ストーリー

サイバーセキュリティの最新動向、ベストプラクティス、
セキュリティの脆弱性、その他

メールアドレス

国/地域

購読トピック

最新の脅威アラートと情報。

ニュース、広告、イベント情報。

Email address

Please enter a valid email address.

Country

Please select your country of residence.

Subscription Topics

The latest threat alerts and information.

News, promos, and events for you.

ストーリー:

Platform

脅威ラボ

全体像

ウクライナを標的とした破壊的なマルウェア、WhisperGate に関する最新情報 – 脅威インテリジェンスと保護の最新情報

Taylor Mullins、Mo Cashman、および Raj Samani著 · 2022 年 1 月 20 日

ウクライナを標的とした「ランサムウェア」キャンペーンの最新ニュースレポートの公開により、その攻撃者だけでなく、考えられる動機についても大きく報道される結果になりました。動機が明らかな従来のランサムウェアキャンペーンとは異なり、このキャンペーンは本来、偽物であると考えられています。つまり、ステージ 4 のワイパーは、感染しているシステム上のデータを上書きするだけですが、復号化が不可能であることから、感染したシステムの破壊を引き起こす意図があると思われます。悪意のあるソフトウェアは、バックグラウンドでマスターブートレコードを上書きしながら、偽の身代金要求メモを表示します。身代金要求メモには、身代金の支払いに使用するビットコインアドレスが記載されており、脅威の主体に連絡するための Tox ID が含まれています。感染プロセスは、一般に公開されている Impacket というツールを使用して行われます。

WhisperGate マルウェアは、最初はウクライナに対する攻撃で検出されましたが、世界各地で次々と検出が確認され始めています。Trellix Advanced Threat Research チームは、WhisperGate の分析を以下のようにまとめました。

図 1. WhisperGate の世界各地での感染状況出典: MVISION Insights

WhisperGate への対策として推奨される手順

CISA が発表したアドバイザリーでは、WhisperGate から環境を保護するために、流行中のマルウェアのサンプルの分析によって得られたいくつかの推奨事項を提供しています。

組織のネットワークに対するすべてのリモートアクセス、および特権アクセスや管理アクセスに多要素認証が必要であることを検証する。
ソフトウェアが最新状態であることを確認し、悪用されている脆弱性に対応するアップデートを優先的に行う。
業務上不可欠でないポートやプロトコルをすべて無効にする。
クラウドサービスのセキュリティ管理が精査され、実施されていることを確認する。

CISA: 潜在的な重大な脅威から保護するために、今すぐサイバーセキュリティ対策を実施する

オープンソースツールへの攻撃が観察されている

WhisperGate を利用した攻撃で観察されているオープンソースツールとして、Impacket があります。Impacket は、Windows のネットワークプロトコルを標的とした、攻撃者が使用できる Python スクリプトのコレクションです。このツールは、ユーザーの列挙、ハッシュの取得、横移動、特権の昇格に使用することができます。また、Impacket は、APT グループ、特に Wizard Spider と Stone Panda にも使用されています。

WhisperGate に関連して観察された侵入では、マルウェアは Impacket を介して実行され、脅威の主体の横移動と実行を手助けします。

図 2. ツール説明および Impacket を利用したキャンペーン出典: MVISION Insights

Trellix の保護と世界各地での検出

Trellix Global Threat Intelligence は現在、このキャンペーンに関する既知の分析された指標をすべて検出しています。

Endpoint Security で WhisperGate 攻撃を阻止する

Trellix ENS は現在、署名の検出と WhisperGate の活動に関連するマルウェアの動作の観点から、WhisperGate IOC を検出しています。

図 3.MVISION ePO に表示される ENS 内での WhisperGate の活動に関するストーリーグラフの概要

Trellix Advanced Threat Research Team と MVISION Insights による WhisperGate の脅威インテリジェンス

MVISION Insights は、WhisperGate に関する最新の脅威インテリジェンスと既知の指標を提供します。MVISION Insights は、感染の拡大を防ぐために、観察された検出物やプロセストレース、さらに注意が必要なシステムに対して警告を発します。MVISION Insights には、脅威ハンティングに加え、脅威活動や攻撃者のさらなる情報収集のためのハンティングルールも含まれます。

キャンペーン名: 破壊的なマルウェアに狙われたウクライナの組織

図 4. 分析された指標と検出出典: MVISION Insights

図 5. WhisperGate 活動のプロセストレース出典: MVISION Insights

図 6.MVISION Insights での WhisperGate のハンティングルール

MVISION EDR で悪意のあるアクティビティを検出する

MVISION EDR は現在、WhisperGate に関連する活動に対して警告を発しており、MITRE の手法や攻撃者の活動に関連する不審な指標に注目します。

図 7.MVISION EDR で表示される WhisperGate の脅威の挙動とプロセス活動

MVISION Cloud でクラウドサービスを攻撃から保護する

WhisperGate 攻撃の対策として CISA が推奨することの 1 つは、クラウドサービスやインフラストラクチャが適切に設定され、脆弱性のパッチが適用されていることを確認することです。MVISION Cloud/UCE で提供されるクラウドセキュリティ管理により、クラウド環境の脆弱性スキャンや設定監査が可能になります。攻撃者に最初のアクセスを許さないためには、リスク領域を特定することが重要です。

図 8.MVISION UCE で表示される AWS の脆弱性スキャン違反

図 9.MVISION UCE で表示される Azure の設定監査インシデント

Trellix では、クラウドセキュリティとデータ保護に関するワークショップとともに、脅威インテリジェンスブリーフィングを提供しています。この中では、敵対的脅威や内部の脅威から保護するために、既存のセキュリティ管理をどのように活用すべきかに関するベストプラクティスが提案されています。ワークショップへの参加をご希望の場合は、お問い合わせください。

特集コンテンツ

全体像

生きたセキュリティについて語る最高経営責任者 (CEO)

Bryan Palma 著· 2022 年 1 月 19 日

Trellix の最高経営責任者 (CEO) を務める Bryan Palma が、常に学習するセキュリティが決定的に必要であることを力説します。

詳細を見る

XDR

チャレンジャーへの挑戦によって変革を推進するとき

Michelle Salvado 著· 2022 年 1 月 19 日

ダイナミックな脅威にはダイナミックなセキュリティが必要 - 回復力への道は XDR にあり

詳細を見る

脅威ラボ

2022 年の脅威予測

Trellix 提供· 2022 年 1 月 19 日

2022 年に注意が必要なサイバーセキュリティ脅威は?

詳細を見る

クイックリンク

ストーリー