2021年8月20日
<<報道資料>>
ソフォス株式会社
ソフォス、Telegramを利用してクリプトマイニングと暗号通貨窃取機能をインストールする「Raccoon Stealer」のまん延に関する調査結果を発表
~ランサムウェアなどの悪意のあるコンテンツとセットでターゲットに配信される情報窃取ツール~
※本資料は2021年8月3日(現地時間)に英国オックスフォードにて発表されたプレスリリースの抄訳です。
次世代サイバーセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、「Trash Panda as a Service: Raccoon Stealer Steals Cookies, Cryptocoins and More (Cookie、暗号通貨などを盗み出す MaaS 「Raccoon Stealer」)」と題する調査報告書(https://news.sophos.com/ja-jp/2021/08/12/trash-panda-as-a-service-raccoon-stealer-steals-cookies-cryptocoins-and-more-jp/)を公開しました。この調査報告書では、海賊版ソフトウェアを装ったデータ窃取ツールが、どのような方法でクリプトマイナーなどの悪意のあるコンテンツを標的システムに配布し、暗号通貨や情報を盗み出すのかを詳細に解説しています。
ソフォスの上級脅威リサーチャーである Sean Gallagher は、次のように述べています。 「日常生活や仕事の大部分は、Webブラウザから提供されるサービスに依存しています。このような中、情報窃取マルウェアのオペレーターが狙っているのは保存されているWeb認証情報です。Web認証情報を入手すれば、パスワードハッシュだけではアクセスできない数多くのデータにアクセスできるようになるからです。当社が調査をしている攻撃活動では、Raccoon Stealerによってパスワード、Cookie、Webサイトのオートフィル・テキストが窃取されていました。盗まれたデータには、ブラウザに保存されていたクレジットカード情報などの個人情報も含まれます。また、『クリッパー』が最近アップデートされ、暗号通貨取引のクリップボードや宛先情報が変更されたことで、Raccoon Stealerは暗号通貨ウォレットも標的にするようになっています。また、感染したシステム上でのファイル(別のマルウェアなど)の検索やロードが可能です。サイバー犯罪者は、これらのデータを週75ドルで「貸し出し」するサービスなどを通じて、簡単にデータを収益化することができます」
Raccoon Stealerは通常、スパムメールによって拡散されます。しかし、ソフォスが調査したキャンペーンでは、クラッキングされたソフトウェアのインストーラーに見せかけたドロッパーが拡散経路となっています。このドロッパーは、悪意のあるブラウザ拡張機能、YouTubeのクリック詐欺ボット、Djvu/Stop(ホームユーザーを主な標的とするランサムウェア)など、追加の攻撃ツールをRaccoon Stealerにバンドルしています。
今回のRaccoon Stealer攻撃活動のオペレーターは、C&C 通信に初めてTelegramチャットサービスを使用した、とソフォスのリサーチャーは報告しています。
また、Gallagherは次のように述べています。「情報窃取ツールは、サイバー犯罪エコシステムの中で重要な役割を果たしています。短期間での投資回収が可能であり、大規模な攻撃につながる安価なエントリーポイントでもあります。サイバー犯罪者の多くは、盗んだ個人情報を『ダークマーケット』で販売します。そのため、そうした情報を購入したランサムウェア・オペレーターや初期アクセスブローカーなどによる攻撃によって、職場のチャットサービス経由で企業ネットワークに侵入するなどの犯罪が行われています。また、攻撃者は、同じプラットフォーム上の他のユーザーを標的とする攻撃にも認証情報を利用します。盗まれたユーザー認証情報には常に需要があります。中でも需要が高いのは、より多くのマルウェアをホストしたり拡散したりするために利用できる、正規サービスへのアクセスを提供する認証情報です。情報窃取ツールは、それほど大きな脅威ではないように思われていますが、実際は異なります」
そこでソフォスでは、社内のチャットやコラボレーション用オンラインサービスを利用している組織に向けて、多要素認証(MFA)を使用して従業員のアカウントを保護し、業務用リモートサービスにアクセスする全コンピュータに最新のマルウェア対策を導入することを推奨しています。
Sophos Intercept X(https://www.sophos.com/ja-jp/products/endpoint-antivirus.aspx)は、メモリ内の不審なアクティビティをスキャンしたり、ファイルレス・マルウェアから保護したりするなど、Raccoon Stealerをはじめとするマルウェアの動作と挙動を検知してユーザーを保護します。
ソフォスは、一般ユーザーがマルウェアやサイバー脅威から身を守るために、本人や家族がオンラインコミュニケーションやゲームに使用しているデバイスにSophos Home(https://home.sophos.com/ja-jp.aspx)などのセキュリティソリューションをインストールすることを推奨しています。また、いかなるソースのものであっても、ライセンスを受けていないソフトウェアのダウンロードやインストールはしないことがセキュリティ上望ましいです。必ず最初に正規のソフトウェアであることを確認する必要があります。
Raccoon Stealerなどのサイバー脅威に関する詳しい情報は、SophosLabs Uncut(https://news.sophos.com/en-us/category/sophoslabs/sophoslabs-uncut/)をご覧ください。
