ネットワークおよびエンドポイントセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、「さまざまな情報窃取で利用されるトロイの木馬型マルウェア Agent Tesla」と題する新しい調査レポートを公開しました。このレポートでは、攻撃者がマルウェアを配信し、ペイロードをインストールして実行する前に、エンドポイントプロテクションを無効にするために使用している新たな回避手法について詳述しています。
この手法では、多段階のプロセスが採用されています。 .NETダウンローダーがPastebinやHastebinなどの正規のサードパーティWebサイトで目立たないようにホスティングされているマルウェアの各部を取得し、それらの各部を結合、デコード、復号化して悪意のあるペイロードを配信するローダーを作成します。
同時に、このマルウェアは、マイクロソフトのAnti-Malware Software Interface(AMSI)(アプリケーションやサービスをインストールされているセキュリティ製品と統合するWindowsの機能)のコードを変更します。これにより、AMSIが有効になっているエンドポイントセキュリティプロテクションが機能しなくなり、ペイロードがブロックされることなくダウンロード、インストール、実行されます。
Agent Teslaは、2014年から情報窃取を目的に広く利用されているリモートアクセスツール(RAT)です。この作成者は、ダークウェブフォーラムでこのRATを広告・販売しており、常に更新しています。攻撃者は一般的に、添付ファイルのある悪意のあるスパムメールを介してこのマルウェアを配信します。
ソフォスは、今回、現在実環境で利用されている2つのバージョンのAgent Teslaについて詳しく調査しました。どちらのバージョンも最近アップデートされており、Webブラウザ、電子メールクライアント、仮想プライベートネットワーククライアント、ユーザー名やパスワードを保存するソフトウェアなど、認証情報を盗み出す対象のアプリケーションを増やしています。また、キーボードの入力内容を取得する、あるいは、スクリーンショットを記録する機能も備えています。
2つのバージョンの違いから、攻撃者が検出を回避するためにいくつもの回避手法と難読化を採用し、どのようにRATを進化させてきたのかが明らかになりました。これらのバージョンには、匿名ネットワーククライアントのTorをインストールして使用するオプションや、コマンドおよびコントロール(C2)と通信するTelegramメッセージングAPIを使用するオプション、MicrosoftのAMSIをターゲットにするオプションが含まれています。
ソフォスのシニアセキュリティリサーチャーであるSean Gallagherは次のように述べています。「Agent Teslaマルウェアは7年以上も活動していますが、Windowsユーザーが最も影響を受けやすい脅威の1つであることに変わりはありません。2020年に電子メールで配信されたマルウェアの中でも上位にランクインしています。12月には、ソフォスのスキャナーで傍受された悪意のある電子メールの添付ファイル攻撃の約20%をAgent Teslaのペイロードが占めていました。さまざまな攻撃者がこのマルウェアを使用して、スクリーンショット、キーボードの入力内容、クリップボードのデータなど取得して、標的とするユーザーの認証情報などを盗み出しています」
「Agent Teslaの最も一般的な配信方法は悪意のあるスパムであり、この電子メールによる攻撃については、サイバー犯罪グループのRATicateに関する調査レポートでも詳しく説明しています。このサイバー犯罪者は、エンドポイントや電子メールプロテクションツールを回避できるようにマルウェアを今後も更新し続けるとソフォスは考えています。Agent Teslaを拡散するために使用されている電子メールアカウントは、多くの場合、正規のアカウントのセキュリティが侵害されたものです。組織でも個人でも、不明な送信者からの電子メールに添付されているファイルには常に注意し、十分に確認してから開くようにする必要があります」
電子メールのセキュリティの確保するためのIT管理者向けの推奨事項チェックリスト
- ユーザーに配信される前に、不審な電子メールや添付ファイルをスクリーニング、検出、ブロックすることができるインテリジェントなセキュリティソリューションをインストールします。
- 効果の高い検証方法を導入し、電子メールがサイバー犯罪者から送信されたものでないことを確認します。
- 従業員のセキュリティ意識をトレーニングにより向上し、不審な電子メールの兆候を見極め、配信された場合の対処法を習得させます。
- 電子メールのアドレスと差出人の正当性を二重に確認するようにユーザーに注意を促します。
- 不明な送信者からのメールに添付されているファイルを開いたり、リンクをクリックしたりしないようにユーザーに注意を促します。
ソフォスのエンドポイントプロテクションであるIntercept Xは、機械学習とTroj/Tesla-BEとTroj/Tesla-AWのシグネチャを使用して、Agent TeslaのインストーラーマルウェアとRATを検出します。
Agent Teslaのセキュリティ侵害の痕跡(IoC)は、SophosLabsのGitHubのページを参照してください。
Agent Teslaやその他のサイバー脅威に関する詳細は、SophosLabs Uncutを参照してください。 SophosLabs Uncutでは、ソフォスの研究者が最新の調査結果や重要な情報を定期的に公開しています。サイバーセキュリティの脅威を研究されている方は、Twitterの@SophosLabsをフォローして、リアルタイムでSophosLabs Uncutの情報を参照いただけます。
その他の参考資料
- ソフォス製品が「AIを利用して電子メールのセキュリティを向上している方法」をご確認ください。
- 2021年版ソフォス脅威レポートの全文は、https://www.sophos.com/ja-jp/medialibrary/PDFs/technical-papers/sophos-2021-threat-report.pdf でご覧いただけます。
- Sophos Rapid ResponseとSophos Managed Threat Responseが1500万ドル相当のランサムウェア攻撃をブロックした方法をご覧ください。
- リアルタイムに攻撃を停止するソフォスの新しいRapid Responseサービスの詳細をご確認ください。
ソフォスについて
ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント(ラップトップ、サーバー、モバイルデバイス)とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ(Synchronized Security)システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR(Managed Threat Response)などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー(MSP)からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp)をご覧ください。