攻撃者がGoldenSpyの影響を受ける組織を支援する私たちのあらゆる動きを監視していることを理解し、しばらく待って、脅威ハンティング戦略を静かに実行し続けました。
ブログとストーリー
SpiderLabsブログ
年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。
GoldenSpyに直接先行するかたちで、中国で事業を行う企業のネットワークにひそかにアクセスするために別のマルウェアファミリが使用されていました。これはそのマルウェアであるGoldenHelperについての見識です。
このブログは、現在、Intelligent Taxソフトウェアによって配信されている新しいバイナリの分析結果を示しています。このバイナリは、動作は最初のGoldenSpyアンインストーラと同じですが、特に、このブログで提供されたYARAルールによる検知を回避するために設計されています。
2020年6月28日、TrustwaveのThreat Fusionチームが、Aisino Intelligent Taxソフトウェアによってダウンロードされている新しいファイルを特定しました。しかし、この時点では、遠隔のコマンドアンドコントロールで被害者に対して何かを実行しているわけではありませんでした。むしろ、この新しいサンプルの任務は、GoldenSpyを削除し、それが存在した痕跡を消すことです。
Trustwave SpiderLabsは、新しいマルウェアファミリを発見し、GoldenSpyと命名しました。これは、ある中国の銀行が、中国で事業活動を行う企業にインストールするよう求めている税金支払いソフトウェアに組み込まれていました。
2018年、サイバー犯罪者が被害者のコンピュータをハッキングまたはマルウェアに感染させたことを電子メールで被害者に知らせた、6件の詐欺行為が発生しました。あるいは、加害者は、被害者が性的行為を行った、または自分のコンピュータに性的内容の違法なファイルを持っているという個人的な記録の形で証拠を入手しました。その後、詐欺師は、一定期間内に身代金要求が暗号通貨(ビットコイン)で支払われない限り、被害者を公に公開すると脅迫しました。
VPN(仮想プライベートネットワーク)を使用すると、特にリモートリソースにアクセスする場合や、コ ーヒーショップや空港などあまり信頼できないネットワークを使用している場合に、多くの利点があ ります。
私たちは、「改ざんされた請求書詐欺」とでも呼ぶべき攻撃の標的となった組織から寄せられた多 くの報告書を見ています。
「CEO 詐欺」または「ホエーリング」とも呼ばれる BEC(Business Email Compromise: ビジネス電子 メール侵害)電子メール詐欺は、世界中のあらゆる規模の企業に影響を与える重要な金融サイバ ー脅威になっています。
WCX ファイルを使用すれば、数回のクリックでシステム上に Microsoft Workplace を設定すること ができます。登録プロセスは、NetNTLM ハッシュの形でクレデンシャルを開示することができま す。認証は、古いバージョンの Windows では自動的に行われるか、ユーザーに最新の認証情報 が要求されます。Workplace は、幅広いソーシャルエンジニアリングキャンペーンの一環として、さ らに兵器化される可能性があります。
AV による検出の回避は、スパムキャンペーンを実施するマルウェア作成者のルーチン作業の一 部です。これを達成する以前からの効果的な方法は、パスワードで保護されたドキュメントをスパ ムすることです。最近、このようなパスワードで保護された文書がスパムアウトされていることがわ かりました。さらに悪いことに、その中身はランサムウェアでした。
FlawedAmmyy RAT に誘導する Microsoft Publisher ファイルを含むいくつかの悪質なスパムメー ルについて先週書きました。キャンペーンのアクター(犯人)は銀行を標的にしていました。
マルウェア作成者が、手の込んだ文書やデスクトップパブリッシングタスクに使用される Microsoft Publisher のようなパブリッシングソフトウェアを利用することは非常に珍しいことです。
インテリジェンスの収集は時間がかかるプロセスです。通常、さまざまなソーシャルメディアサイト で人のオンラインプレゼンスを見つけることから始めます。これは比較的簡単な作業ですが、大規 模に行うとなると非常に面倒になります。しかし、これが数百人または数千人というような単位で、 大規模に自動化されて実行されるとすればどうでしょうか?
7 月 31 日、サイバー犯罪者が悪意のある行為のために暗号化通信をどのように使っているかに ついて RSA アジア 2018 で講演した直後に、ブラジルで CoinHive が急増したことに気付きました。
最近発表した Trustwave アドバイザリー(勧告)で詳述していますが、Trustwave は、Oracle Solaris 10/11 のすべてのバージョンにおいてローカルで悪用可能な問題を発見しました。この問 題はカーネルに存在し、ローカルシステムに Sun StorageTek Availability Suite(AVS)が設定され ている場合、特権を持たないユーザーとしてローカルに悪用されます。
最近、ファイルタイプ SettingContent が Microsoft Office ドキュメントに埋め込まれた場合に、ど のように悪用されるかという概念実証(PoC)が報告されています。SettingContent は Windows 10 の機能で、さまざまなシステム設定のショートカットとして機能します。この正当な例
最近のペネトレーション(侵入)テストにおいて、自然に私の目にとまった非標準ポート 5054 で実行される、興味深い RLM と呼ばれる Web アプリケーションに遭遇しました。ちょっとした ことで、私はサーバー上でコードを実行できる重大な脆弱性を特定することができ、最終的に は完全なドメイン侵害につながるものです。
著者: Dr. Fahim Abbasi & Dr. Diana Lopera
セキュリティ研究者としての私たちの仕事の一部は、悪意のある、または許可されていない活 動を監視するために使用される新しいツールやテクニックに追いついていくことです。強力な 暗号化は、プライバシとアクセス制御を必要とする重要なセキュリティ基盤ですが、もちろん犯 罪者も自分の活動を隠すために暗号化を活用しています。ネットワークについて考えると、セ キュリティのための非常に重要なプライバシーを壊すことなく、悪意のある行為について暗号 化されたトラフィックを監視する方法を考えることは、古くからの課題です。
接続を維持する
購読する
Trustwaveの最新のセキュリティ ニュースやトレンドの情報を受け取る場合は、ご登録してください。