この記事は2020年3月3日に更新されました。
8月1日、Proofpointのセキュリティ研究者は、"LookBack "と呼ばれるマルウェアを使用し、3つの異なる米国の電力会社を標的としたスピアフィッシング・キャンペーンの詳細を報告した。7月19日から7月25日にかけて送信されたスピアフィッシングメールには、悪意のあるMicrosoft Wordの添付ファイルが含まれており、ファイルの削除、スクリーンショットの撮影、マシンの再起動、そして感染したネットワークからの自己削除といった動作を実行できるリモートアクセス・トロイの木馬(RAT)がインストールされていた。
Prooftpointは3社でLookBackマルウェアの存在を確認することができましたが、このマルウェアは他の組織にも感染している可能性があります。スピアフィッシング・キャンペーンで使用された電子メールは、エンジニアや測量士の職業免許を扱う米国の非営利団体であるNational Council of Examiners for Engineering and Surveying(NCEES)からのものであるかのように偽装されていました。NCEESのロゴを不正に使用しながらも、電子メールには悪意のあるマイクロソフトが埋め込まれたWord文書が含まれており、この文書を開くと、これまでに見たことのないRATがインストールされ、実行されました。
研究者がThreatpostに語ったところによると、電子メールは無名の電力会社に感染する前にブロックされたとのことである。
LookBackの仕組み
Proofpoint社のレポートによると、LookBackはプロキシ通信ツールに依存し、感染したホストからコマンド・アンド・コントロール・サーバ(C2)にデータを中継するRATである。このマルウェアは、プロセス、システム、ファイルのデータを閲覧したり、ファイルを削除したり、スクリーンショットを撮ったり、感染したシステムのマウスを動かしたりクリックしたり、マシンを再起動したり、感染したホストから自身を削除したりすることができる。
研究者によると、LookBackのスピアフィッシング・キャンペーンは、2018年に日本企業を標的とした既知のAPT敵対者がかつて使用していた戦術を使用しており、マルウェアの急速な進化と国家行為者によるその使用の性質を浮き彫りにしている。
フィッシング・メールに添付されたMicrosoft Word文書には、実行すると3つの異なるPrivacy Enhanced Mail(PEM)ファイルをドロップするVBAマクロが含まれている。その後、Certutil.exeがPEMファイルをデコードするためにドロップされ、後にessentuti.exeを使って本当の拡張子に復元される。ファイルはその後、C2コンフィギュレーションを含むNotepad++などの一般的なツールで使用されるオープンソースバイナリの名前になりすまされます。最後に、マクロはGUP.exeとlibcurl.dllを実行し、LookBackマルウェアを実行します。実行されると、LookBackは、ファイルの検索、ファイルの読み取り、ファイルの削除、ファイルへの書き込み、サービスの開始など、多数のコマンドを送受信できるようになります。
あなたの組織は LookBack にさらされていますか?それを検知する方法をご紹介します。
脅威の性質上、関連する活動を検知するための複数の管理体制を整えることが重要です。これには、従業員や担当者が偽メールや悪意のあるメールをよりよく識別できるようにするための継続的なセキュリティ意識向上トレーニングが含まれます。しかし、SPAMフィルタやファイアウォールだけでなく、Nozomi Networks Labsは、異常な行動を特定するための異常検知技術と、既知の脅威に関連する不審な行為者について追加のコンテキストを提供するための従来の脅威検知機能の両方を使用することを推奨しています。
この攻撃の発表から 24 時間以内に、Nozomi Networks Labs チームは、Threat Intelligence に新しいルールとシグネチャを追加し、お客様の環境における LookBack の検出を支援しました。これにより、既知の脅威である LookBack に関連する不審なアクティビティに対してアラートが発 生し、迅速な検出と修正が可能になります。Threat Intelligence をご利用のお客様は、これらの新しいルールを有効にするために、お使いのシステムが最新バージョン(2019年8月2日以降)を実行していることをご確認ください。
LookBackについて詳しく知りたい方は、来週のウェビナーに以下のリンクから登録することをお勧めします。公益企業に対するサイバー脅威が増加の一途をたどる中、LookBackは、公益企業がサイバーセキュリティを強化し続ける上で、まだやるべきことがたくさんあることを改めて認識させるものだ。
