気になる!海外の脅威インテリジェンス紹介(制御セキュリティ)

このページは、情報セキュリティ株式会社(iSEC)が、セキュリティ運用に伴い独自に情報を収集した重要インフラや制御システムの脅威インテリジェンスについて紹介・コメントや解説を掲載することにより、重要インフラ事業者やグローバル製造業のSOCやCSIRT担当者に役立てていただくことを目的としています。

New ransomware posing as COVID‑19 tracing app targets Canada; ESET offers decryptor (COVID-19のトレースアプリと偽る新ランサムウェアがカナダを狙い、復号方法はESETから)

概 要:原文
New ransomware CryCryptor has been targeting Android users in Canada, distributed via two websites under the guise of an official COVID-19 tracing app provided by Health Canada. ESET researchers analyzed the ransomware and created a decryption tool for the victims.

日訳
Health Canadaより提供されたCOVID-19のトレースアプリと偽り、2つのウェブサイトから流通させている CryCryptorという新ランサムウェアがカナダのアンドロイドユーザーを狙います。ESETがランサムウェアを分析して復号化ツールを開発しました。

掲載元:--

URL:https://www.welivesecurity.com/2020/06/24/new-ransomware-uses-covid19-tracing-guise-target-canada-eset-decryptor/

コメント:

作成者:

掲載日:2020年06月30日

Four zero-day attacks spotted in attacks against honeypot systems(ハニーポットシステムに対する攻撃で発見された4つのゼロデイ攻撃)

概 要:(原文)
Four new zero-day attacks were discovered when hackers employed them against fake systems set up by researchers studying hacking attempts on industrial systems. Over a period of 13 months, there were 80,000 interactions with the honeypots – mostly scans – and nine interactions that made malicious use of an industrial protocol.
Four of the nine interactions also featured previously unknown attacks, or zero-days, one being the first use of a previously identified proof-of-concept attack in the wild.
The attack types include denial-of-service and command-replay attacks. These vulnerabilities and associated exploits were disclosed by SecuriOT to the device manufacturers.

(オンライン翻訳)
ハッカーが産業用システムのハッキングの試みを研究している研究者によって設定された偽のシステムに対してそれらを採用したときに、4つの新しいゼロデイ攻撃が発見されました。 13か月の間に、ハニーポットとの8万回のインタラクション(主にスキャン)と、産業用プロトコルの悪意のある使用を行う9つのインタラクションがありました。
9つのインタラクションのうち4つは、これまでに知られていなかった攻撃、つまりゼロデイを特徴としており、1つは以前に確認された概念実証攻撃を実際に使用した最初の攻撃です。
攻撃の種類には、サービス拒否攻撃とコマンド再生攻撃があります。 これらの脆弱性および関連するエクスプロイトは、SecuriOTによってデバイスメーカーに公開されました。

掲載元:--

URL:https://ccdcoe.org/uploads/2020/05/CyCon_2020_15_Dodson_Beresford_Vingaard.pdf

コメント:

作成者:

掲載日:2020年06月20日

Ripple20 is a set of 19 vulnerabilities found on the Treck TCP/IP stack(Ripple20はTreck TCP / IPスタックで見つかった19個の脆弱性のセット)

概 要:(原文)
・ Ripple20 is a set of 19 zero-day vulnerabilities found on the Treck TCP/IP stack
・ Four of the Ripple20 vulnerabilities are rated critical, with CVSS scores over 9 and enable Remote Code Execution.
・ Affected vendors range from one-person boutique shops to Fortune 500 multinational corporations, including HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter, as well as many other major international vendors suspected of being of vulnerable in medical, transportation, industrial control, enterprise, energy (oil/gas), telecom, retail and commerce, and other industries.
・ Ripple20 vulnerabilities are unique both in their widespread effect and impact due to supply chain effect and being vulnerabilities allowing attackers to bypass NAT and firewalls and take control of devices undetected, with no user interaction required. This is due to the vulnerabilities being in a low-level TCP/IP stack, and the fact that for many of the vulnerabilities, the packets sent are very similar to valid packets, or, in some cases are completely valid packets. This enables the attack to pass as legitimate traffic.
・ The best strategy is to implement compensating controls such as network segmentation to make it harder for adversaries to connect to these devices, plus Network Traffic Analysis (NTA) with Security Orchestration, Automation, and Response (SOAR) to quickly spot anomalous behavior.
・ Device vendors can update the Treck library to a fixed version (6.0.1.67 or higher), while organizations can check their network for affected devices and contact the vendors for more information on how to mitigate the exploitation risk. The researchers will make available, upon request, a script to help companies identify Treck products on their networks