●その他の参考資料
・ランサムウェアの種類に応じたTTP(戦術、手法、手順)などの情報は、ソフォスの最新の脅威インテリジェンスを提供するSophosLabs Uncutに掲載されています。
https://news.sophos.com/en-us/category/sophoslabs/sophoslabs-uncut/
・攻撃者の挙動に関する情報、インシデントレポート、セキュリティ業務担当者に向けたアドバイスは、Sophos News SecOpsに掲載されています。
https://news.sophos.com/en-us/
・攻撃者の存在を示す5つの早期指標(英語)の記事は、ランサムウェア攻撃の阻止に役立ちます。
https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked
・攻撃の阻止、無力化、調査を24時間365日体制で行うソフォスのRapid Responseサービスの詳細をご覧ください。
https://www.sophos.com/ja-jp/products/managed-threat-response/rapid-response.aspx
・Sophos Rapid ResponseとManaged Threat Response Teamがお届けする「インシデント対応の専門家からの重要な4つのヒント」をご覧ください。
https://secure2.sophos.com/ja-jp/security-news-trends/whitepapers/four-key-tips-from-incident-response-experts.aspx
・受賞歴のあるソフォスのニュースサイトNaked Security(https://nakedsecurity.sophos.com/)とSophos News(https://news.sophos.com/)で最新のセキュリティニュースとソフォスの解説をご覧ください。
・Twitter、LinkedIn、Facebook、Spiceworks、YouTube でソフォスの最新情報をご覧ください。
●ソフォスについて
ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント(ラップトップ、サーバー、モバイルデバイス)とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ(Synchronized Security)システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR(Managed Threat Response)などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー(MSP)からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
<<報道資料>>
ソフォス株式会社
ソフォス、Telegramを利用してクリプトマイニングと暗号通貨窃取機能をインストールする「Raccoon Stealer」のまん延に関する調査結果を発表
~ランサムウェアなどの悪意のあるコンテンツとセットでターゲットに配信される情報窃取ツール~
※本資料は2021年8月3日(現地時間)に英国オックスフォードにて発表されたプレスリリースの抄訳です。
次世代サイバーセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、「Trash Panda as a Service: Raccoon Stealer Steals Cookies, Cryptocoins and More (Cookie、暗号通貨などを盗み出す MaaS 「Raccoon Stealer」)」と題する調査報告書(https://news.sophos.com/ja-jp/2021/08/12/trash-panda-as-a-service-raccoon-stealer-steals-cookies-cryptocoins-and-more-jp/)を公開しました。この調査報告書では、海賊版ソフトウェアを装ったデータ窃取ツールが、どのような方法でクリプトマイナーなどの悪意のあるコンテンツを標的システムに配布し、暗号通貨や情報を盗み出すのかを詳細に解説しています。
ソフォスの上級脅威リサーチャーである Sean Gallagher は、次のように述べています。 「日常生活や仕事の大部分は、Webブラウザから提供されるサービスに依存しています。このような中、情報窃取マルウェアのオペレーターが狙っているのは保存されているWeb認証情報です。Web認証情報を入手すれば、パスワードハッシュだけではアクセスできない数多くのデータにアクセスできるようになるからです。当社が調査をしている攻撃活動では、Raccoon Stealerによってパスワード、Cookie、Webサイトのオートフィル・テキストが窃取されていました。盗まれたデータには、ブラウザに保存されていたクレジットカード情報などの個人情報も含まれます。また、『クリッパー』が最近アップデートされ、暗号通貨取引のクリップボードや宛先情報が変更されたことで、Raccoon Stealerは暗号通貨ウォレットも標的にするようになっています。また、感染したシステム上でのファイル(別のマルウェアなど)の検索やロードが可能です。サイバー犯罪者は、これらのデータを週75ドルで「貸し出し」するサービスなどを通じて、簡単にデータを収益化することができます」
Raccoon Stealerは通常、スパムメールによって拡散されます。しかし、ソフォスが調査したキャンペーンでは、クラッキングされたソフトウェアのインストーラーに見せかけたドロッパーが拡散経路となっています。このドロッパーは、悪意のあるブラウザ拡張機能、YouTubeのクリック詐欺ボット、Djvu/Stop(ホームユーザーを主な標的とするランサムウェア)など、追加の攻撃ツールをRaccoon Stealerにバンドルしています。
