ソフォス、セキュリティを迂回するためにAgent Teslaが使用している新たな配信および回避手法を発見
- 2021年02月16日 14:00:00
- マネー
- Dream News
<<報道資料>>
ソフォス株式会社
ソフォス、セキュリティを迂回するためにAgent Teslaが使用している新たな配信および回避手法を発見
※本資料は2021年2月2日(現地時間)に英国オックスフォードにて発表されたプレスリリースの抄訳です。
ネットワークおよびエンドポイントセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、「さまざまな情報窃取で利用されるトロイの木馬型マルウェア Agent Tesla」と題する新しい調査レポート(https://news.sophos.com/ja-jp/2021/02/11/agent-tesla-amps-up-information-stealing-attacks-jp/ )を公開しました。このレポートでは、攻撃者がマルウェアを配信し、ペイロードをインストールして実行する前に、エンドポイントプロテクションを無効にするために使用している新たな回避手法について詳述しています。
この手法では、多段階のプロセスが採用されています。 .NETダウンローダーがPastebinやHastebinなどの正規のサードパーティWebサイトで目立たないようにホスティングされているマルウェアの各部を取得し、それらの各部を結合、デコード、復号化して悪意のあるペイロードを配信するローダーを作成します。
同時に、このマルウェアは、マイクロソフトのAnti-Malware Software Interface(AMSI)(アプリケーションやサービスをインストールされているセキュリティ製品と統合するWindowsの機能)のコードを変更します。これにより、AMSIが有効になっているエンドポイントセキュリティプロテクションが機能しなくなり、ペイロードがブロックされることなくダウンロード、インストール、実行されます。
Agent Teslaは、2014年から情報窃取を目的に広く利用されているリモートアクセスツール(RAT)です。この作成者は、ダークウェブフォーラムでこのRATを広告・販売しており、常に更新しています。攻撃者は一般的に、添付ファイルのある悪意のあるスパムメールを介してこのマルウェアを配信します。
ソフォスは、今回、現在実環境で利用されている2つのバージョンのAgent Teslaについて詳しく調査しました。どちらのバージョンも最近アップデートされており、Webブラウザ、電子メールクライアント、仮想プライベートネットワーククライアント、ユーザー名やパスワードを保存するソフトウェアなど、認証情報を盗み出す対象のアプリケーションを増やしています。また、キーボードの入力内容を取得する、あるいは、スクリーンショットを記録する機能も備えています。
2つのバージョンの違いから、攻撃者が検出を回避するためにいくつもの回避手法と難読化を採用し、どのようにRATを進化させてきたのかが明らかになりました。これらのバージョンには、匿名ネットワーククライアントのTorをインストールして使用するオプションや、コマンドおよびコントロール(C2)と通信するTelegramメッセージングAPIを使用するオプション、MicrosoftのAMSIをターゲットにするオプションが含まれています。
ソフォスのシニアセキュリティリサーチャーであるSean Gallagherは次のように述べています。「Agent Teslaマルウェアは7年以上も活動していますが、Windowsユーザーが最も影響を受けやすい脅威の1つであることに変わりはありません。2020年に電子メールで配信されたマルウェアの中でも上位にランクインしています。12月には、ソフォスのスキャナーで傍受された悪意のある電子メールの添付ファイル攻撃の約20%をAgent Teslaのペイロードが占めていました。さまざまな攻撃者がこのマルウェアを使用して、スクリーンショット、キーボードの入力内容、クリップボードのデータなど取得して、標的とするユーザーの認証情報などを盗み出しています」
「Agent Teslaの最も一般的な配信方法は悪意のあるスパムであり、この電子メールによる攻撃については、サイバー犯罪グループのRATicateに関する調査レポート(https://news.sophos.com/en-us/2020/05/14/raticate/ )でも詳しく説明しています。このサイバー犯罪者は、エンドポイントや電子メールプロテクションツールを回避できるようにマルウェアを今後も更新し続けるとソフォスは考えています。Agent Teslaを拡散するために使用されている電子メールアカウントは、多くの場合、正規のアカウントのセキュリティが侵害されたものです。組織でも個人でも、不明な送信者からの電子メールに添付されているファイルには常に注意し、十分に確認してから開くようにする必要があります」
●電子メールのセキュリティの確保するためのIT管理者向けの推奨事項チェックリスト
・ ユーザーに配信される前に、不審な電子メールや添付ファイルをスクリーニング、検出、ブロックすることができるインテリジェントなセキュリティソリューションをインストールします。
・効果の高い検証方法を導入し、電子メールがサイバー犯罪者から送信されたものでないことを確認します。
・従業員のセキュリティ意識をトレーニングにより向上し、不審な電子メールの兆候を見極め、配信された場合の対処法
を習得させます。
・電子メールのアドレスと差出人の正当性を二重に確認するようにユーザーに注意を促します。
・不明な送信者からのメールに添付されているファイルを開いたり、リンクをクリックしたりしないようにユーザーに注意を促します。
ソフォスのエンドポイントプロテクションであるIntercept X(https://www.sophos.com/ja-jp/products/endpoint-antivirus.aspx )は、機械学習とTroj/Tesla-BEとTroj/Tesla-AWのシグネチャを使用して、Agent TeslaのインストーラーマルウェアとRATを検出します。
Agent Teslaのセキュリティ侵害の痕跡(IoC)は、SophosLabsのGitHubのページ(https://github.com/sophoslabs )を参照してください。
Agent Teslaやその他のサイバー脅威に関する詳細は、SophosLabs Uncutを参照してください。 SophosLabs Uncutでは、ソフォスの研究者が最新の調査結果や重要な情報を定期的に公開しています。サイバーセキュリティの脅威を研究されている方は、Twitterの@SophosLabsをフォローして、リアルタイムでSophosLabs Uncut(https://news.sophos.com/en-us/category/sophoslabs/sophoslabs-uncut/ )の情報を参照いただけます。
