ソフォス、セキュリティを迂回するためにAgent Teslaが使用している新たな配信および回避手法を発見
- 2021年02月16日 14:00:00
- マネー
- Dream News
<<報道資料>>
ソフォス株式会社
ソフォス、セキュリティを迂回するためにAgent Teslaが使用している新たな配信および回避手法を発見
※本資料は2021年2月2日(現地時間)に英国オックスフォードにて発表されたプレスリリースの抄訳です。
ネットワークおよびエンドポイントセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、「さまざまな情報窃取で利用されるトロイの木馬型マルウェア Agent Tesla」と題する新しい調査レポート(https://news.sophos.com/ja-jp/2021/02/11/agent-tesla-amps-up-information-stealing-attacks-jp/ )を公開しました。このレポートでは、攻撃者がマルウェアを配信し、ペイロードをインストールして実行する前に、エンドポイントプロテクションを無効にするために使用している新たな回避手法について詳述しています。
この手法では、多段階のプロセスが採用されています。 .NETダウンローダーがPastebinやHastebinなどの正規のサードパーティWebサイトで目立たないようにホスティングされているマルウェアの各部を取得し、それらの各部を結合、デコード、復号化して悪意のあるペイロードを配信するローダーを作成します。
同時に、このマルウェアは、マイクロソフトのAnti-Malware Software Interface(AMSI)(アプリケーションやサービスをインストールされているセキュリティ製品と統合するWindowsの機能)のコードを変更します。これにより、AMSIが有効になっているエンドポイントセキュリティプロテクションが機能しなくなり、ペイロードがブロックされることなくダウンロード、インストール、実行されます。
Agent Teslaは、2014年から情報窃取を目的に広く利用されているリモートアクセスツール(RAT)です。この作成者は、ダークウェブフォーラムでこのRATを広告・販売しており、常に更新しています。攻撃者は一般的に、添付ファイルのある悪意のあるスパムメールを介してこのマルウェアを配信します。
ソフォスは、今回、現在実環境で利用されている2つのバージョンのAgent Teslaについて詳しく調査しました。どちらのバージョンも最近アップデートされており、Webブラウザ、電子メールクライアント、仮想プライベートネットワーククライアント、ユーザー名やパスワードを保存するソフトウェアなど、認証情報を盗み出す対象のアプリケーションを増やしています。また、キーボードの入力内容を取得する、あるいは、スクリーンショットを記録する機能も備えています。
2つのバージョンの違いから、攻撃者が検出を回避するためにいくつもの回避手法と難読化を採用し、どのようにRATを進化させてきたのかが明らかになりました。これらのバージョンには、匿名ネットワーククライアントのTorをインストールして使用するオプションや、コマンドおよびコントロール(C2)と通信するTelegramメッセージングAPIを使用するオプション、MicrosoftのAMSIをターゲットにするオプションが含まれています。
ソフォスのシニアセキュリティリサーチャーであるSean Gallagherは次のように述べています。「Agent Teslaマルウェアは7年以上も活動していますが、Windowsユーザーが最も影響を受けやすい脅威の1つであることに変わりはありません。2020年に電子メールで配信されたマルウェアの中でも上位にランクインしています。12月には、ソフォスのスキャナーで傍受された悪意のある電子メールの添付ファイル攻撃の約20%をAgent Teslaのペイロードが占めていました。さまざまな攻撃者がこのマルウェアを使用して、スクリーンショット、キーボードの入力内容、クリップボードのデータなど取得して、標的とするユーザーの認証情報などを盗み出しています」
「Agent Teslaの最も一般的な配信方法は悪意のあるスパムであり、この電子メールによる攻撃については、サイバー犯罪グループのRATicateに関する調査レポート(https://news.sophos.com/en-us/2020/05/14/raticate/ )でも詳しく説明しています。このサイバー犯罪者は、エンドポイントや電子メールプロテクションツールを回避できるようにマルウェアを今後も更新し続けるとソフォスは考えています。Agent Teslaを拡散するために使用されている電子メールアカウントは、多くの場合、正規のアカウントのセキュリティが侵害されたものです。組織でも個人でも、不明な送信者からの電子メールに添付されているファイルには常に注意し、十分に確認してから開くようにする必要があります」
●電子メールのセキュリティの確保するためのIT管理者向けの推奨事項チェックリスト
・ ユーザーに配信される前に、不審な電子メールや添付ファイルをスクリーニング、検出、ブロックすることができるインテリジェントなセキュリティソリューションをインストールします。
・効果の高い検証方法を導入し、電子メールがサイバー犯罪者から送信されたものでないことを確認します。
・従業員のセキュリティ意識をトレーニングにより向上し、不審な電子メールの兆候を見極め、配信された場合の対処法
を習得させます。
・電子メールのアドレスと差出人の正当性を二重に確認するようにユーザーに注意を促します。
・不明な送信者からのメールに添付されているファイルを開いたり、リンクをクリックしたりしないようにユーザーに注意を促します。
ソフォスのエンドポイントプロテクションであるIntercept X(https://www.sophos.com/ja-jp/products/endpoint-antivirus.aspx )は、機械学習とTroj/Tesla-BEとTroj/Tesla-AWのシグネチャを使用して、Agent TeslaのインストーラーマルウェアとRATを検出します。
Agent Teslaのセキュリティ侵害の痕跡(IoC)は、SophosLabsのGitHubのページ(https://github.com/sophoslabs )を参照してください。
