米コンピュータ緊急事態対策チーム(US-CERT:United States Computer Emergency Readiness Team)が、新たに発見されたマルウェア「TYPEFRAME」に関して、ユーザーと管理者に注意を呼び掛けている。これは北朝鮮のハッキンググループ「HIDDEN COBRA」(別名:Lazarus Group)によるものとみられている。
US-CERTが作成したTYPEFRAMEに関する報告書は、「Windows」の実行ファイルや、悪意のある「Visual Basic」マクロが埋め込まれた「Word」文書など、11件のマルウェアを特定している。
「これらのファイルは、マルウェアをダウンロード、インストールし、プロキシとリモートアクセス型トロイの木馬(RAT)をインストールできる。そして、コマンド&コントロール(C&C)サーバに接続して攻撃者からの指示を受け取ったり、ユーザーのファイアウォールを変更して外部からの接続を許可したりできる」と、報告書は述べている。
<マルウェアイメージ>
US-CERTは5月に、HIDDEN COBRAのマルウェア「Joanap」と「Brambul」についてアラートを公開した。これらのマルウェアはメディア、航空宇宙、重要インフラなどの分野の企業から情報収集をする狙いで、2009年以来利用されている。
研究者らは、猛威を振るった「WannaCry」ランサムウェア、バングラデシュ中央銀行からSWIFTを通じて8000万ドル盗みとったサイバー攻撃、そして2014年のSony Pictures Entertainmentのハッキングも、HIDDEN COBRAが背後にいる可能性があるとみている。
TYPEFRAMEは、US-CERTがHIDDEN COBRAグループに関連付けた12番目のマルウェアとなり、ほかにも破壊的影響力のあるマルウェアや、分散型サービス拒否(DDoS)攻撃を仕掛けるツールなどが見つかっている。
US-CERTが2017年12月に発見し、2018年3月に再浮上したマルウェアインプラント「Bankshot」もHIDDEN COBRAによるものとみられている。このRATは、トルコの金融業界を標的に、「Adobe Flash Player」の脆弱性を埋め込んだ悪意のあるWord文書を使って、フィッシング攻撃を仕掛けたとされる。
北朝鮮のハッカーが開発したと考えられているこの脆弱性は、韓国を狙ったゼロデイ攻撃でも悪用されたとみられている。
US-CERTは、TYPEFRAMEに関連したすべての攻撃活動に対する「緩和策の強化を最優先」するよう、管理者とユーザーに呼び掛けている。
記事元
・アンチウィルスのシグネチャやエンジンを最新の状態にアップデートし続ける
・オペレーティングシステムをアップデートし続ける
・ファイル共有およびプリンタ共有機能を無効化する。必要な場合は強力なパスワードの利用またはActive Directory認証を使用する
・不要なアプリケーションをインストールするユーザーの権限を制限する。必要がない限りローカル管理者グループにユーザーを追加しない
・強力なパスワードポリシーを適用するとともに、定期的なパスワードの変更を実施する
・添付ファイルの内容が期待されるである可能性が高い時や、送信者が既知の人物である時であっても、電子メールの添付ファイルを開く時は注意する
・迷惑な接続リクエストを拒否するように設定されたファイアウォールを有効化する
・不要なサービスを無効化する
・スキャンを実施し疑わしい添付ファイルを削除する
・ユーザーのWebブラウジングを監視し、好ましくないコンテンツを含むサイトへのアクセスを規制する
・USBメモリや外部ドライブ、CDなどのリムーバブルメディアを使う時は注意する
・インターネット経由でダウンロードしてきたファイルは実行する前にすべてスキャンする
・最新の脅威に関する情報を常に入手するようにして、適切なACLを実行する
基本的なことを忠実に守りましょうか。
US-CERTが作成したTYPEFRAMEに関する報告書は、「Windows」の実行ファイルや、悪意のある「Visual Basic」マクロが埋め込まれた「Word」文書など、11件のマルウェアを特定している。
「これらのファイルは、マルウェアをダウンロード、インストールし、プロキシとリモートアクセス型トロイの木馬(RAT)をインストールできる。そして、コマンド&コントロール(C&C)サーバに接続して攻撃者からの指示を受け取ったり、ユーザーのファイアウォールを変更して外部からの接続を許可したりできる」と、報告書は述べている。
<マルウェアイメージ>
US-CERTは5月に、HIDDEN COBRAのマルウェア「Joanap」と「Brambul」についてアラートを公開した。これらのマルウェアはメディア、航空宇宙、重要インフラなどの分野の企業から情報収集をする狙いで、2009年以来利用されている。
研究者らは、猛威を振るった「WannaCry」ランサムウェア、バングラデシュ中央銀行からSWIFTを通じて8000万ドル盗みとったサイバー攻撃、そして2014年のSony Pictures Entertainmentのハッキングも、HIDDEN COBRAが背後にいる可能性があるとみている。
TYPEFRAMEは、US-CERTがHIDDEN COBRAグループに関連付けた12番目のマルウェアとなり、ほかにも破壊的影響力のあるマルウェアや、分散型サービス拒否(DDoS)攻撃を仕掛けるツールなどが見つかっている。
US-CERTが2017年12月に発見し、2018年3月に再浮上したマルウェアインプラント「Bankshot」もHIDDEN COBRAによるものとみられている。このRATは、トルコの金融業界を標的に、「Adobe Flash Player」の脆弱性を埋め込んだ悪意のあるWord文書を使って、フィッシング攻撃を仕掛けたとされる。
北朝鮮のハッカーが開発したと考えられているこの脆弱性は、韓国を狙ったゼロデイ攻撃でも悪用されたとみられている。
US-CERTは、TYPEFRAMEに関連したすべての攻撃活動に対する「緩和策の強化を最優先」するよう、管理者とユーザーに呼び掛けている。
記事元
・アンチウィルスのシグネチャやエンジンを最新の状態にアップデートし続ける
・オペレーティングシステムをアップデートし続ける
・ファイル共有およびプリンタ共有機能を無効化する。必要な場合は強力なパスワードの利用またはActive Directory認証を使用する
・不要なアプリケーションをインストールするユーザーの権限を制限する。必要がない限りローカル管理者グループにユーザーを追加しない
・強力なパスワードポリシーを適用するとともに、定期的なパスワードの変更を実施する
・添付ファイルの内容が期待されるである可能性が高い時や、送信者が既知の人物である時であっても、電子メールの添付ファイルを開く時は注意する
・迷惑な接続リクエストを拒否するように設定されたファイアウォールを有効化する
・不要なサービスを無効化する
・スキャンを実施し疑わしい添付ファイルを削除する
・ユーザーのWebブラウジングを監視し、好ましくないコンテンツを含むサイトへのアクセスを規制する
・USBメモリや外部ドライブ、CDなどのリムーバブルメディアを使う時は注意する
・インターネット経由でダウンロードしてきたファイルは実行する前にすべてスキャンする
・最新の脅威に関する情報を常に入手するようにして、適切なACLを実行する
基本的なことを忠実に守りましょうか。
