Similar documents
マルウェアレポート 2018年2月度版

マルウェアレポート 2017年12月度版

マルウェアレポート 2018年3月度版

マルウェアレポート 2018年1月度版

マルウェアレポート 2017年9月度版

マルウェアレポート 2018年4月度版

マルウェアレポート 2017年10月度版

マルウェアレポート 2018年8月度版

マルウェアレポート 2018年7月度版

マルウェアレポート 2018年11月度版

マルウェアレポート 2017年6月版

感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

感染条件感染経路タイプウイルス概要 Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ より前のバージョンと 10.x から 上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで

はじめに ウイルスに感染させるための罠が仕掛けられた悪意のある文書ファイルは これまでにも Office の脆弱性の悪用や マクロ機能を悪用する手口のものがありました 昨今 それらとは異なる新たな攻撃手口を使ったものが出てきています 本資料は 新たな攻撃手口について紹介し 注意点を説明するものです

OSI(Open Systems Interconnection)参照モデル

今月の呼びかけ 添付資料 ファイル名に細工を施されたウイルスに注意! ~ 見た目でパソコン利用者をだます手口 ~ 2011 年 9 月 IPA に RLTrap というウイルスの大量の検出報告 ( 約 5 万件 ) が寄せられました このウイルスには パソコン利用者がファイルの見た目 ( 主に拡張子

OSI(Open Systems Interconnection)参照モデル

SQLインジェクション・ワームに関する現状と推奨する対策案

はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とは フィッシング詐欺とは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) や クレジットカードの情報等を騙し取る攻撃です 典型的な手口としては 攻撃者が本物のウェブサイトと似た偽のウェブ

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2017 独立行政法人情報処理推進機構 2

個人情報を盗み出す感染したウイルスにより コンピュータ上に保存されている情報 ( データ ) が勝手に送信されたり キーボード入力を盗み見されたりすること等をいいます 最近のネットバンキングの不正送金もこのカテゴリーに含まれます これ以外にも 以下のような被害を受ける可能性があります 盗まれたクレジ

ESET Internet Security V10 モニター版プログラム インストール / アンインストール手順

2 実施件数 (2017 年 7 月 ~9 月 ) 2017 年 7 月 ~9 月に J-CSIP 参加組織から IPA に対し サイバー攻撃に関する情報 ( 不審メール 不正 通信 インシデント等 ) の情報提供が行われた件数と それらの情報をもとに IPA から J-CSIP 参加組織へ 情報共

シニアネット福山 ICT 講演会 インターネット安心 安全講座 ~ シニアの安心 便利なネット活用 ~ 2015 年 12 月 4 日 シニアネットひろしま理事長福田卓夫

中小企業向け サイバーセキュリティ対策の極意

KSforWindowsServerのご紹介

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2018 独立行政法人情報処理推進機構 2

Microsoft Word - gred_security_report_vol17.final

Pirates Buster Series Secure Viewer セットアップマニュアル (Web インストーラ)

共有フォルダ接続手順 1 共有フォルダ接続ツールのダウンロード 展開 CSVEX のトップページから共有フォルダ接続ツールの zip ファイルをダウンロードします ダウンロードした zip ファイルを右クリックして すべて展開 を選択します (Windows 環境では zip ファイルを解凍しなくて

incidentcase_0507

2015 年 4 月 15 日に発表された HTTP.sys の脆弱性 ( ) へ の対応について 製品名 : バージョン : 対象プラットフォーム : カテゴリ : iautolaymagic すべてすべて Web アプリ この度 マイクロソフト社製品において緊急度の高い脆弱性 (CV

ACTIVEプロジェクトの取り組み

ESET Smart Security 7 リリースノート

ユーザーズサイトのオフライン ウイルス定義データベースを利用したオフライン更新手順書(バージョン 5 以前向け)

 お詫び

OSI(Open Systems Interconnection)参照モデル

事前準備マニュアル

セキュアブラウザについて セキュアブラウザは デスクネッツを自宅や外出先などから安全に利用するためのツール ( アプリ ) です セキュアブラウザというアプリを使用してデスクネッツを利用します 通常のブラウザアクセスと同じようにデスクネッツをご利用頂けます 端末の紛失 盗難による情報漏えいを防ぐため

