starthome-logo 無料ゲーム
starthome-logo

ソフォス、セキュリティを迂回するためにAgent Teslaが使用している新たな配信および回避手法を発見

2021年2月16日
<<報道資料>>
ソフォス株式会社

ソフォス、セキュリティを迂回するためにAgent Teslaが使用している新たな配信および回避手法を発見

※本資料は2021年2月2日(現地時間)に英国オックスフォードにて発表されたプレスリリースの抄訳です。
ネットワークおよびエンドポイントセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、「さまざまな情報窃取で利用されるトロイの木馬型マルウェア Agent Tesla」と題する新しい調査レポート(https://news.sophos.com/ja-jp/2021/02/11/agent-tesla-amps-up-information-stealing-attacks-jp/ )を公開しました。このレポートでは、攻撃者がマルウェアを配信し、ペイロードをインストールして実行する前に、エンドポイントプロテクションを無効にするために使用している新たな回避手法について詳述しています。

この手法では、多段階のプロセスが採用されています。 .NETダウンローダーがPastebinやHastebinなどの正規のサードパーティWebサイトで目立たないようにホスティングされているマルウェアの各部を取得し、それらの各部を結合、デコード、復号化して悪意のあるペイロードを配信するローダーを作成します。

同時に、このマルウェアは、マイクロソフトのAnti-Malware Software Interface(AMSI)(アプリケーションやサービスをインストールされているセキュリティ製品と統合するWindowsの機能)のコードを変更します。これにより、AMSIが有効になっているエンドポイントセキュリティプロテクションが機能しなくなり、ペイロードがブロックされることなくダウンロード、インストール、実行されます。

Agent Teslaは、2014年から情報窃取を目的に広く利用されているリモートアクセスツール(RAT)です。この作成者は、ダークウェブフォーラムでこのRATを広告・販売しており、常に更新しています。攻撃者は一般的に、添付ファイルのある悪意のあるスパムメールを介してこのマルウェアを配信します。

ソフォスは、今回、現在実環境で利用されている2つのバージョンのAgent Teslaについて詳しく調査しました。どちらのバージョンも最近アップデートされており、Webブラウザ、電子メールクライアント、仮想プライベートネットワーククライアント、ユーザー名やパスワードを保存するソフトウェアなど、認証情報を盗み出す対象のアプリケーションを増やしています。また、キーボードの入力内容を取得する、あるいは、スクリーンショットを記録する機能も備えています。

2つのバージョンの違いから、攻撃者が検出を回避するためにいくつもの回避手法と難読化を採用し、どのようにRATを進化させてきたのかが明らかになりました。これらのバージョンには、匿名ネットワーククライアントのTorをインストールして使用するオプションや、コマンドおよびコントロール(C2)と通信するTelegramメッセージングAPIを使用するオプション、MicrosoftのAMSIをターゲットにするオプションが含まれています。

ソフォスのシニアセキュリティリサーチャーであるSean Gallagherは次のように述べています。「Agent Teslaマルウェアは7年以上も活動していますが、Windowsユーザーが最も影響を受けやすい脅威の1つであることに変わりはありません。2020年に電子メールで配信されたマルウェアの中でも上位にランクインしています。12月には、ソフォスのスキャナーで傍受された悪意のある電子メールの添付ファイル攻撃の約20%をAgent Teslaのペイロードが占めていました。さまざまな攻撃者がこのマルウェアを使用して、スクリーンショット、キーボードの入力内容、クリップボードのデータなど取得して、標的とするユーザーの認証情報などを盗み出しています」

「Agent Teslaの最も一般的な配信方法は悪意のあるスパムであり、この電子メールによる攻撃については、サイバー犯罪グループのRATicateに関する調査レポート(https://news.sophos.com/en-us/2020/05/14/raticate/ )でも詳しく説明しています。このサイバー犯罪者は、エンドポイントや電子メールプロテクションツールを回避できるようにマルウェアを今後も更新し続けるとソフォスは考えています。Agent Teslaを拡散するために使用されている電子メールアカウントは、多くの場合、正規のアカウントのセキュリティが侵害されたものです。組織でも個人でも、不明な送信者からの電子メールに添付されているファイルには常に注意し、十分に確認してから開くようにする必要があります」


●電子メールのセキュリティの確保するためのIT管理者向けの推奨事項チェックリスト

・ ユーザーに配信される前に、不審な電子メールや添付ファイルをスクリーニング、検出、ブロックすることができるインテリジェントなセキュリティソリューションをインストールします。

・効果の高い検証方法を導入し、電子メールがサイバー犯罪者から送信されたものでないことを確認します。

・従業員のセキュリティ意識をトレーニングにより向上し、不審な電子メールの兆候を見極め、配信された場合の対処法
を習得させます。

・電子メールのアドレスと差出人の正当性を二重に確認するようにユーザーに注意を促します。

・不明な送信者からのメールに添付されているファイルを開いたり、リンクをクリックしたりしないようにユーザーに注意を促します。

ソフォスのエンドポイントプロテクションであるIntercept X(https://www.sophos.com/ja-jp/products/endpoint-antivirus.aspx )は、機械学習とTroj/Tesla-BEとTroj/Tesla-AWのシグネチャを使用して、Agent TeslaのインストーラーマルウェアとRATを検出します。

Agent Teslaのセキュリティ侵害の痕跡(IoC)は、SophosLabsのGitHubのページ(https://github.com/sophoslabs )を参照してください。

