starthome-logo 無料ゲーム
starthome-logo

ソフォス、セキュリティを迂回するためにAgent Teslaが使用している新たな配信および回避手法を発見

2021年2月16日
<<報道資料>>
ソフォス株式会社

ソフォス、セキュリティを迂回するためにAgent Teslaが使用している新たな配信および回避手法を発見

※本資料は2021年2月2日(現地時間)に英国オックスフォードにて発表されたプレスリリースの抄訳です。
ネットワークおよびエンドポイントセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、「さまざまな情報窃取で利用されるトロイの木馬型マルウェア Agent Tesla」と題する新しい調査レポート(https://news.sophos.com/ja-jp/2021/02/11/agent-tesla-amps-up-information-stealing-attacks-jp/ )を公開しました。このレポートでは、攻撃者がマルウェアを配信し、ペイロードをインストールして実行する前に、エンドポイントプロテクションを無効にするために使用している新たな回避手法について詳述しています。

この手法では、多段階のプロセスが採用されています。 .NETダウンローダーがPastebinやHastebinなどの正規のサードパーティWebサイトで目立たないようにホスティングされているマルウェアの各部を取得し、それらの各部を結合、デコード、復号化して悪意のあるペイロードを配信するローダーを作成します。

同時に、このマルウェアは、マイクロソフトのAnti-Malware Software Interface(AMSI)(アプリケーションやサービスをインストールされているセキュリティ製品と統合するWindowsの機能)のコードを変更します。これにより、AMSIが有効になっているエンドポイントセキュリティプロテクションが機能しなくなり、ペイロードがブロックされることなくダウンロード、インストール、実行されます。

Agent Teslaは、2014年から情報窃取を目的に広く利用されているリモートアクセスツール(RAT)です。この作成者は、ダークウェブフォーラムでこのRATを広告・販売しており、常に更新しています。攻撃者は一般的に、添付ファイルのある悪意のあるスパムメールを介してこのマルウェアを配信します。

ソフォスは、今回、現在実環境で利用されている2つのバージョンのAgent Teslaについて詳しく調査しました。どちらのバージョンも最近アップデートされており、Webブラウザ、電子メールクライアント、仮想プライベートネットワーククライアント、ユーザー名やパスワードを保存するソフトウェアなど、認証情報を盗み出す対象のアプリケーションを増やしています。また、キーボードの入力内容を取得する、あるいは、スクリーンショットを記録する機能も備えています。

2つのバージョンの違いから、攻撃者が検出を回避するためにいくつもの回避手法と難読化を採用し、どのようにRATを進化させてきたのかが明らかになりました。これらのバージョンには、匿名ネットワーククライアントのTorをインストールして使用するオプションや、コマンドおよびコントロール(C2)と通信するTelegramメッセージングAPIを使用するオプション、MicrosoftのAMSIをターゲットにするオプションが含まれています。

ソフォスのシニアセキュリティリサーチャーであるSean Gallagherは次のように述べています。「Agent Teslaマルウェアは7年以上も活動していますが、Windowsユーザーが最も影響を受けやすい脅威の1つであることに変わりはありません。2020年に電子メールで配信されたマルウェアの中でも上位にランクインしています。12月には、ソフォスのスキャナーで傍受された悪意のある電子メールの添付ファイル攻撃の約20%をAgent Teslaのペイロードが占めていました。さまざまな攻撃者がこのマルウェアを使用して、スクリーンショット、キーボードの入力内容、クリップボードのデータなど取得して、標的とするユーザーの認証情報などを盗み出しています」

「Agent Teslaの最も一般的な配信方法は悪意のあるスパムであり、この電子メールによる攻撃については、サイバー犯罪グループのRATicateに関する調査レポート(https://news.sophos.com/en-us/2020/05/14/raticate/ )でも詳しく説明しています。このサイバー犯罪者は、エンドポイントや電子メールプロテクションツールを回避できるようにマルウェアを今後も更新し続けるとソフォスは考えています。Agent Teslaを拡散するために使用されている電子メールアカウントは、多くの場合、正規のアカウントのセキュリティが侵害されたものです。組織でも個人でも、不明な送信者からの電子メールに添付されているファイルには常に注意し、十分に確認してから開くようにする必要があります」


●電子メールのセキュリティの確保するためのIT管理者向けの推奨事項チェックリスト

・ ユーザーに配信される前に、不審な電子メールや添付ファイルをスクリーニング、検出、ブロックすることができるインテリジェントなセキュリティソリューションをインストールします。

・効果の高い検証方法を導入し、電子メールがサイバー犯罪者から送信されたものでないことを確認します。

・従業員のセキュリティ意識をトレーニングにより向上し、不審な電子メールの兆候を見極め、配信された場合の対処法
を習得させます。

・電子メールのアドレスと差出人の正当性を二重に確認するようにユーザーに注意を促します。

・不明な送信者からのメールに添付されているファイルを開いたり、リンクをクリックしたりしないようにユーザーに注意を促します。

ソフォスのエンドポイントプロテクションであるIntercept X(https://www.sophos.com/ja-jp/products/endpoint-antivirus.aspx )は、機械学習とTroj/Tesla-BEとTroj/Tesla-AWのシグネチャを使用して、Agent TeslaのインストーラーマルウェアとRATを検出します。

Agent Teslaのセキュリティ侵害の痕跡(IoC)は、SophosLabsのGitHubのページ(https://github.com/sophoslabs )を参照してください。