重要インフラがかかえる潜在型攻撃によるリスク

WannaCry とは WannaCry はランサムウェアの一種 WannaCry は ランサムウェアと呼ばれる身代金要求型のマルウェアです WannaCryptor WanaCrypt Wcry といった呼ばれ方もします 一般的にランサムウェアに感染すると 以下のようなデータを使用できないように暗

Microsoft PowerPoint pptx

ESET NOD32アンチウイルス V4.2 リリースノート

別 紙 平成 25 年上半期のサイバー攻撃情勢について 1 概況警察では サイバーインテリジェンス情報共有ネットワーク *1 を通じ 標的型メール攻撃等のサイバー攻撃事案に係る情報を集約するとともに 事業者等による情報システムの防護に資する分析結果等の情報を共有している 警察は 平成 25 年上半期

スライド 1

プレゼンテーション

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

電子メール本文の分析 昨年 5 月 FakeGlobe と Cerber の両方のランサムウェアを配布するスパムキャンペーンを報告しました キャンペーンは数日間続きましたが 最近 同様のマルウェアが別のキャンペーンでスパムアウトされていることが確認されました このキャンペーンでは 同じ空白の件名と本

2. 留意事項セキュリティ対策を行う場合 次のことに留意してください 不正侵入対策の設定を行う場合 お使いのソフトウェアによっては今までのように正常に動作しなくなる可能性があります 正常に動作しない場合は 必要に応じて例外処理の追加を行ってください ここで行うセキュリティ対策は 通信内容の安全性を高

ESET NOD32 アンチウイルス 8 リリースノート

2 Copyright(C) MISEC

SciFinder (Web版) のエラーへの対処法

セキュアブラウザについて セキュアブラウザは デスクネッツを自宅や外出先などから安全に利用するためのツール ( アプリ ) です セキュアブラウザというアプリを使用してデスクネッツを利用します 通常のブラウザアクセスと同じようにデスクネッツをご利用頂けます 端末の紛失 盗難による情報漏えいを防ぐため

建築業務管理システム 補足マニュアル Internet Explorer11 設定ガイド (Windows10 用 )

CubePDF ユーザーズマニュアル

1. Office365 ProPlus アプリケーションから利用する方法 (Windows / Mac) この方法では Office365 ProPlus アプリケーションで ファイルの保管先として OneDrive を指定することができます Office365 ProPlus アプリケーションで

ユーザズサイトのオフライン用検出エンジン( ウイルス定義データベース)を利用したオフライン更新手順書(バージョン 7 向け)

PowerPoint プレゼンテーション

サイバー攻撃の現状

<4D F736F F D208E96914F8F8094F5837D836A B2E646F63>

セキュアブラウザについて セキュアブラウザは デスクネッツを自宅や外出先などから安全に利用するためのツール ( アプリ ) です セキュアブラウザというアプリを使用してデスクネッツを利用します 通常のブラウザアクセスと同じようにデスクネッツをご利用頂けます 端末の紛失 盗難による情報漏えいを防ぐため

「FinalCode Viewer」ユーザーマニュアル

1.indd

第 号 2014 年 1 月 7 日独立行政法人情報処理推進機構 今月の呼びかけ おもいこみ僕は安全それ危険 昨年発生した情報セキュリティに関する様々な事案の中で 金銭被害につながる可能性が高いという 点で 特に一般利用者に影響が高いと考えられるものは以下の 4 つです 1. イ

9

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

OneDrive for Businessのご紹介

.1 準備作業の流れ 準備作業の流れは 以下のとおりです 必要なものを用意する. パソコンインターネット接続回線 E メールアドレス.-(1).-().-(3) 当金庫からの送付物.-(4) パソコンの設定をする.3 Cookie の設定を行う.3-(1) Java の設定を有効にする ( ファイル

1 罠のリンクが含まれるメールによる感染まず 利用者に対して 文中に罠のリンクが含まれるメール ( 罠のメール ) が届きます そのリンク先は 一見 PDF ファイル 2 や動画ファイルに見えるよう細工されています ( 図 1-2) また メールの送信元のメールアドレスは 利用者の知人のものである可

仙台 CTF2018 セキュリティ技術競技会 (CTF) 問題解説復習問題 平成 30 年 11 月 10 日 仙台 CTF 推進プロジェクト 五十嵐良一 Copyright (C) 2018 Sendai CTF. All Rights Reserved.

