2023年10月19日 / 最終更新日 : 2023年10月19日 Kazuo_Komoriya ほぼこもセキュリティニュース

TetrisPhantom

ほぼこもセキュリティニュース By Terilogy Worx

TetrisPhantomは、スパイ活動キャンペーンです。
TetrisPhantomの活動は広がりを見せていますが、この活動を実施している脅威アクターとこれまでの既知の脅威アクターとの共通点は、まだ確認されていません。
もしかしたら、新しい脅威アクターが出現しているのかもしれません。

これまで、USBメモリを悪用した脅威活動はいくつも確認されています。
記憶に新しいものでは、「狙われているエアギャップシステム」、「広がるWispRider」などがありました。
そういったものとは少し違う属性がある活動となっています。
どんな活動なのでしょうか。

  • ハードウェア暗号化を実装したセキュリティ機能付きUSBメモリを悪用
    ハードウェア暗号化を提供する特定の種類のセキュアUSBドライブを悪用します。
    いろいろなアプローチのセキュリティ機能付きのUSBメモリが販売されていますが、どの方式にしても、利用者は安心が手に入ったと認識して利用していると思います。
    しかし、この攻撃キャンペーンでは、その安全なイメージのUSBメモリが悪用されています。
  • ファイル収集機能
    この脅威が動作した状態において、侵害環境のファイルが収集されてしまいます。
  • コマンド実行機能
    この脅威が動作した状態において、侵害環境で任意のコマンドが実行されてしまいます。
  • 横展開機能
    この脅威が動作した状態において、侵害環境の他のクリーンなUSBメモリまで、この脅威のキャリアとして構成変更してしまいます。

現時点では、その具体的な手口についての情報は公開されていませんが、直接SCSIコマンドを使用してUSBドライブとの低レベル通信を実施するなどの非常に高度な手法を含む活動となっているとのことです。
この脅威の詳細レポートは、Security Analyst Summit 2023で公開されるということです。

セキュリティ機能付きUSBメモリなどのデバイスが、セキュリティ機能付きだからと過信することは危険です。
できる対策はいつも通りです。
OSやアプリケーションのパッチはタイムリーに適用しましょう。
出所の不明なファイルやリンクには注意しましょう。

参考記事(外部リンク):APT trends report Q3 2023
securelist.com/apt-trends-report-q3-2023/110752/#

カテゴリー
ほぼこもセキュリティニュース
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

前の記事

狙われるCiscoルータのWebUI
2023年10月18日
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

次の記事

Punycodeでマルバタイジング
2023年10月20日