今回のRaccoon Stealer攻撃活動のオペレーターは、C&C 通信に初めてTelegramチャットサービスを使用した、とソフォスのリサーチャーは報告しています。
また、Gallagherは次のように述べています。「情報窃取ツールは、サイバー犯罪エコシステムの中で重要な役割を果たしています。短期間での投資回収が可能であり、大規模な攻撃につながる安価なエントリーポイントでもあります。サイバー犯罪者の多くは、盗んだ個人情報を『ダークマーケット』で販売します。そのため、そうした情報を購入したランサムウェア・オペレーターや初期アクセスブローカーなどによる攻撃によって、職場のチャットサービス経由で企業ネットワークに侵入するなどの犯罪が行われています。また、攻撃者は、同じプラットフォーム上の他のユーザーを標的とする攻撃にも認証情報を利用します。盗まれたユーザー認証情報には常に需要があります。中でも需要が高いのは、より多くのマルウェアをホストしたり拡散したりするために利用できる、正規サービスへのアクセスを提供する認証情報です。情報窃取ツールは、それほど大きな脅威ではないように思われていますが、実際は異なります」
そこでソフォスでは、社内のチャットやコラボレーション用オンラインサービスを利用している組織に向けて、多要素認証(MFA)を使用して従業員のアカウントを保護し、業務用リモートサービスにアクセスする全コンピュータに最新のマルウェア対策を導入することを推奨しています。
Sophos Intercept X(https://www.sophos.com/ja-jp/products/endpoint-antivirus.aspx)は、メモリ内の不審なアクティビティをスキャンしたり、ファイルレス・マルウェアから保護したりするなど、Raccoon Stealerをはじめとするマルウェアの動作と挙動を検知してユーザーを保護します。
ソフォスは、一般ユーザーがマルウェアやサイバー脅威から身を守るために、本人や家族がオンラインコミュニケーションやゲームに使用しているデバイスにSophos Home(https://home.sophos.com/ja-jp.aspx)などのセキュリティソリューションをインストールすることを推奨しています。また、いかなるソースのものであっても、ライセンスを受けていないソフトウェアのダウンロードやインストールはしないことがセキュリティ上望ましいです。必ず最初に正規のソフトウェアであることを確認する必要があります。
Raccoon Stealerなどのサイバー脅威に関する詳しい情報は、SophosLabs Uncut(https://news.sophos.com/en-us/category/sophoslabs/sophoslabs-uncut/)をご覧ください。
●その他の参考資料
・ランサムウェアの種類に応じたTTP(戦術、手法、手順)などの情報は、ソフォスの最新の脅威インテリジェンスを提供するSophosLabs Uncutに掲載されています。
https://news.sophos.com/en-us/category/sophoslabs/sophoslabs-uncut/
・攻撃者の挙動に関する情報、インシデントレポート、セキュリティ業務担当者に向けたアドバイスは、Sophos News SecOpsに掲載されています。
https://news.sophos.com/en-us/
・攻撃者の存在を示す5つの早期指標(英語)の記事は、ランサムウェア攻撃の阻止に役立ちます。
https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked
・攻撃の阻止、無力化、調査を24時間365日体制で行うソフォスのRapid Responseサービスの詳細をご覧ください。
https://www.sophos.com/ja-jp/products/managed-threat-response/rapid-response.aspx
・Sophos Rapid ResponseとManaged Threat Response Teamがお届けする「インシデント対応の専門家からの重要な4つのヒント」をご覧ください。
https://secure2.sophos.com/ja-jp/security-news-trends/whitepapers/four-key-tips-from-incident-response-experts.aspx
・受賞歴のあるソフォスのニュースサイトNaked Security(https://nakedsecurity.sophos.com/)とSophos News(https://news.sophos.com/)で最新のセキュリティニュースとソフォスの解説をご覧ください。
・Twitter、LinkedIn、Facebook、Spiceworks、YouTube でソフォスの最新情報をご覧ください。
●ソフォスについて
ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント(ラップトップ、サーバー、モバイルデバイス)とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ(Synchronized Security)システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR(Managed Threat Response)などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー(MSP)からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上