脅威に関する情報: Shamoon 2攻撃の第3波

This post is also available in: English (英語)

Palo Alto NetworksのUnit 42脅威インテリジェンス チームが実施を継続しているShamoon 2情勢のモニタリングの一環として、私たちが最近投稿した脅威に関する情報: Shamoon 2攻撃の第2波、新たな戦術の可能性が明らかに以降、情報を更新しました。

その脅威に関するダイジェスト以降、Unit 42のリサーチャーはShamoon 2攻撃の新たな波に気付きました。この第3波は2017年1月23日にDisstrackマルウェアを使ってシステムをワイプするよう設定されていました。

この違いを別にすれば、Shamoon 2攻撃の最新の波は第1波(2016年11月17日にシステムをワイプ)および第2波(2016年11月29日にシステムをワイプ)と同じものと思われます。Unit 42リサーチャーが分析した第3波のサンプルは、攻撃ベクター、ペイロードおよび活動内容に関して他の2つの波と類似しており、新たに共有すべきインテリジェンスは何もありません。

この最新の脅威インテリジェンスから、Shamoon 2攻撃が現在進行中の事態であり、攻撃の新たな波が将来あり得ることが伺えます。

この事態に懸念を覚え第3波が危険をもたらすと確信している組織は、以下の可能な対応行動を考慮したリスク評価を行わなければなりません。

1. RDPおよびSSHのようなリモート アクセス トラフィックをすべて検査し、不要なリモート接続をすべてブロックする。
2. あるいは、組織へのリモート アクセス接続をすべて完全にブロックする。
3. 組織全体にわたってすべてのアカウントのパスワードを強制的に完全リセットする。特に、管理者権限のあるアカウントについてこれを行う。

さらに、組織はバックアップ方針および災害復旧/ビジネス継続計画について再検討しなければなりません。

Unit 42リサーチ チームはこの状況の入念な追跡調査を継続し、私たちは適宜最新情報をお伝えします。