ESET NOD32 アンチウイルス 6 リリースノート

Microsoft PowerPoint _A4_予稿(最終)

不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム について 中ノ郷信用組合では インターネットバンキングのセキュリティを高めるため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム をご提供しております ( ご利用は

Adobe ユーザー申請システム Version 1.0 for 北海道大学利用者向け取扱説明書 第 1.1 版 平成 26 年 11 月 06 日

目次 1. ユーザー登録 ( 初期セットアップ ) を行う Office365 の基本的な動作を確認する... 6 Office365 にログインする ( サインイン )... 6 Office365 からサインアウトする ( ログアウト )... 6 パスワードを変更する... 7

E 年 2 月 26 日 サービス & セキュリティ株式会社 e-gate センター サプライチェーン攻撃の脅威と対策について 1. 概要 サプライチェーン攻撃のリスクはかねてから指摘されていました 経済産業省が 2015 年に公表した サイバーセキュリティ経営ガイドライン

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

もくじ もくじ...2 トレンドマイクロスマートホームネットワークでできること...3 スマートホームネットワーク機能を使う...4 スマートホームネットワーク設定画面...5 設定...8 セキュリティーステータス...10 セキュリティーパトロール...12 WEB サイトフィルター...14

Alfa-Products_installguide

IOWebDOC

中小企業向け サイバーセキュリティ対策の極意

desknet's NEO スマートフォン版 セキュアブラウザについて セキュアブラウザは デスクネッツを自宅や外出先などから安全に利用するためのツール ( アプリ ) です セキュアブラウザというアプリを使用してデスクネッツを利用します 通常のブラウザアクセスと同じようにデスクネッツをご利用頂けま

f-secure 2006 インストールガイド

BACREX-R クライアント利用者用ドキュメント

Microsoft Word - sp224_2d.doc

平成 28 年度大学情報セキュリティ研究講習会 A-2 標的型攻撃を受けているらしいとの連絡があった時の調査と対応の演習 実習資料 A-2 標的型攻撃を受けているらしいとの連絡があった時の調査と対応の演習 実習環境について 攻撃側 PC(attacker-pc) と感染側 PC(sjk-pc) の

マカフィー R セキュリティサービス (Mac 版 ) インストール 基本操作 アンインストールマニュアル McAfee と McAfee のロゴは 米国およびその他の国における McAfee LLC の商標です 中部ケーブルネットワーク株式会社 第 1.5 版 2018/11/5

情報共有の流れと目的 情報共有の基本的な流れ 参加組織 攻撃を検知 IPA へ情報提供 目的 IPA 分析 加工 ( 匿名化など ) 情報共有 結果の共有 1 類似攻撃の早期検知と被害の回避 2 攻撃に対する防御の実施 3 今後想定される攻撃への対策検討 標的型攻撃メールを当面の主対象として運用中

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

2Mac OS OS Safari プラグインソフト 3.X Mac OS X 5.X Mac OS X 5.X Mac OS X Adobe Reader ( 入出金明細照会結果を印刷する場合 / ローン 外貨サービスを利用する場合 ) Adobe Fla

第 号 2014 年 4 月 1 日独立行政法人情報処理推進機構 今月の呼びかけ あなたのパソコンは 4 月 9 日以降 大丈夫? ~ 使用中パソコンの判別方法 乗り換えプランを紹介 ~ マイクロソフト社 Windows XP と Office 2003 のサポートが 2014

Shareresearchオンラインマニュアル

インテル® Parallel Studio XE 2019 Composer Edition for Fortran Windows 日本語版 : インストール・ガイド

SOC Report

はじめに 京セラ製スマートフォンを指定の microusb ケーブル ( 別売 ) またはこれと共通仕様の microusb ケーブル ( 別売 )( 以下 USB ケーブル ) と接続して USB テザリング機能をご使用いただくためには あらかじめパソコンに USB ドライバ をインストールしてい

1

easyhousing 環境設定 操作マニュアル Ver 年 7 月 2 日

Word2010基礎

Transcription:

重要インフラを狙うマルウェア GreyEnergy による攻撃を解説

ショートレポート 2018 年 10 月マルウェア検出状況 1. 10 月の概況について 2. 画像へのデータ隠蔽技術を悪用するマルウェアがばらまき型メールで拡散 3. 重要インフラを狙うサイバースパイグループ GreyEnergy 1. 10 月の概況について 2018 年 10 月 (10 月 1 日 ~10 月 31 日 ) に ESET 製品が国内で検出したマルウェアの検出数は 9 月 から大幅に減少し 2018 年 5 月 ~8 月と同水準に戻りました 国内マルウェア検出数の推移 2018 年 5 月の全検出数を 100% として比較 1

