Cognyte CTI Research Group＠Cognyte | 2022年4月20日

当社の「脅威インテリジェンスサービス」で技術提携をしているCognyte Software Ltd. （旧Verint Systems Ltd.）から新規マルウェアなどに関する4つの注意喚起の報告書が公開されています。

サイバーセキュリティ対策の参考としてご活用いただければ幸いです。

Infostealer『BlackGuard』

『BlackGuard』の取引に関する広告が2022年1月5日ダークウェブ上のロシア語の著名なサイバー犯罪/ハッキングフォーラムに掲載されて以降、取引の活発化が確認されています。投稿をしたのはBlackteam007と呼ばれる脅威アクターで、このマルウェアをMaaS（Malware as a Service）として提供しています。Blackteam007の活動は活発化しており、今日までに複数の改良版がリリースされ、多くの取引が成立しており、レビュー投稿も確認されています。同マルウェアに関しては別のロシア系フォーラムでもBlackGUARD007と呼ばれる脅威アクターが投稿しています。

窃取可能なデータには以下の情報が含まれます。

Infostealer『Meta Stealer』

『Meta Stealer』は『Redline』と呼ばれたInfostealerの改良版であると考えられています。__META__と自らを称する脅威アクターがこのマルウェアの取引情報をダークウェブ上のロシア語のサイバー犯罪フォーラムに投稿しています。『Redline』の取引は2020年3月に確認されて以来、2021年にはCOVID-19の感染拡大に関連したテンプレートを用いることで拡散されました。『BlackGuard』同様のMaaS型Infostealerとして知られ、窃取可能なデータには以下の情報が含まれます。

バンキング型トロイの木馬『Ares V2』

Stillamと呼ばれる脅威アクターが2022年2月8日『Ares V2』に関する広告をダークウェブ上のロシア語の著名なサイバー犯罪/ハッキングフォーラムに掲載しています。2021年2月に同脅威アクターが提供していたAresの改良版と考えられています。Aresではドイツでの感染が確認されていましたが、Ares V2は他の国での拡散にも成功していると投稿されています。

広告によれば、窃取可能なデータには以下の情報が含まれます。

アプリのFTPクライアント情報、VPNクライアント情報、ブラウザ情報、仮想通貨ウォレットに関する情報、IMクライアント情報、Eメールクライアント情報など

VMware ESXiサーバへのアクセス

2022年3月sn3akbrokerと呼ばれる脅威アクターがダークウェブ上のロシア語のハッキングフォーラムでVMware ESXiサーバへのアクセス提供に関する投稿をしていることが確認されています。アクセス可能な国は米国、英国を含む多くの国とされています。VMware ESXiはランサムウェア攻撃を試みる攻撃者にとっての絶好のターゲットとなっています。

＊各項目の推奨事項などの詳細は報告書の原文より（英語のみ）ご確認ください。報告書のダウンロードはこちら

脅威インテリジェンスのサービスをお探しですか？

サイバー脅威は常に変化しています。

インテリジェンスの専門家の力を借りて、セキュリティ態勢や監視環境を整え、リスクを軽減するのも1つの手段です。SOMPO CYBER SECURITYはイスラエルのCognyte Software Ltd.（旧Verint Systems Ltd.）と技術提携をして、ダークウェブ上などに出回る膨大な量のデータから調査対象企業に関連した情報のみを精査して、脅威インテリジェンスとして提供しています。

脅威インテリジェンスサービスをお探しの方へ

サイバー空間に漏洩しているお客さまの情報や攻撃キャンペーン情報を集約・蓄積・分析し、早期警戒情報と実用的な知見を提供するサービスです。脅威インテリジェンスサービスはこちら