redcanary.com/threat-detecti…
雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
Threat Huntingではかなり有名なRed Canary社から2021 Threat Detection Reportというドキュメントがリリースされています。これ、不審な動きをみつける技術的な手法について、詳しく書いているので気になる方はぜひダウンロードして読んでみてください / Welcome to the 2021 Threat Detection Report(転載)
redcanary.com/threat-detecti…
BazarCallマルウェアは悪質なコールセンターを利用して被害者を感染させる / BazarCall malware uses malicious call centers to infect victims(転載)
この2ヶ月間、セキュリティ研究者たちは、コールセンターを利用して最も被害の大きいWindows用マルウェアを配布する新しい「BazarCall」マルウェアとのオンラインバトルを繰り広げてきました。
この新しいマルウェアは、1月下旬にコールセンターで配布されていることが発見され、脅威の行為者が当初BazarLoaderマルウェアのインストールに使用していたことから、BazarCall(バザーコール)と名付けられました。
現在は他のマルウェアも配布されていますが、研究者は引き続き配布キャンペーンをBazarCallとしています。
多くのマルウェアキャンペーンと同様に、BazarCallは、フィッシングメールから始まりますが、そこから、マルウェアをインストールする悪意のあるExcelドキュメントを配布するために、電話によるコールセンターを利用するという、斬新な配布方法に逸脱しています。
BazarCallのメールは、添付ファイルをメールに添付するのではなく、ユーザーに電話番号に連絡して、自動的に課金される前に購読をキャンセルするよう促します。そして、これらのコールセンターは、特別に作成されたウェブサイトにユーザーを誘導し、BazarCallのマルウェアをインストールする「解約フォーム」をダウンロードさせます。
フィッシングメールからコールセンターまで
BazarCallの攻撃は、企業ユーザーを対象とした、受信者の無料トライアルがもうすぐ終了するという内容のフィッシングメールから始まります。しかし、これらのメールには、疑わしい購読に関する詳細は一切記載されていません。
そして、以下のBazarCallフィッシングメールの例のように、更新のために69.99ドルから89.99ドルを請求される前に、記載されている電話番号に連絡して購読をキャンセルするようユーザーに促します。
BleepingComputerが確認したメールの大部分は、「Medical reminder service, Inc.」という名前の架空の会社からのものですが、「iMed Service, Inc.」、「Blue Cart Service, Inc.」、「iMers, Inc.」など、他の偽の会社名を使ったメールもあります。
これらのメールは、いずれも "Thank you for using your free trial "や "Your free trial period is almost over!"などの類似した件名を使用しています。セキュリティ研究者のExecuteMalwareは、この攻撃で使用される電子メールの件名のより広範なリストをまとめています。
受信者が記載された電話番号に電話をかけると、短い保留状態になり、その後、生身の人間が出てきます。さらに詳しい情報や解約方法を尋ねられると、コールセンターの担当者は、メールに同封されていた固有の顧客IDを被害者に尋ねます。
Binary Defense社のThreat Hunting & Counterintelligence部門の副社長であるRandy Pargman氏は、BleepingComputerに対し、この固有の顧客IDは攻撃の中核をなすものであり、コールセンターが電話をかけてきた人が標的となる被害者であるかどうかを判断するために使用されると述べています。
"彼らは、電話で有効な顧客番号を伝えると、そのメールを受け取った会社を特定することができます。しかし、間違った番号を伝えた場合、彼らはあなたの注文をキャンセルしたと言うだけで、ウェブサイトに送ることなく、すべてがうまくいくでしょう」と、Pargman氏はBazarCallに関する会話の中でBleepingComputerに語った。