Agent Teslaやその他のサイバー脅威に関する詳細は、SophosLabs Uncutを参照してください。 SophosLabs Uncutでは、ソフォスの研究者が最新の調査結果や重要な情報を定期的に公開しています。サイバーセキュリティの脅威を研究されている方は、Twitterの@SophosLabsをフォローして、リアルタイムでSophosLabs Uncut(https://news.sophos.com/en-us/category/sophoslabs/sophoslabs-uncut/ )の情報を参照いただけます。
●その他の参考資料
・ ソフォス製品が「AIを利用して電子メールのセキュリティを向上している方法」(https://news.sophos.com/ja-jp/2020/12/20/protecting-your-inbox-from-phishing-impersonation-jp/ )をご確認ください。
・2021年版ソフォス脅威レポートの全文は、https://www.sophos.com/ja-jp/medialibrary/PDFs/technical-papers/sophos-2021-threat-report.pdf でご覧いただけます。
・Sophos Rapid ResponseとSophos Managed Threat Responseが1500万ドル相当のランサムウェア攻撃をブロックした方法(https://news.sophos.com/en-us/2020/09/22/mtr-casebook-blocking-a-15-million-maze-ransomware-attack/ )をご覧ください。
・リアルタイムに攻撃を停止するソフォスの新しいRapid Responseサービスの詳細(https://www.sophos.com/ja-jp/press-office/press-releases/2020/10/sophos-launches-rapid-response-service-to-identify-and-neutralize-active-cybersecurity-attacks.aspx )をご確認ください。
●ソフォスについて
ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント(ラップトップ、サーバー、モバイルデバイス)とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ(Synchronized Security)システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR(Managed Threat Response)などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー(MSP)からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
配信元企業:ソフォス株式会社
プレスリリース詳細へ
ドリームニューストップへ
TikTokを賑わす「フエラムネごめんなサイダー味」がセブンイレブンで再販!じゅるるマスカットも買うなら今!
横浜市教委 教員による児童への性犯罪公判で職員動員、一般傍聴妨害
元AKB48西野未姫が妊娠発表 22年11月に極楽とんぼの山本圭壱と結婚
本田真凜さん「お腹いっぱいになったことない」“大食い”と明かすも「1食で4キロ太った」
【楽天】23安打21失点「福岡の悲劇」 20失点以上は05年3月27日ロッテ戦以来2度目
本田真凜さん「引退が決まって一番初めにしたことが…」生粋の“マヨラー”ぶりを明かす
北大病院医師を逮捕 女子中学生への不同意性交等の容疑で
【データ】ソフトバンク今季12球団最多21得点 球団最多は03年ダイエー時代の29得点
【日本ハム】4試合ぶり白星 水野達稀2号2ランで勝ち越し 山崎福也は古巣斬りでパ6球団制覇
テレ朝「Destiny」第7話放送前に石原さとみ&曽田陵介の横浜地検2S披露「自撮りしちゃうほど楽しい」
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
大谷翔平が不運な判定で2度見逃し三振 「えん罪退場」で話題の球審は引き揚げる大谷にブチギレ
TikTokを賑わす「フエラムネごめんなサイダー味」がセブンイレブンで再販!じゅるるマスカットも買うなら今!
吉野家が「マスク外し強要疑惑」でプチ炎上、店員さんに聞いてみると……
元めちゃイケメンバーの三中元克(32)現在は何をしているのか調べてみた!
マンション刺殺、被害者は19歳大学生の女性 大阪・枚方
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
藤田ニコル「脱ぐ予定なかったのですが気づいたらノリノリで…」ヒョウ柄水着姿に大反響
【2024年最新】自動車税・固定資産税の1番お得な支払い方法!スマホ決済8選を徹底比較
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
ヒカル、浮気相手とのLINE流出にドン引きの声「キモすぎる」「吐きそう」
元めちゃイケメンバーの三中元克(32)現在は何をしているのか調べてみた!
ガーシー、またも綾野剛の暴露写真でネット歓喜「この写真見て笑っちゃう」
完全にダマされた! 『ラヴィット!』あのちゃん“事故レベル”大暴走は『水ダウ』遠隔操作のしわざだった ネットも納得
大谷翔平が不運な判定で2度見逃し三振 「えん罪退場」で話題の球審は引き揚げる大谷にブチギレ
TikTokを賑わす「フエラムネごめんなサイダー味」がセブンイレブンで再販!じゅるるマスカットも買うなら今!
TikTokを賑わす「フエラムネごめんなサイダー味」がセブンイレブンで再販!じゅるるマスカットも買うなら今!
横浜市教委 教員による児童への性犯罪公判で職員動員、一般傍聴妨害
元AKB48西野未姫が妊娠発表 22年11月に極楽とんぼの山本圭壱と結婚
本田真凜さん「お腹いっぱいになったことない」“大食い”と明かすも「1食で4キロ太った」
【楽天】23安打21失点「福岡の悲劇」 20失点以上は05年3月27日ロッテ戦以来2度目
本田真凜さん「引退が決まって一番初めにしたことが…」生粋の“マヨラー”ぶりを明かす
北大病院医師を逮捕 女子中学生への不同意性交等の容疑で
【データ】ソフトバンク今季12球団最多21得点 球団最多は03年ダイエー時代の29得点
【日本ハム】4試合ぶり白星 水野達稀2号2ランで勝ち越し 山崎福也は古巣斬りでパ6球団制覇
テレ朝「Destiny」第7話放送前に石原さとみ&曽田陵介の横浜地検2S披露「自撮りしちゃうほど楽しい」