(オンライン翻訳)
・Ripple20は、Treck TCP / IPスタックで見つかった19のゼロデイ脆弱性のセットです
・Ripple20の脆弱性のうち4つが重大と評価され、CVSSスコアが9を超え、リモートコード実行が有効になります。
・影響を受けるベンダーは、個人のブティックショップから、HP、シュナイダーエレクトリック、インテル、ロックウェルオートメーション、キャタピラー、バクスターを含むフォーチュン500の多国籍企業、および医療、輸送、産業で脆弱であると疑われる他の多くの主要な国際的ベンダーにまで及びます。制御、企業、エネルギー(石油/ガス)、通信、小売および商業、その他の産業。
・Ripple20の脆弱性は、広範囲にわたる影響とサプライチェーンの影響による影響の両方で独特であり、攻撃者がユーザーの操作を必要とせずに、NATとファイアウォールを迂回してデバイスを制御されずに制御できる脆弱性です。これは、低レベルのTCP / IPスタックに存在する脆弱性によるもので、多くの脆弱性で、送信されるパケットは有効なパケットと非常によく似ているか、場合によっては完全に有効なパケットです。これにより、攻撃は正当なトラフィックとして通過することができます。
・最善の戦略は、攻撃者がこれらのデバイスに接続するのを困難にするためにネットワークセグメンテーションなどの補償制御を実装することと、異常な動作をすばやく見つけるためにセキュリティオーケストレーション、自動化、応答(SOAR)を備えたネットワークトラフィック分析(NTA)を実装することです。
・デバイスベンダーはTreckライブラリを固定バージョン(6.0.1.67以降)に更新できます。一方、組織は影響を受けるデバイスのネットワークを確認し、悪用のリスクを軽減する方法の詳細についてベンダーに問い合わせることができます。研究者は、リクエストに応じて、企業がネットワーク上のTreck製品を特定するのに役立つスクリプトを提供します。

掲載元:--

URL:https://www.jsof-tech.com/ripple20/

コメント:今回は、世界で数億台のIoTデバイスや産業制御装置に影響を与える可能性のある脆弱性が見つかりました。
「Ripple20」と命名されている19件の脆弱性については、Treckが開発したTCP/IPソフトウェアライブラリに存在しており、世界で数億台のIoTデバイスや産業制御装置に影響を与える脆弱性となっています。

これらを対策する有効な方法の一つとしてネットワーク全体を分析するために、エンドポイント対策の他にネットワーク全体を可視化し異常なふるまいを検知する必要があります。なぜなら、エンドポイントによる対策では導入できない機器(ネットワークスイッチ、プリンタ、アクセスポイント、IoT機器など)が存在するため組織全体を把握することはできません。

・検知(セキュリティ検知システムやユーザによる異常申告)
・収集(ネットワーク通信状況や資産管理、脆弱性、端末位置特定のためのトレサビリティツールなどの情報)
・判断(事前の体制づくりとインシデントフロー図の作成)
・実行(ネットワーク遮断システムにより感染拡大を防止し、被害の極小化を図る)
※保護する資産によっては、異常検知次第、即遮断という場合もありえます

これらのプロセスをスムーズにすすめるために、これらをスムーズに進めるためにオーケストレーションシステムというものが存在します。これを導入することにより、サイバー攻撃を受けた場合にスピーディに対応するため被害を小さくすることができます。