Agent Teslaやその他のサイバー脅威に関する詳細は、SophosLabs Uncutを参照してください。 SophosLabs Uncutでは、ソフォスの研究者が最新の調査結果や重要な情報を定期的に公開しています。サイバーセキュリティの脅威を研究されている方は、Twitterの@SophosLabsをフォローして、リアルタイムでSophosLabs Uncut(https://news.sophos.com/en-us/category/sophoslabs/sophoslabs-uncut/ )の情報を参照いただけます。


●その他の参考資料
・ ソフォス製品が「AIを利用して電子メールのセキュリティを向上している方法」(https://news.sophos.com/ja-jp/2020/12/20/protecting-your-inbox-from-phishing-impersonation-jp/ )をご確認ください。

・2021年版ソフォス脅威レポートの全文は、https://www.sophos.com/ja-jp/medialibrary/PDFs/technical-papers/sophos-2021-threat-report.pdf でご覧いただけます。

・Sophos Rapid ResponseとSophos Managed Threat Responseが1500万ドル相当のランサムウェア攻撃をブロックした方法(https://news.sophos.com/en-us/2020/09/22/mtr-casebook-blocking-a-15-million-maze-ransomware-attack/ )をご覧ください。

・リアルタイムに攻撃を停止するソフォスの新しいRapid Responseサービスの詳細(https://www.sophos.com/ja-jp/press-office/press-releases/2020/10/sophos-launches-rapid-response-service-to-identify-and-neutralize-active-cybersecurity-attacks.aspx )をご確認ください。

●ソフォスについて
ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント(ラップトップ、サーバー、モバイルデバイス)とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ(Synchronized Security)システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR(Managed Threat Response)などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー(MSP)からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。

●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com 

以上



配信元企業:ソフォス株式会社
プレスリリース詳細へ

ドリームニューストップへ
    アクセスランキング

    1. 長嶋一茂、「家族としてお許しいただきたいけれど…」妹・三奈さんらとの病室での会話明かす

    2. 二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」

    3. ヒカル、浮気相手とのLINE流出にドン引きの声「キモすぎる」「吐きそう」

    4. 小倉優子、不自然な“二重ライン”にネット騒然「やっぱり整形?」

    5. 藤本美貴、夫・庄司智春がしていたら「結婚しなかったと思う」“習慣”を発表

    6. 元NMBの上西怜さんが着こなすランジェリー、“あざとカワイイ”ビジュアル大量公開!

    7. 武田鉄矢、昨年死去した大物俳優をライバル視していた「1人だけ、ライバルと思った人がいた」

    8. あのちゃん実名告白「めんどくさい芸能人」が台本と違いスタジオ騒然

    9. 西田ひかる「なんとかならなかったのかな」コンビニ備蓄米視察で小泉農相「大きなうねり」発言に

    10. 大谷翔平の長女へ、ロバーツ監督がピンクの〝ポルシェ〟プレゼント 昨年は大谷がミニポルシェ贈る

    1. 父が再婚の丸山隆平(36)現在の家族関係がとんでもないことになっていたと話題に

    2. 二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」

    3. ヒカル、浮気相手とのLINE流出にドン引きの声「キモすぎる」「吐きそう」

    4. 多部未華子(30)結婚の裏事情あまりにも恐ろしすぎると話題に!

    5. ガーシー、佐野ひなこの暴露を示唆でネット騒然「ファンだったのに」

    6. 【おすすめアニメ50選】完結済み!定番から最新作まで!

    7. 「名探偵コナン」最大の謎、蘭姉ちゃんのあの角の正体がついに判明

    8. 浜崎あゆみ、バスト丸見えの投稿にネット騒然「巨乳すぎて不自然」

    9. 小澤征悦と再婚した桑子真帆アナ(34)黒い過去が流出、衝撃の過去にネット騒然

    10. 長嶋一茂、「家族としてお許しいただきたいけれど…」妹・三奈さんらとの病室での会話明かす

    Tips

    1. 買い切り版Officeのサポート終了後、使い続けるとどうなる?

    2. エクセル初心者でも安心!アプリ・本・PCを使った超簡単学習法10選

    3. WPS Office 2ってどれがいいの?購入に迷ったときに役立つエディション別のおすすめポイントをご紹介します!

    4. Excel初心者必見!基本の表の作り方や見やすくする方法のコツを解説!

    5. エクセルで簡単!開始日から終了日までの日数計算テクニック

    game_banner
    おすすめ

    1. 【札幌】ブラジル2部シャペコエンセ29歳FWを獲得へ 近日中にもチームに合流

    2. 年商50億円の農機具会社、躍進中 大きな「農業愛」が成長後押し

    3. リモワ、伊勢丹新宿店でポップアップイベント 最新コラボアイテムも

    4. 【巨人】坂本勇人、10日のソフトバンク戦から1軍に昇格 2軍で3戦連続打点など復調アピール

    5. イスラエル軍、グレタさんの船の到着阻止へ 9日にもガザ沿岸接近

    6. 何者かが首絞め殺害か ラブホテルの男性遺体 愛知県警が捜査本部

    7. Travis Japan川島如恵留が休養から復帰 全国ツアー最終公演7人そろってゴール

    8. 宮野真守、42歳誕生日に劇団ひまわりを退所 7歳から約35年所属、契約満了で

    9. 有働由美子が大粒の涙、長嶋茂雄さんに生放送で感謝「私事で大変恐縮なんですけど…」

    10. 堀内恒夫氏、長嶋さん見て野球始め、7年後巨人で一緒にプレー「間に合ったと」7日通夜で弔辞

    Starthome

    StartHomeカテゴリー

    Copyright 2025
    ©KINGSOFT JAPAN INC. ALL RIGHTS RESERVED.