正しい顧客IDが伝えられれば、コールセンターのエージェントは、関連する医療サービス会社のふりをした偽のウェブサイトにユーザーを誘導する。電話担当者は被害者との電話に留まり、以下のように顧客IDを入力するよう促される解約ページに誘導する。
ユーザーがお客様ID番号を入力すると、ウェブサイトは自動的にExcelドキュメント(xlsまたはxlsb)をダウンロードするようブラウザに促します。その後、コールセンターのエージェントは、被害者がファイルを開き、「コンテンツを有効にする」ボタンをクリックして悪意のあるマクロを有効にするよう支援します。
Pargmanが実施したいくつかの通話では、悪意のある文書が検出されないようにウイルス対策を無効にするよう、脅威のある人物から指示されました。
Excelのマクロを有効にすると、BazarCallマルウェアがダウンロードされ、被害者のコンピュータ上で実行されます。
BazarCallキャンペーンが始まった当初は、BazarLoaderマルウェアの配布に使用されていましたが、TrickBot、IcedID、Gozi IFSBなどのマルウェアの配布も始まっています。
これらのWindowsに感染したマルウェアは、感染した企業ネットワークへのリモートアクセスを可能にするため、特に危険です。このようなマルウェアに感染した脅威者は、ネットワーク内を横方向に拡散し、データの窃取やランサムウェアの展開を行います。
脅威者は、BazarLoaderやTrickbotを使用して、RyukやContiといったランサムウェアを展開します。また、IcedIDは過去に、今は亡きMazeやEgregorといったランサムウェアの展開に使用されていました。
セキュリティ研究者のブラッド・ダンカンは、脅威企業のコールセンターに電話をかけ、無防備な被害者に悪意のある文書を配布する様子を説明した動画を公開しています。
Distribution-as-a-Serviceによる展開
BazarLoaderとTrickBot感染症は、同じ「TrickBot」というハッキンググループが作成したものと考えられますが、その他の配布されている感染症は、これらの脅威アクターとは関係ありません。
このことから、パーグマンはBleepingComputerに対し、別の脅威アクターグループがコールセンターを運営し、Distribution-as-a-Serviceとして配布を貸し出していると考えていると述べています。
"私の考えでは、これはサービスとしてのディストロであり、UNC1878はおそらく彼らの顧客であると思います」とPergman氏は説明しています。
この考えは、Cryptolaemus社のセキュリティ研究者であるJoseph Roosen氏も同様で、彼はBleepingComputerに対し、この配信サービスは一般企業と同じように運営されており、月曜日から金曜日までの厳格な営業時間を守っていると述べています。
BleepingComputerでは、過去4日間に渡ってコールセンターに連絡を取ろうと試みましたが、脅威の担い手が使用するインフラが常に変化しているため、成功しませんでした。
Pargman、Roosen、Duncan、CyjaxのWilliam Thomas、TheAnalyst、ExecuteMalwareなどの研究者やその他多くの研究者の努力により、配信サービスは、研究者に取り込まれるたびに、電話番号やホスティングサイトを常に変更することを余儀なくされています。
残念ながら、サイバーセキュリティコミュニティが総力を挙げて取り組んだとしても、この配布方法は非常に成功しています。
このような配布方法のため、マルウェアサンプルは、一般に配布されておらず、アンチウイルスベンダーによって検出されていないため、VirusTotalでの検出率が非常に低くなっています。
さらに、BleepingComputerが確認したメールによると、解約が必要な正規の契約であると信じて、この詐欺に引っかかっている人がいるようです。
クラウドサービス利用で複雑化する事故対応 - 第6回「情報セキュリティ事故対応アワード」開催レポート(転載)
news.mynavi.jp/itsearch/artic…
大分『韓国苑』でバイトテロ!ソフトクリームを直接口に入れ炎上!(転載)
大分県内の焼き肉チェーン店『韓国苑』の従業員が不適切な動画をアップし話題になっています。
過去にも『バイトテロ』は世間を騒がしましたよね。
韓国苑では、厨房のソフトクリーム機から直接口にアイスを入れて遊ぶ従業員が炎上!
