当社の専門家が発表した4つの主な調査内容について。

当社主催の年次カンファレンス、セキュリティ・アナリスト・サミット(Security Analyst Summit、通称「SAS」)が先週タイのプーケットで開催されました。SASは、当社グローバル調査分析チーム(Global Research and Analysis Team:GReAT)のメンバーが優れた調査研究を発表する場でもあります。今年はどのような発表がなされたのでしょうか。このブログでは、4つの調査発表について簡潔にご説明します。

StripedFly:スパイウェアのプラットフォーム

StripedFlyの詳細については、まるで探偵小説のようでした。以前は、Monero暗号通貨マイナーとして検出されていたマルウェアでしたが、実際には複雑なモジュール型の脅威の隠れ蓑で、WindowsとLinuxのコンピューター両方を感染させることができるものであることがわかりました。

これら複数のStripedFlyモジュールは、コンピュータから情報を窃取したり、スクリーンショットを撮ったり、マイクから音声を録音したり、Wi-Fiパスワードを傍受したりすることができます。また、このようなスパイ行為だけでなく、ランサムウェアとして機能するモジュールや暗号資産マイニングのためのモジュールもあります。

興味深いのは、この脅威がEthernalBlueエクスプロイトを介して拡散する可能性がある点です。ただしMicrosoftは、これに対処するパッチを2017年にリリースしています。さらに、StripedFlyは、盗まれたキーとパスワードを使用して、SSHサーバーが稼働しているLinuxとWindowsシステムを感染することができます。侵害の指標を含む調査の詳細は、ブログSecurelist(英語)をご覧ください。

Operation Triangulation 続報

SASで発表されたもう1つの重要な調査は、特に当社の従業員を標的とした「Operation Triangulation(オペレーション・トライアンギュレーション)」です。

Operation Triangulationは、当社の専門家が2023年初めに発見したAppleのモバイル機器を利用した極めて複雑で専門的な標的型攻撃です。この攻撃は、当社の中間管理職と経営陣が使用するiPhoneに、秘密裡にスパイウェアを仕込むことを目的としており、セキュリティ情報とイベント管理のためのネイティブなSIEMソリューション、Kaspersky Unified Monitoring and Analysis Platform(KUMA)によって感染が確認されました。スパイウェア「Triangulation」については、過去のブログもご覧ください。

当社の専門家は最近、この脅威アクターが使用するiOSシステムの5つの脆弱性を発見しました。そのうちの4つ(CVE-2023-32434CVE-2023-32435CVE-2023-38606、CVE-2023-41990)はゼロデイ脆弱性でした。これらの脆弱性は、iPhoneだけでなく、iPod、iPad、macOS、Apple TV、Apple Watchにも影響を与えました。また、iMessage経由でデバイスを感染させるだけでなく、攻撃者は、Safariブラウザを攻撃できることも明らかになりました。当社の専門家がこの脅威をどのように分析したかについて、詳細はSecurelistブログをご覧ください。

新たなLazarusキャンペーン

GReATの専門家による3つ目の調査は、Lazarusによる新たなAPT(持続的標的型)攻撃についてです。このグループは現在、ソフトウェア開発ベンダー(一部は複数回攻撃されている)を標的としており、サプライチェーン攻撃を積極的に行っています。

Lazarusはウェブ通信を暗号化する正規のソフトウェアの脆弱性を利用してシステムに感染し、新しいSIGNBTインプラントを展開します。このインプラントは、被害者を調査し(ネットワーク設定、プロセス名、ユーザー名を取得)、さらに悪意のあるペイロードを起動します。特に、すでに知られている LPEClient バックドアの改良版がダウンロードされ、メモリ内で動作し、認証情報やその他のデータを窃取するマルウェアを起動します。Lazarusの新しいツールや侵害の指標に関する技術情報は、Securelistブログにも掲載されています。

攻撃キャンペーンTetrisPhantom

当社の専門家は、アジア太平洋地域の政府機関を標的とした APT攻撃キャンペーンの詳細を発表しました。TetrisPhantomは、ストレージデータの安全な暗号化を提供するために使用される特定のタイプのセキュアUSBドライブ(暗号化USBメモリ)を侵害するものです。このUSBは、政府の関係機関で主に使用されています。この脅威を調査する中で、専門家は、さまざまな悪意のあるモジュールを使用してコマンドを実行し、侵害されたコンピュータからファイルや機密情報を収集し、同じく暗号化USBメモリを使用する他のマシンに転送する一連のスパイキャンペーンを確認しました。このキャンペーンの詳細については、APTの脅威に関する四半期報告書をご覧ください。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?