●その他の参考資料
・ ソフォス製品が「AIを利用して電子メールのセキュリティを向上している方法」(https://news.sophos.com/ja-jp/2020/12/20/protecting-your-inbox-from-phishing-impersonation-jp/ )をご確認ください。
・2021年版ソフォス脅威レポートの全文は、https://www.sophos.com/ja-jp/medialibrary/PDFs/technical-papers/sophos-2021-threat-report.pdf でご覧いただけます。
・Sophos Rapid ResponseとSophos Managed Threat Responseが1500万ドル相当のランサムウェア攻撃をブロックした方法(https://news.sophos.com/en-us/2020/09/22/mtr-casebook-blocking-a-15-million-maze-ransomware-attack/ )をご覧ください。
・リアルタイムに攻撃を停止するソフォスの新しいRapid Responseサービスの詳細(https://www.sophos.com/ja-jp/press-office/press-releases/2020/10/sophos-launches-rapid-response-service-to-identify-and-neutralize-active-cybersecurity-attacks.aspx )をご確認ください。
●ソフォスについて
ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント(ラップトップ、サーバー、モバイルデバイス)とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ(Synchronized Security)システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR(Managed Threat Response)などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー(MSP)からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
配信元企業:ソフォス株式会社
プレスリリース詳細へ
ドリームニューストップへ
都知事選掲示板にヌードポスター ひろゆき氏「世も末」 SNSで批判噴出
藤井聡太叡王、防衛ならず8冠独占崩れる 伊藤匠七段が初タイトル
【ヤクルト】吉村貢司郎「いい思い出と懐かしさ」勝手知ったる東京ドームで21日巨人戦先発
「水ダウ」松本人志VTRで降臨 39歳吉本芸人を一撃コメント! X「笑った」「圧倒的センス」
【巨人】台湾出身の黄錦豪の獲得へ 184センチ最速146キロ、6月高校卒業予定で育成契約の方向
東京都知事選、過去最多の56人が届け出 争点は小池都政の評価
村重杏奈、身長めぐり「意外とでかいんだね!!」の声に「モヤっと」美スタイル際立つコーデ披露
大谷翔平の「準備」勝負の10月と目先の1勝「ラインアップに慣れる」ベッツら離脱で結束の必要性
倖田来未、妹・misonoのカレーラーメン店に突撃来店を報告「姉妹そろってめちゃ可愛い~」
タイヤ脱落で4歳重体 運転手以外にも過失運転致傷適用、全国初
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
都知事選掲示板にヌードポスター ひろゆき氏「世も末」 SNSで批判噴出
ダルビッシュ妻・山本聖子さん、車運転中に“まさか”の出来事「ミラー越しに後ろを覗くと…」
イケメンだから許される!堀北真希と山本耕史の「馴れ初め」が映画化希望するレベル
高橋洋子「生成AI」理由の出演辞退に反響「アニメと真面目に向き合っている」「勇気ある決断」
バキ童こと春とヒコーキのぐんぴぃが有吉の壁に登場!「笑いが止まらん」「地上波ゴールデンは草」
広瀬アリス「そりゃ売れるわ」友人・伊藤沙莉の人柄明かす「ただ仕草とか反応が全部おっさん」
「虎に翼」母・はるが…伊藤沙莉の演技力に反響「必死の説得」「映さない」「きれいに泣かない」
井上咲楽、イタリアでの“ぼったくり”被害を報告「めっちゃ後悔しています」
氷川きよし「ご無沙汰しています!久しぶりの再開です」インスタ過去投稿削除し、黒スーツ姿投稿
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
松本人志飲み会参加セクシー女優「警察に相談しに行きました」報告「さすがにこれは酷すぎる」
現役女子大生グラドル、セクシー女優転身「私の全てを見ていただけると思います」
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
『こんなに可愛かった赤ちゃん犬が…』完全に想定外な『まさかの成長』が面白過ぎると82万再生「爆笑したw」「柴らしさ全開で好き」と絶賛
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
柏原崇(45)現在を調べてみた結果、相変わらずかっこよすぎた!
「愛が生まれた日」藤谷美和子(56)の現在がヤバい!?徘徊生活を送っていた過去も明らかに。
都知事選掲示板にヌードポスター ひろゆき氏「世も末」 SNSで批判噴出
イケメンだから許される!堀北真希と山本耕史の「馴れ初め」が映画化希望するレベル
都知事選掲示板にヌードポスター ひろゆき氏「世も末」 SNSで批判噴出
藤井聡太叡王、防衛ならず8冠独占崩れる 伊藤匠七段が初タイトル
【ヤクルト】吉村貢司郎「いい思い出と懐かしさ」勝手知ったる東京ドームで21日巨人戦先発
「水ダウ」松本人志VTRで降臨 39歳吉本芸人を一撃コメント! X「笑った」「圧倒的センス」
【巨人】台湾出身の黄錦豪の獲得へ 184センチ最速146キロ、6月高校卒業予定で育成契約の方向
東京都知事選、過去最多の56人が届け出 争点は小池都政の評価
村重杏奈、身長めぐり「意外とでかいんだね!!」の声に「モヤっと」美スタイル際立つコーデ披露
大谷翔平の「準備」勝負の10月と目先の1勝「ラインアップに慣れる」ベッツら離脱で結束の必要性
倖田来未、妹・misonoのカレーラーメン店に突撃来店を報告「姉妹そろってめちゃ可愛い~」
タイヤ脱落で4歳重体 運転手以外にも過失運転致傷適用、全国初