検出されたマルウェアの内訳は以下の通りです 国内マルウェア検出数上位 (2018 年 10 月 ) 順位マルウェア名比率種別 1 JS/Adware.Agent 18.5% アドウェア 2 VBA/TrojanDownloader.Agent 9.5% ダウンローダー 3 HTML/ScrInject 4.7% HTML に埋め込まれた不正スクリプト 4 Suspicious 4.4% 未知の不審ファイルの総称 5 JS/Redirector 2.9% リダイレクター 6 JS/CoinMiner 2.3% マイニングスクリプト 7 JS/Adware.Subprop 1.9% アドウェア 8 Win32/RiskWare.PEMalform 1.1% ブラウザハイジャッカー 9 Win32/Exploit.CVE-2017-11882 0.8% 脆弱性 CVE-2017-11882 を悪用するプロ グラム 10 JS/Kryptik.BLA 0.8% 暗号化や難読化が施された JavaScript 本表に PUA (Potentially Unwanted/Unsafe Application; 必ずしも悪意があるとは限らないが コン ピューターのパフォーマンスに悪影響を及ぼす可能性があるアプリケーション ) は含めていません 2

10 月に最も多く検出されたマルウェアは 9 月に引き続き Web 閲覧中に不正広告を表示させる可能性のあ るスクリプト JS/Adware.Agent でした ( 参考 :2018 年 9 月マルウェアレポート ) 検出数は 8 月や 9 月 と比べて落ち着いてはいるものの依然として高い水準にあります HTML/ScrInject JS/Redirector JS/CoinMiner JS/Adware.Subprop Win32/RiskWare.PEMalform も JS/Adware.Agent と同様に Web ブラウザーを利用するマルウェアあるいはリスクウェアであり 検出数上位の過半数を占める形になりました これは サイバー犯罪の主要な手段として Web が広く利用されていることを示しています ( 参考 :2018 年 8 月マルウェアレポート ) また Microsoft Office のマクロ機能を悪用するダウンローダー (VBA/TrojanDownloader.Agent) を用 いたばらまき型メールが再度確認されました 今回は画像ファイルへのデータ隠蔽技術やクリップボードを利用し て 検出や解析を難しくするような手口が用いられています こちらについては 次のトピックで詳しく解説します そのほかに PDF ファイルを装った.arj という拡張子のファイルもばらまき型メールの添付ファイルとして確認され ています このファイルの実態は ZIP ファイルで バックドアとみられる実行ファイルが格納されています ばらまき型攻撃メールに添付されていた ARJ ファイル ( 左 ) と ARJ ファイルに格納されていた実行ファイル ( 右 ) この実行ファイルは古い Visual Basic で作成されており *1 感染するとシステムに常駐して外部と継続的に通 信を行います その結果 遠隔操作やボット化 二次マルウェアへの感染などの被害を受ける可能性があります *1 マルウェアの解析を妨害するなどの目的で Visual Basic 5.0/6.0 がパッカーとして利用されるケースがあ ります Windows 10 でも Visual Basic 6.0 の動作環境が出荷時からインストールされており 2018 年現 在も有効な方法です 3

ESET 製品はこのようなマルウェア自体を検出 駆除するだけでなく ボットとみられる動作を検出し 通信を遮断 します ESET 製品のボットネット保護機能が今回のバックドアの通信を検出 遮断した画面 攻撃者は収益確保や妨害活動などを目的として様々な手法を試みています 常に最新の脅威情報をキャッチ アップし 複数の対策を実施していくことが重要です 4