コロナで衛生管理が問われる時に、信じられない映像が出回ったようです。
大分県内の焼き肉チェーン店として知られる『韓国苑』の別府店が問題の店舗のようです。
そこで働く従業員とみられる若者が、ソフトクリームを機械から直接口に入れて遊ぶ様子を映した動画をTIKTOKにアップ。
これが、SNSを通して瞬く間に広がり、不適切だと大炎上を起こしました。
『スイパラ(スイーツパラダイス)』だと比喩し、厨房のアイスや生クリームを直接口に入れて遊んでいたようです。
コロナ禍で感染対策が騒がれている飲食店において、このような動画は不快にもなるし同じチェーンの他のお店にも行きたくなくなりますよね。
この炎上を受けて、『韓国苑』を運営する大心産業は謝罪文をホームページに掲載。
従業員の4人は全員20代の若者で、懲戒解雇したうえで厳粛な対応を進めると述べました。
OSINT道場の紹介 / Becoming an OSINT Shogun – introducing Sinwindie and the OSINT Dojo(転載)
今回は、オンラインOSINTコミュニティで最も多くの貢献をしているエキスパートであり、公認サイバー犯罪捜査官であり、元インターポールのアナリストであり、OSINT道場の運営者でもある、唯一無二の存在、Sinwindie氏を紹介したいと思います。
OSINTのゲーミフィケーションが、新人アナリストの参加と協力を促し、皆さんのOSINTの旅の成長を楽しみにしています。
ではまず最初に、あなたの経歴と、なぜOSINTコミュニティに関わっているのかを教えてください。
皆さん、こんにちは。
ご質問にお答えしますと、私の学部の学位は、貴重なスキルを教えてくれましたが、私がキャリアとしてやりたいことではありませんでした。
私は、学校に戻って情報分析を中心とした修士課程に進むことにしました。最初の仕事は「オールソース」、つまりOSINTや他の-INTから情報を得て、それらを合成して情報製品を作るというものでした。
その後、法執行機関での諜報活動に従事するようになり、帰属情報を得るためのOSINTを専門に扱うようになりました。OSINT、そして一般的なインテリジェンスは、私にとって常に「追跡」を目的としています。自分の仕事が、他人に危害を加えている人物の特定や居場所の発見に貢献したという実感を味わうことができます。
また、OSINTは公共部門以外の多くのキャリアに応用できるスキルなので、他の人が学ぶのを助け、共有するという側面も楽しんでいます。OSINTは、公共部門以外でも多くのキャリアに応用できるスキルですからね。
OSINT Dojoについて教えてください。それが何であるかだけでなく、このアイデアの背後にある動機についても教えてください。どのように機能するのか、なぜ人々は参加すべきなのか?
この道場のアイデアは、"OSINTを始めるにはどうしたらいいですか?""OSINTの仕事に就くには何が必要ですか?"など、同じ質問のバリエーションを定期的に受けていた数ヶ月後に思いついたものです。
私は、新しいアナリストが仕事を始められるように、非常に緩やかなロードマップを作成することにしました。このロードマップのステップをゲーム化することで、ユーザーに次のレベルへの挑戦を促し、その過程で自分の仕事を共有してもらいたいと考えました。
ここでの考え方は、OSINT道場のいくつかのステージを完了するまでに、記事やビデオの小さなポートフォリオと、OSINTアナリストとしてのスキルを示すいくつかの実践的なOSINTの経験を持つべきだということです。
さらに、デジタルバッジを自慢したくない人はいないでしょう。 最後に、新しく始める人にお勧めのリソースや、一般的な学習曲線などを紹介します。常に基本的なことから始めましょう。ツールが使えなくなっても、方法論があれば、たとえ手作業であっても正しい方向に進むことができます。
情報サイクルは、新しいユーザーが最初に熟知すべきことの一つであり、基本的な文書作成と時間管理のスキルはその次です。OSINTは、単にすべての情報を収集するだけではなく、情報を統合して簡潔に伝える能力も必要です。
私はいつも、公開されている過去のインテリジェンスレポートを見て、最終的な製品のイメージをつかむことをお勧めしています。
OSINT Dojoは設立何年目ですか?
OSINT道場が正式にオープンしたのは2020年11月20日ですから、今はちょうど4ヶ月くらいですね。
OSINT Dojoのコミュニティには何人のアクティブな参加者がいますか?DiscordやTwitterなど、どこで見つけるのがベストでしょうか?