作成者:鈴木義久

掲載日:2020年06月19日

DoppelPaymer Ransomware Strikes NASA Contractor, 2,583 Servers Held Hostage, Data Leaked(DoppelPaymerランサムウェアがNASAの請負業者を襲撃、2,583台のサーバーが人質を拘束、データ漏洩)

概 要:(原文)
DoppelPaymer ransomware gang infected the network of one of NASA’s IT contractors. DoppelPaymer ransomware said they had successfully breached the network of Digital Management Inc. (DMI), a Maryland-based company providing managed IT and cyber security services on demand. Other firms affected by the NASA contractor breach include major Fortune 100 firms that use the firm’s services. They published a list of 2,583 servers and workstations they currently hold hostage from the attack and released documents including HR documents and project plans from the NASA contractor.

(オンライン翻訳)
DoppelPaymerランサムウェアギャングは、NASAのIT請負業者の1つのネットワークに感染しました。 DoppelPaymerランサムウェアは、メリーランド州に本拠を置く会社で、マネージドITおよびサイバーセキュリティサービスをオンデマンドで提供するDigital Management Inc.(DMI)のネットワークへの侵入に成功したと述べています。 NASAの請負業者の違反の影響を受けるその他の企業には、その企業のサービスを使用するFortune 100の主要企業が含まれます。 彼らは現在攻撃の人質を保持している2,583台のサーバーとワークステーションのリストを公開し、人事文書やNASA請負業者からのプロジェクト計画を含む文書を公開しました。

掲載元:NASA

URL:https://www.cpomagazine.com/cyber-security/doppelpaymer-ransomware-strikes-nasa-contractor-2583-servers-held-hostage-data-leaked/

コメント:

作成者:

掲載日:2020年06月12日

Honda and Enel impacted by cyber attack suspected to be ransomware(ランサムウェアの疑いがあるサイバー攻撃の影響を受けたホンダとエネル)

概 要:(原文)
Car manufacturer Honda and energy distribution company Enel Argentina have been hit by a cyber attack. Both companies had Remote Desktop Protocol (RDP) access publicly exposed, and the attack may be tied to the EKANS/SNAKE ransomware family written in GOLANG

・ An internal server at Honda in Japan was attacked and malware spread through Honda's computer network
・ There were difficulties in accessing servers, email and other system. Production systems outside Japan were also affected
・ Another similar attack hit Edesur S.A., one of the companies belonging to Enel Argentina which operates in the business of energy distribution in the City of Buenos Aires
・ Both companies had some machines with Remote Desktop Protocol (RDP) access publicly exposed
・ these incidents may be tied to the EKANS/SNAKE ransomware family
・ First public mentions of EKANS ransomware (written in GOLANG) date back to January 2020
・ The group appears to have a special interest for Industrial Control Systems (ICS)
・ Indicators of Compromise (IOCs)
 > Honda related sample:
  d4da69e424241c291c173c8b3756639c654432706e7def5025a649730868c4a1
  mds.honda.com
 > Enel related sample:
  edef8b955468236c6323e9019abb10c324c27b4f5667bc3f85f3a097b2e5159a
  enelint.global

(オンライン翻訳)
自動車メーカーのホンダとエネルギー流通会社のエネルアルゼンチンがサイバー攻撃の被害を受けました。両社はリモートデスクトッププロトコル(RDP)アクセスを公開しており、攻撃はGOLANGで記述されたEKANS / SNAKEランサムウェアファミリーに関連している可能性があります