2. 画像へのデータ隠蔽技術を悪用するマルウェアがばらまき型メールで拡散 2018 年は バンキングマルウェア感染を目的としたばらまき型メールが 頻繁に発生しています バンキングマルウェアに感染すると インターネットバンキングの認証情報 ( ユーザー ID やパスワード等 ) やクレジットカード情報が窃取され 銀行口座からの不正送金やクレジットカードの不正利用などの被害に遭う可能性があります マルウェアレポートでも 度々その攻撃内容を取り上げてきました 2018 年 8 月マルウェアレポート バンキングマルウェア感染を狙う IQY ファイルを用いたばらまき型メール攻 撃 2018 年上半期マルウェアレポート インターネットバンキングを狙う脅威 10 月 24 日以降 バンキングマルウェア感染を目的とした 新たなばらまき型メールが観測されています メール には Excel ファイルが添付されています この Excel ファイルはダウンローダーとして機能し 最終的にバンキングマ ルウェアをダウンロードします バンキングマルウェアをダウンロードするダウンローダーの存在は これまでに頻繁に確認されてきました 多くのダウンローダーはセキュリティ製品などによる検出や解析を難しくするために様々な方法を用いますが 今回は画像ファイルにデータを隠蔽する ステガノグラフィー という方法が用いられていることが確認されました ステガノグラフィーを用いて攻撃用のデータをあくまでも 画像ファイル としてダウンロードさせることで 検出や解析を回避しようとしたと考えられます 今回の攻撃の一連の流れを詳しく紹介します 一段階目のダウンローダーとなる Excel ファイルが添付されていた ばらまき型メールの一例を以下の画像に示し ます 5

Excel ファイルが添付されていたばらまき型メールの例 弊社では メールの件名に以下のものを確認しています 申請書類の提出 請求データ送付します 注文書の件 納品書フォーマットの送付 立替金報告書の件です メールに添付されている Excel ファイルの内容は 下記画像のとおりです 6

メールに添付されていた Excel ファイルの内容 画面上部の 編集を有効にする をクリックし その後に表示される コンテンツの有効化 をクリックすると マクロが 実行されます マクロ実行後の流れを 以下の画像に示します 7

マクロ実行後の主な流れ マクロが実行されると コマンドプロンプトが起動します [ 図中 1] その後 コマンドプロンプトが 以下のコマン ドを実行します コマンドプロンプトが実行するコマンド 8

このコマンドによって 主に以下の内容が実行されます PowerShell の起動 [ 図中 2] C&C サーバーの画像データ ( 水色で示した URL) をダウンロード [ 図中 3] ダウンロードした画像データを解析し スクリプトを抽出 [ 図中 4] 抽出したスクリプトを実行 [ 図中 4] C&C サーバーからダウンロードされる画像データのスクリーンショットを以下に示します ステガノグラフィーが用いられた画像のスクリーンショット この画像が 本マルウェア実行に伴う一連の動きにおける最大の特徴です この画像は一見するとただのプリンタ ーの画像に見えますが ステガノグラフィーと呼ばれるデータ隠蔽技術が使用されており PowerShell スクリプト が隠蔽されています この画像内に隠蔽されているスクリプトは 以下画像のとおりです 9

画像に隠蔽されているスクリプト 難読化されていますが 解読すると C&C サーバーにある別のマルウェアをダウンロードすることが確認できます こ のスクリプトが実行されることにより 最終的に Bebloh や Ursnif と呼ばれるバンキングマルウェアに感染します ESET 製品では メールに添付されていた Excel ファイルを VBA/TrojanDownloader.Agent.LCB として検 出し 悪質なコードを除去します 加えて Windows 10 に搭載されている AMSI(Antimalware Scan Interface) などを利用してスクリプトの実行を監視し 不審な挙動を検出 ブロックします 本件においてはマクロが実行されなければ バンキングマルウェアには感染しません Excel のデフォルト設定で は マクロを実行する際に警告文が表示されます 不審なファイルに対して マクロを安易に実行しないように心 がけることも 対策の 1 つになります このように インターネットバンキングユーザーを狙う攻撃は 巧妙化しています 常に最新の脅威情報をキャッチア ップし 複数の対策を実施していくことが重要です 10

3. 重要インフラを狙うサイバースパイグループ GreyEnergy 2018 年 10 月 17 日 ESET 社は GreyEnergy による攻撃手法の詳細を公表しました GreyEnergy は過去 3 年の間 ウクライナやポーランドなど中東欧の国々のインフラに対する攻撃に関与していたとみられています 現在確認されている限り GreyEnergy マルウェアはインフラを標的とした他のマルウェアのような破壊活動は行っていません その代わりに 人知れず偵察や情報収集を行っていました GreyEnergy は 2 通りの侵入経路を使うことが確認されています 1 つ目は メール経由です 標的に Microsoft Word のダウンローダーを添付した電子メールを送付します 受信者にマクロを実行させるため Word ドキュメントは精巧な画像と文章で構成されています 受信者がダウンローダーを実行すると 初めに GreyEnergy Mini と呼ばれる GreyEnergy マルウェアの簡易バージョンがダウンロード 実行され その後フルバージョンが実行されます 2017 年 9 月に送付された悪質なマクロを含む Word ドキュメント 11