これは良い質問ですが、私自身もよく分かっていません。当サイトではトラッキングクッキーなどを利用していませんので、どれくらいの訪問者があるのかはわかりません。
現時点では、少なくとも1つのバッジを獲得したユーザーが9人おり、2つ以上のバッジを獲得したユーザーも数人います。とはいえ、ウィークリーチャレンジなどに参加しているユーザーの中には、最初のバッジ獲得に向けて積極的に取り組んでいる人や、バッジ自体には興味がなくても参加している人もたくさんいます。
どこで彼らを見つけるかについては、本当に様々です。OSINT道場はプラットフォームに依存しないため、Discord、Slack、Twitter、Youtubeなど、あらゆるプラットフォームの他のコミュニティでユーザーを見つけることができます。私たちの使命は、OSINTアナリストのための中央プラットフォームを提供することではなく、代わりに、彼らがすでに属しているコミュニティでの共有とコラボレーションを奨励するための報酬システムを提供することです。
OSINT道場がどのように人々を助け、可能にし、力を与えたのか、これまでの成功例はありますか?
私に声をかけてくれた人たちの逸話をいくつか紹介します。
私のところには、ユーザーからの一般的なメッセージがたくさん届いています。これらの情報やリソースは、新しいスキルやテクニックを学ぶのに役立ち、感謝の意を表しています。
また、チャレンジをしたり、資料集を見たりして学んだスキルを現在の仕事に活かし、上司や同僚から褒められたり、注目されたりしたというメッセージをいただいたこともあります。
私が本当に喜ぶのは、Dojoで制作した作品をポートフォリオとして応募して就職できた学生からのメッセージを受け取ることです。
OSINT道場は、ランクとバッジが命です。ランクアップすると、デジタルバッジや証明書、あるいはその両方がもらえるのでしょうか?
ランクアップしたユーザーや、OSINT道場のTryHackMeルームなどの特別なチャレンジを達成したユーザーには、達成したことを示すデジタルバッジが贈られます。
現時点では、証明書を発行する予定はありませんが、将来的にはそのような選択肢を検討しないわけではありません。
ランク構成と各ランクの条件はこちらでご確認ください。
OSINT道場のトップランクになった人はいますか?
まだです。現在、最高ランクのユーザーはRoninレベルにいます。駆け足にならないように、それぞれのレベルに最低限度の時間を設けています。
学生から将軍になるまでには、最低でも13ヶ月の期間が必要です。私たちが大切にしているのは、「目的地」ではなく「旅」です。
OSINT Dojo構想の今後の予定を教えてください。
今、私たちは、OSINTの基本的なテクニックやツール、方法論をカバーする短いビデオをYouTubeにアップしようとしています。
私は視覚的に学ぶタイプなので、昔から学習用のビデオが好きなんです。また、まもなく公開される最初のTryHackMeルームには、完了した人にはデジタルバッジも付いてきます。
興味に応じて、今後も難易度の異なるOSINTルームを増やしていくかもしれません。
あなたがここにいる間に、どのようなOSINTリソースやツールをお勧めしますか?また、初心者だけでなく、すでにOSINTに携わっている人にもお勧めですか?
効果的な仕事をするためには、私たちは常に学び続ける必要があります。私がキャリア初期に多用したツールやテクニックの中には、もう何年も前に枯れてしまったものもあります。
OSINTやSOCMINTの世界は動きが速いので、ツールやプラットフォームに関わらず、すべての卵を一つのカゴに入れないようにしてください。もし気に入ったツールがあったとしても、それを深く理解し、どのように機能するのか、あるいは再現できるかどうかを確認してください。
ツールがどのように機能するのかを知っておくことは、元のツールが撤去されたり、故障したりして複製が必要になった場合に非常に重要です。
PS. Sinwindieは、OSINTツールや学習教材について語るとき、控えめになりすぎていました。彼のOSINT道場には、それらの素晴らしいリストがあります。
ダークウェブ検索エンジンのリスト:まずTORブラウザをダウンロードする必要があります。 / Dark Web Search Engines You should download the TOR Browser first before you can access sites hosted on the TOR network.(転載)~ダークウェブへのアクセスは自己責任で!~
Dark Web Search Engines
You should download the TOR Browser first before you can access sites hosted on the TOR network.