Agent Teslaやその他のサイバー脅威に関する詳細は、SophosLabs Uncutを参照してください。 SophosLabs Uncutでは、ソフォスの研究者が最新の調査結果や重要な情報を定期的に公開しています。サイバーセキュリティの脅威を研究されている方は、Twitterの@SophosLabsをフォローして、リアルタイムでSophosLabs Uncut(https://news.sophos.com/en-us/category/sophoslabs/sophoslabs-uncut/ )の情報を参照いただけます。


●その他の参考資料
・ ソフォス製品が「AIを利用して電子メールのセキュリティを向上している方法」(https://news.sophos.com/ja-jp/2020/12/20/protecting-your-inbox-from-phishing-impersonation-jp/ )をご確認ください。

・2021年版ソフォス脅威レポートの全文は、https://www.sophos.com/ja-jp/medialibrary/PDFs/technical-papers/sophos-2021-threat-report.pdf でご覧いただけます。

・Sophos Rapid ResponseとSophos Managed Threat Responseが1500万ドル相当のランサムウェア攻撃をブロックした方法(https://news.sophos.com/en-us/2020/09/22/mtr-casebook-blocking-a-15-million-maze-ransomware-attack/ )をご覧ください。

・リアルタイムに攻撃を停止するソフォスの新しいRapid Responseサービスの詳細(https://www.sophos.com/ja-jp/press-office/press-releases/2020/10/sophos-launches-rapid-response-service-to-identify-and-neutralize-active-cybersecurity-attacks.aspx )をご確認ください。

●ソフォスについて
ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント(ラップトップ、サーバー、モバイルデバイス)とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ(Synchronized Security)システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR(Managed Threat Response)などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー(MSP)からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。

●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com 

以上



配信元企業:ソフォス株式会社
プレスリリース詳細へ

ドリームニューストップへ
    アクセスランキング

    1. 父が再婚の丸山隆平(36)現在の家族関係がとんでもないことになっていたと話題に

    2. 後藤真希、“衝撃を受けたアイドル”を聞かれズバリ実名告白「誰もが衝撃を受けたと思う」

    3. 二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」

    4. 中居正広氏側の反論の6文字に違和感「誰の言葉?」「とても引っかかる」X議論白熱/送付全文

    5. 「80歳に見えない」国民的女優、のんと2ショット「若い頃に似てる」「奇跡」圧倒的美貌に騒然

    6. 和田アキ子突如泣き出した 番組で異例の「トイレ休憩」後にハプニング スタジオ騒然

    7. 指原莉乃「実はすんごいことが起きまして」喜びの報告に「本当に凄い」「私まで嬉しい」祝福の声

    8. 柏木由紀に「流出した写真でエライ事に」芸人の“プチ炎上”ツッコミに釈明「今、まっとうに」

    9. 浜崎あゆみ、バスト丸見えの投稿にネット騒然「巨乳すぎて不自然」

    10. にゃんこスター・アンゴラ村長の本気グラビア!ふつうの30歳が魅せるランジェリーカットや入浴シーン

    1. 父が再婚の丸山隆平(36)現在の家族関係がとんでもないことになっていたと話題に

    2. 二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」

    3. 後藤真希、“衝撃を受けたアイドル”を聞かれズバリ実名告白「誰もが衝撃を受けたと思う」

    4. 小澤征悦と再婚した桑子真帆アナ(34)黒い過去が流出、衝撃の過去にネット騒然

    5. 多部未華子(30)結婚の裏事情あまりにも恐ろしすぎると話題に!

    6. 関ジャニ錦戸亮、登場人物が全員クズだらけの不倫劇もメディア沈黙で批判殺到

    7. 「名探偵コナン」最大の謎、蘭姉ちゃんのあの角の正体がついに判明

    8. ガーシー、佐野ひなこの暴露を示唆でネット騒然「ファンだったのに」

    9. 中居正広氏側の反論から浮かんだ2つの新事実を指摘「性暴力の評価はともかく…」紀藤正樹弁護士

    10. 【おすすめアニメ50選】完結済み!定番から最新作まで!

    Tips

    1. エクセル初心者でも安心!アプリ・本・PCを使った超簡単学習法10選

    2. 買い切り版Officeのサポート終了後、使い続けるとどうなる?

    3. WPS Office 2ってどれがいいの?購入に迷ったときに役立つエディション別のおすすめポイントをご紹介します!

    4. Excel初心者必見!基本の表の作り方や見やすくする方法のコツを解説!

    5. エクセルで簡単!開始日から終了日までの日数計算テクニック

    game_banner
    おすすめ

    1. 元AKB48センター「私はだまされたと」アイドルは「なりたいと思ったことない」

    2. フジ井上清華アナが「めざまし」を年次休暇で欠席、代役は元櫻坂アナ25歳

    3. 玉川徹氏「ひき逃げにならないんじゃないかくらいの感覚が」ひき逃げ逮捕の中国籍の男に

    4. 札幌・すすきののビルで爆発か ガラス割れ複数人がけが

    5. 松村北斗、大泉洋への愛止まらず「まさか30手前で違う人の息子になるとは」本人から襲名許可

    6. ナイツ塙「叶姉妹みたいな設定じゃない」はなわ兄は“ウソ”疑惑を完全否定

    7. 富士山・河口湖エリアの宿泊施設WEBサイトをリニューアル!公式サイト限定ベストレート保証&会員限定ポイント還元を開始

    8. GACKT、週刊誌の“抑止力”を再否定「広告収入で儲かれば、それが彼らの勝ち」の私見

    9. リーガロイヤルホテル大阪、「マンゴーアフタヌーンティーランチ ~Flower Garden~」を販売

    10. 江藤農相「コメ買ったことない」発言 「受けを狙った」と釈明

    Starthome

    StartHomeカテゴリー

    Copyright 2025
    ©KINGSOFT JAPAN INC. ALL RIGHTS RESERVED.