・日本のホンダの内部サーバーが攻撃され、マルウェアがホンダのコンピューターネットワークを介して拡散した
・サーバー、メール、その他のシステムへのアクセスに問題があった。海外生産体制にも影響
・ブエノスアイレス市の配電事業を営むエネルアルゼンチンに属する企業の1つであるEdesur S.A.
・両社とも、リモートデスクトッププロトコル(RDP)アクセスが公開されたマシンをいくつか公開していた
・これらのインシデントは、EKANS / SNAKEランサムウェアファミリーに関連している可能性があります
・EKANSランサムウェア(GOLANGで記述)の最初の一般公開は、2020年1月にさかのぼります
・グループは産業制御システム(ICS)に特別な関心を持っているようです
・侵害の指標(IOC)
>ホンダ関連サンプル:
d4da69e424241c291c173c8b3756639c654432706e7def5025a649730868c4a1
mds.honda.com
>エネル関連サンプル:
edef8b955468236c6323e9019abb10c324c27b4f5667bc3f85f3a097b2e5159a
enelint.global

掲載元:Honda, Enel

URL:https://blog.malwarebytes.com/threat-analysis/2020/06/honda-and-enel-impacted-by-cyber-attack-suspected-to-be-ransomware/

コメント:今回のランサムウェアに関しては、社内ラボでマルウェア分析したところ、DNSのリクエストの結果によりマルウェアの動作有無を判定していました。また、実行された環境での実行や特定の環境においては動作しないように設計されています。いままでのランサムウェアと違うところは、例えばWannacryの場合は周囲にポートスイープを実施して同一セグメントに対し感染を広げていく行動をとっていましたが、今回のEKANS/SNAKEに関しては、自身ではなくADスクリプトなどを用いて展開されるようです。
検知及び対策方法としては、DNSクエリの内容や通常とは違うクエリ検知やエンドポイントやネットワークセンサへのマルウェアハッシュ登録が考えられます。

作成者:鈴木義久

掲載日:2020年06月09日

Sodinokibi ransomware gang auctions off stolen data(Sodinokibiランサムウェアギャングオークションで盗まれたデータ)

概 要:(原文)
Sodinokibi, aka REvil, ransomware operators have launched a new auction site used to sell victim’s stolen data to the highest bidder. The ransomware gang already ran a site called “Happy Blog” where they post samples of the stolen data and then threaten to release the actual files to the public. On the auction site you can find information about the organizations they have stolen data from and some information about what the data includes.

(オンライン翻訳)
ソディノキビ(別名REvil)のランサムウェアオペレーターは、被害者の盗んだデータを最高入札者に販売するために使用される新しいオークションサイトを立ち上げました。 ランサムウェアのギャングはすでに「ハッピーブログ」と呼ばれるサイトを運営しており、盗んだデータのサンプルを投稿し、実際のファイルを一般に公開すると脅迫しています。 オークションサイトでは、データを盗んだ組織に関する情報と、データに含まれる情報に関する情報を見つけることができます。

掲載元:--

URL:https://blog.malwarebytes.com/ransomware/2020/06/sodinokibi-ransomware-gang-auctions-off-stolen-data/

コメント:

作成者:

掲載日:2020年06月06日

Report: Maritime Cyberattacks Up by 400 Percent(レポート:海上サイバー攻撃が400%増加)

概 要:(原文)
Cybersecurity consultancy Naval Dome has reported a 400 percent increase in attempted hacks since February 2020. OEM technicians are increasingly making "remote" service calls that require the operator to bypass security protections - creating an opening for a cyberattack. During the first three months of 2020, attacks targeting home workers increased tenfold. Security software company McAfee has reported that that between January and April, cloud-based cyberattacks on all businesses increase by 630 percent.

(オンライン翻訳)
サイバーセキュリティコンサルタント会社のNaval Domeは、2020年2月以降、ハッキングの試みが400%増加したと報告しています。OEM技術者は、オペレーターがセキュリティ保護をバイパスすることを要求する「リモート」サービスコールを行うようになり、サイバー攻撃の可能性が生まれています。 2020年の最初の3か月の間に、在宅労働者を標的とした攻撃は10倍に増加しました。 セキュリティソフトウェア会社のMcAfeeは、1月から4月の間に、すべての企業に対するクラウドベースのサイバー攻撃が630%増加したと報告しています。

掲載元:--

URL:https://www.maritime-executive.com/article/report-maritime-cyberattacks-up-by-400-percent

コメント:

作成者:

掲載日:2020年06月04日