https://osint.link/#dark
#darkweb #OSINT #searching
[OSINT]ゴーン元会長逃亡事件 “極秘”捜査資料がネットに?(転載)~閉鎖的な日本の司法に対して、米国はPACERでオープンに!!~
『このサイトは、20年前から運用が始まり、連邦裁判所で開かれる裁判に提出された書類や証拠の多くが、電子記録として保管され、アカウントを登録すれば、誰でも閲覧しコピーもできるという。』
www3.nhk.or.jp/news/html/2021…
大手化粧品メーカーPierre Fabre社が2500万ドルのランサムウェア攻撃を受ける / Leading cosmetics group Pierre Fabre hit with $25 million ransomware attack(転載)
Leading cosmetics group Pierre Fabre hit with $25 million ransomware attack
フランスの大手製薬会社Pierre FabreがREvilランサムウェアの攻撃を受け、当初は2500万ドルの身代金を要求されていたことがBleepingComputerの調べでわかりました。
ピエール・ファーブルは、フランスで2番目に大きい製薬グループであり、世界で2番目に大きい皮膚化粧品研究所でもあります。全世界に10,000人以上の従業員を擁するPierre Fabre社は、化学療法薬からスキンケア製品まで、さまざまな製品を開発しています。
先日、Pierre Fabre社は、3月31日にサイバー攻撃を受けたが、24時間以内に制御したと発表した。
しかし、Pierre Fabre社によると、感染拡大を食い止めるためには、ほとんどの生産活動を段階的かつ一時的に停止しなければならなかったそうです。
"念のため、リスク管理計画に沿って、グループの情報システムを直ちに待機モードにして、ウイルスの拡散を抑制しました。"
"これにより、ほとんどの生産活動が段階的かつ一時的に停止しました(医薬品や化粧品の有効成分を製造しているガイアック(フランス・タルン県)の生産施設を除く)」とPierre Fabre社は開示しています。
当時、Pierre Fabre社は、どのような種類のサイバー攻撃を受けたのかを明らかにしていませんでした。
ピエール・ファーブル、ランサムウェア「REvil」の攻撃を受ける
その後、BleepingComputer社は、Pierre FabreがREvil/Sodinokibiと呼ばれるハッキンググループによるランサムウェア攻撃を受けたことを確認しました。
REvilは、ランサムウェア・アズ・ア・サービス(Ransomware-as-a-Service)と呼ばれるもので、コアとなるマルウェアの開発者がアフィリエイトを募り、企業のネットワークを侵害して暗号化されていないデータを盗み出し、デバイスを暗号化します。身代金が支払われた場合、コアとなる開発者とアフィリエイトは、合意された比率で支払いを分割しますが、通常はアフィリエイトがより多くのシェアを獲得します。
この攻撃に関する詳細はまだわかっていませんが、BleepingComputerは最近、Pierre Fabreランサムウェアの攻撃で使用されたとされるREvil Torの支払いページのリンクを受け取りました。
このTorの支払いページでは、ランサムウェア・ギャングが2,500万ドルの身代金を要求しています。犠牲者からの連絡がなく、制限時間が過ぎたため、REvilの身代金は2倍の5,000万ドルになりました。
この支払いページには、被害者が誰であるかは示されていませんが、サイトのチャット画面には、Pierre Fabreのデータを今から奪うという脅威の行為者からのメッセージが表示されています。このメッセージは、企業を脅して身代金を支払わせるためのものです。
このリンクは、現在隠されているPierre FabreのREvilデータリークページにつながっており、そこには盗まれたとされるパスポート、会社の連絡先リスト、政府の身分証明書、移民書類の画像が含まれている。
REvilはこの1ヶ月間、大企業へのサイバー攻撃を繰り返し、とんでもない高額な身代金を要求してきました。これらの攻撃には、5,000万ドルを要求したAcerや、2,400万ドルを要求したAsteelflashなどが含まれます。