2 つ目は Web サーバー経由です 標的の組織が組織内ネットワークのサーバー上で Web サービスを公開している場合 攻撃者は Web サーバーを経由して内部ネットワークに侵入します 侵入に成功すると 攻撃者は内部ネットワーク上に Proxy C&C( 攻撃指令 ) サーバーを設置します Proxy C&C サーバーは内部ネットワーク上の感染 PC と外部の C&C サーバーとの通信を中継します 外部から直接 PC に指令を送る場合と比較して秘匿性が高く ネットワーク管理者が気付きにくいという特徴があります GreyEnergy の 2 通りの侵入シナリオ インフラに対するサイバー攻撃と言えば 2015 年末のウクライナ大規模停電が有名です 渋谷区の人口に相 当する約 23 万人の人々に影響を与えたこの事件は BlackEnergy によって引き起こされました 今回公表された GreyEnergy は BlackEnergy との関係性が指摘されています 観測時期 :BlackEnergy の攻撃活動が観測されなくなった時期に GreyEnergy の攻撃活動が観測されるようになった 標的の類似性 :GreyEnergy の被害に受けた企業が 過去には BlackEnergy の標的とされていた 構造の類似性 : 両者ともモジュール型のマルウェアで はじめに簡易バージョンのバックドアをインストールした後 管理者権限を取得してフルバージョンをインストールする 通信の特徴 : 全ての外部 C&C サーバーは Torを経由している 12

さらに TeleBots グループとの繋がりを示す要素も発見されています 2017 年 6 月 TeleBots は NotPetya と呼ばれるランサムウェアを使い 大規模なサプライチェーン攻撃を行いました そのおよそ半年前 NotPetya の初期バージョンと思われる Moonraker Petya が GreyEnergy による攻撃に使われたことが確認されています また Moonraker Petya のプログラムコードは GreyEnergy マルウェアの核となるモジュールのプログラムコードと非常に類似しています BlackEnergy, TeleBots, GreyEnergy に関する出来事のタイムライン これらの攻撃グループが同一かどうかについては推測の域を出ませんが 少なくとも攻撃手法 (TTPs*2) やプログラムコードを共有している可能性は高いでしょう インフラに迫る脅威に備えて 事業者間で積極的に情報共有を行うことが重要と言えます ESET 社では引き続き GreyEnergy と TeleBots の活動を監視します *2 Tactics, Techniques, and Procedures の略で 戦術 技術 手順のことを指します ご紹介したように 今月は画像へのデータ隠蔽技術を用いたばらまき型メールが確認されたほか 重要インフラを 狙うサイバースパイグループについての調査結果が ESET 社から発行されました 常に最新の脅威情報をキャッ チアップし 対策を実施していくことが重要です 13

常日頃からリスク軽減するための対策について 各記事でご案内しているようなリスク軽減の対策をご案内いたします 下記の対策を実施してください 1. ESET 製品プログラムのウイルス定義データベースを最新にアップデートする ESET 製品では 次々と発生する新たなマルウェアなどに対して逐次対応しております 最新の脅威に対応できるよう ウイルス定義データベースを最新にアップデートしてください 2. OS のアップデートを行い セキュリティパッチを適用する ウイルスの多くは OS に含まれる 脆弱性 を利用してコンピューターに感染します Windows Update などの OS のアップデートを行い 脆弱性を解消してください 3. ソフトウェアのアップデートを行い セキュリティパッチを適用するウイルスの多くが狙う 脆弱性 は Java Adobe Flash Player Adobe Reader などのアプリケーションにも含まれています 各種アプリのアップデートを行い 脆弱性を解消してください 4. データのバックアップを行っておく万が一ウイルスに感染した場合 コンピューターの初期化 ( リカバリー ) などが必要になることがあります 念のため データのバックアップを行っておいてください 5. 脅威が存在することを知る 知らない人 よりも 知っている人 の方がウイルスに感染するリスクは低いと考えられます ウイルスという脅威に触れてしまう前に 疑う ことができるからです 弊社を始め 各企業 団体からセキュリティに関する情報が発信されています このような情報に目を向け あらかじめ脅威を知っておく ことも重要です ESET は ESET, spol. s r.o. の商標です Windows Visual Basic Excel PowerShell は 米国 Microsoft Corporation の米国 日本およびその他の国における登録商標または商標です 14

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック