Unit 42は2016年からChaferの活動を観測していますが、Chaferは遅くとも2015年からは活動していることが分かっています。新しい第2段階のペイロードはPythonベースで、PyInstallerユーティリティを使って実行形式にコンパイルされています。同攻撃者がPythonベースのペイロードを利用する様子を確認したのは､Unit 42 ではこれが初めてです。なおOilRigのClayside VBScriptとコードに重複が見られることは確認していますが、現時点で私たちはChaferとOilRigを別々の脅威攻撃グループとして追跡しています。私たちは､このペイロードを追跡するにあたりMechaFlounderと名付けました｡

昨年、Unit 42は、新しく発見された、諜報機能を持つAndroidマルウェア ファミリ、HenBoxについて記事を書きました。HenBoxは、Xiaomi製IoTデバイスや中国の家電メーカーのスマート フォンとの対話など、主にウイグル族の人々を標的として、被害端末に対するさまざまな諜報機能を備えています。

少なくとも2015年以来、 おそらくは南アジアを拠点としている脅威攻撃グループBITTERは、これまで報告されていないダウンローダの亜種を使用してパキスタンと中国の組織を標的にしています。パロアルトネットワークス脅威インテリジェンス調査チームUnit 42はこのマルウェアファミリを、サンプル内で発見されたPDB文字列に基づいてArtraDownloaderと命名しました。このダウンローダーについては3つの亜種を確認しており、最初期のタイムスタンプは2015年2月のものでした。このダウンローダーが遠隔アクセス用トロイの木馬(RAT)BitterRATを頻回ダウンロードする様子を確認していますが、BitterRATはBITTER脅威攻撃グループの活動に関連しているものです。

2019年2月、Palo Alto Networks脅威インテリジェンス調査チームUnit 42は、2018年11月に送信されたスピアフィッシング電子メールを特定しました。その電子メールには新しいマルウェアが含まれていましたが､このマルウェアが利用するインフラストラクチャは､北朝鮮による攻撃キャンペーンに結びついたプレイブックと同じものでした｡

Unit 42は、特定のファイル属性とインフラストラクチャの指標をもとに､WINDSHIFT攻撃グループによる活動を特定し､過去の DarkMatter､Objective-Seeによる調査結果と相関させました｡この結果得られた中東の政府機関で展開された標的型WINDSHIFT攻撃の詳細を説明します。

パロアルトネットワークスの脅威インテリジェンスチームUnit 42は、Macプラットフォームを標的にすることで知られているマルウェア「OSX.DarthMiner」から開発されたと思われる、仮想通貨取引所などに関連したブラウザのCookieを窃取するマルウェアを発見しました。

OceanLotus (別名APT32)は、東南アジア発祥の最も高度な脅威攻撃者の1つであることがわかっている脅威攻撃者グループです。この数年間に複数の攻撃キャンペーンが複数のセキュリティ組織によって報告され、この脅威攻撃者が使用しているツールおよび戦術が記録されました。OceanLotusの標的はグローバルですが、彼らの活動がアクティブなのはほぼアジア太平洋地域内で、ベトナムに関係のある複数の業界、外国政府、活動家、反体制派にわたって民間部門を標的にしています。

2018年12月20日、米国司法省は、2人の中国人をコンピュータハッキング、電信詐欺の謀略、および個人情報窃取の罪で起訴 しました。この2人は、menuPass(別名APT10/Stone Panda/Red Apollo/CVNX/Potassium)として知られるハッキンググループのメンバーであるとされており、起訴状によれば、中国国家安全保障省の要請で違法行為を行ったとされています。起訴状の告発は2014年に開始された Operation Cloud Hopper と呼ばれる長期攻撃キャンペーンに端を発しており、主にMSP(Managed Security Provider)を標的にMSPとクライアントの知的財産を窃取するほか､さらなる攻撃にもネットワークを利用しています。

Redamanは2015年に初めて確認されたバンキング マルウェアで、ロシアの金融機関を利用して取引を行う受信者を標的とします。最初はRTMバンキング型トロイの木馬として報告され、2017年に、SymantecやMicrosoftなどのベンダーがこのマルウェアの更新バージョンをRedamanと呼び始めました。2018年9月から12月までの4か月間に、Redamanのさまざまなバージョンが、ロシア語の大量配信キャンペーンで見つかっています。このブログでは、2018年9月から12月までの時点でこのバンキング マルウェアを配信していた悪意のあるスパム(マルスパム)の継続的なキャンペーンから見つかった新たな進化に関する調査結果を紹介します。

パロアルトネットワークスでは、さまざまな手法を使用して、お客様がアクセスしたWebサイト上の、悪意のあるWebページや悪意のあるJavaScriptを検出しています。弊社のセキュリティ クローラーは、シグネチャ一致などの静的なアプローチに加え、Webページ上で検出されたすべてのスクリプトを実行し、それらの動的なふるまいを観察しています。2018年10月19日から2018年11月19日の間、弊社では１日単位のURLフィルタリング カテゴリでは未知と判断されていたURLに挙動分析を適用しました。その後、Alexaトラフィックランクの上位100万個のURLと最近登録されたドメインのフィードをクロールしました。全体として、8,712を超える個別URLから延べ9,104の仮想通貨マイニング スクリプト、4,633を超える個別URLから4,788の悪意あるJavaScriptsを検出しました。これらは、静的解析では検出できなかったものでした。

パロアルトネットワークスの脅威インテリジェンスチームUnit 42は、Linuxを使った仮想通貨マイニング マルウェアの新しいサンプルを調査しました。弊社で把握している限り、これはクラウドセキュリティ製品を狙い、削除するという珍しい機能を持つ初めてのマルウェアファミリーです。

パロアルトネットワークスの脅威インテリジェンスチームUnit 42は、Linuxを使った仮想通貨マイニング マルウェアの新しいサンプルを調査しました。弊社で把握している限り、これはクラウドセキュリティ製品を狙い、削除するという珍しい機能を持つ初めてのマルウェアファミリーです。

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました｡本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します｡

Wireshark は無料で利用できるプロトコル アナライザです｡ Wireshark を使うとネットワーク トラフィックをキャプチャしたり､キャプチャしたパケットを表示させることができます｡そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが､Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます｡

パロアルトネットワークスの脅威インテリジェンスリサーチチームUnit 42は定期的にEメールリンク分析(ELINK)システム を見直しています。収集したデータを調べると、よく見られるWebの脅威を識別するのに役立つパターンと傾向がわかります。このブログは、年間を通じてWebベースの脅威、特に悪質なURL、ドメイン、エクスプロイトキット、およびCVEに関する統計を追跡している一連の記事の第3回(2018年第3四半期)にあたります。

11月8日、日本の気象庁は、同庁の警報を装った偽の迷惑メールに関して報道発表を行いました。本ブログでは、Unit 42によるSmoke Loaderと気象庁を装った攻撃に関する分析について解説します。

Unit 42は、今月初めに石油・ガス組織に影響を及ぼしたShamoon 3攻撃の調査を続けてきました。継続調査中、悪名高いDisttrackトロイの木馬を使うインシデントに関連している可能性のある､別のワイパー型トロイの木馬を特定しました。このワイパー型トロイの木馬は、オープンソースSuperDeleteツールに変更を加えた亜種で､そのソース コードは Githubから容易に入手できます。

パロアルトネットワークスは、今後クラウドから提供されるセキュリティサービスがますます増加すると考えています。そして、脅威を防ぐために、機械学習と人工知能 (AI) が、セキュリティの中で大きな役割を占めていくことも明らかです。

1.仮想通貨マイニングを最終的な目的とする攻撃の増加 昨年末に大幅な増加が観測され、この傾向は2018年を通じて続きました。仮想通貨マイニングは、ビットコインなどの通貨を作成するためのプロセスです。「マイニング」プロセスには、一連の計算を実行し、暗号化の問題を解決するための競争が伴います。競争に勝った人に一定量のコインが与えられ、計算により多くのCPUパワーを投入できる人ほど、勝利する確率が高くなります。これは、攻撃者にとって、お金を稼ぐために非常に安全な方法となりました。これが急激に増加するとは予測しませんが、脅威環境内で継続的に発生し、個人や企業が同様に認識する必要があることは確かです。

Sofacyグループ(別名Fancy Bear、APT28、STRONTIUM、Pawn Storm、Sednit)は、2018年10月半ばから2018年11月半ばにかけて、世界中の政府機関や民間組織を継続的に攻撃しています。元ソビエト連邦諸国の一部も標的になっていますが、標的の多くはNATO加盟国です。攻撃では、主に弊社が以前に分析したZebrocyツールの亜種が利用されています。

パロアルトネットワークス脅威インテリジェンスチームUnit 42の調査結果やパロアルトネットワークスのセキュリティソリューションをもとに、国内外のサイバー脅威について振り返りつつ、2019年にはどのようなサイバー脅威に対して注意を払うべきか解説します。

クラウドへの移行が企業にもたらす利点は明白で、柔軟性、俊敏性、拡張性の劇的な向上とコスト削減です。しかし、パブリック クラウド インフラストラクチャを採用することは、セキュリティ リスクやコンプライアンス問題の拡大につながる可能性があります。弊社は、Unit 42から最新のレポート「クラウド セキュリティの傾向とヒント: AWS、Azure、Googleクラウド環境を保護するために学ぶべき主要事項」を公開しました。このレポートで、Unit 42は、2018年5月下旬から9月上旬にかけてクラウド セキュリティに対する新しい脅威と従来から存在する脅威を考察し、企業がリスクと効率性のバランスをとる上でどのような取り組み状況にあるかを分析しています

12月10日、Disttrackマルウェアの新しい亜種がVirusTotalに提出されました。VirusTotalでは、弊社が以前にこことこことここで公開した2016年と2017年のShamoon 2攻撃で使用されたDisttrackマルウェアを含め、かなりの量のコードが共有されています。

パロアルトネットワークスは、公共機関を対象に、仮想化次世代ファイアウォール「VM-Series」を導入いただきやすい特別価格でご提供するプログラムを開始します。

サイバーセキュリティの世界的リーダーであるパロアルトネットワークスは、「Security Operating Platform」にて、クラウドセキュリティ提供の一貫として、この1年でアメリカ政府のクラウド調達のセキュリティ基準FedRAMPの「Ready」ステータスをはじめとした国際的なセキュリティ基準の認証を取得しました。

Unit 42は、これまでに報告されていないカスタマイズされたドロッパを活用したキャンペーンを明らかにしました。このドロッパは、主に韓国および北朝鮮地域に関係したルアー(わな)を配信するために使用されます。これらのルアーは、さまざまな仮想通貨、仮想通貨交換所、政治情勢などの、一連の話題を扱っています。このドロッパ内に発見されたさまざまな情報から、Unit 42はこのマルウェア ファミリをCARROTBATと呼んできました。

早くも2016年には観測されていたAzorultは、トロイの木馬ファミリであり、スパム キャンペーンを介して、またはRIGエクスプロイト キット キャンペーンの2次ペイロードとして、悪意のあるマクロベースの文書で配信されてきました。2018年10月20日、弊社は、新しいAzorultの亜種が、Falloutエクスプロイト キットを使用した新たな継続中のキャンペーンで、1次ペイロードとして使用されたことを確認しました。弊社は、このキャンペーンを「FindMyName」と命名しました。最後のエクスプロイト ページがすべてfindmyname[.]pwというドメインに行き着くためです。このような新しいAzorultサンプルの亜種は、アンチウイルス製品を回避するため、APIフラッディングや制御フローの平坦化など、高度な難読化技法を使用します。また、Azorultはさらなる進化を遂げており、弊社が捕捉したサンプルは、以前のバージョンよりも多くのブラウザ、アプリケーション、仮想通貨ウォレットの機密情報の窃取をサポートしていることがわかりました。

2018年10月後半および11月初め、パロアルトネットワークス脅威インテリジェンスリ調査チームUnit 42が傍受した一連の文書は､悪意のあるマクロを含むテンプレートをリモートからロードする技法で兵器化されていました。 この種類の文書が兵器化されること自体はとくに珍しくありませんが､モジュールを自由に組み換えて使えるという性質上､自動分析システムによるマルウェア判定がより困難になります。この技法の特徴は、実行時にC2サーバーが使用可能でない場合、悪意のあるコードを取得することができず、配信された文書の大半が無害と判定されることです。

攻撃者の作戦がどのようなスピードで展開されていくかを攻撃ライフサイクルの初期段階で考察するにはかなりの困難がともないます。偵察・兵器化のような攻撃の初期段階では､標的に直接働きかける配信段階と比べると、リサーチャーが分析に使えるデータがまだあまりないからです。 しかしながら､BONDUPDATERを配信した中東の政府機関に対する2018年8月の攻撃を継続調査するなかで、Unit 42リサーチャーは、OilRigによるテスト段階の活動を観測することができました。またこのテスト段階の活動が､続く攻撃で使用された兵器化済み配信文書の作成につながったことを確信するにいたりました。

インセプション攻撃者の動きは､遅くとも2014年以降活発化しており、これまでにもBlue CoatとSymantecによってドキュメント化されてきました。過去の攻撃では､カスタム マルウェアが多様なプラットフォームに対して使用され､ロシアを中心とする世界各国で幅広い業種が標的となっています。本ブログでは、2018年10月に確認されたヨーロッパを標的とする攻撃について説明します。これらの攻撃はCVE-2017-11882と新しいPowerShellバックドアを使用しており、後者については、PowerShellで作成されたマルウェアと同時に自分の痕跡も消去する特徴に注目して、私たちはPOWERSHOWERと呼んでいます。