cat_oa-ascii_issue_94f1430685c6 oa-ascii_0_94f1430685c6_新人・佐野水柚のイベントにファン殺到!ピュア系の笑顔もたまらねぇ 94f1430685c6 94f1430685c6 新人・佐野水柚のイベントにファン殺到!ピュア系の笑顔もたまらねぇ oa-ascii

新人・佐野水柚のイベントにファン殺到!ピュア系の笑顔もたまらねぇ

2018年5月28日 19:00 アスキー

 スレンダーなのに胸は90cmのGカップ。いま注目されている佐野水柚さんが、1st DVD「Muse」(発売元:スパイスビジュアル、収録時間:75分、価格:4104円)の発売記念イベントを5月27日、ソフマップAKIBA 1号店 サブカル・モバイル館で開催した。
 週刊プレイボーイが全面バックアップしたグラドルオーディション「ミスグラジャパ!」で、週プレ酒場賞に選ばれた佐野さん。26歳には見えないピュア系のかわいい笑顔でファンを増やしている。今回の初イベントも会場が満員になるほど多くのファンが集まった。名前の読みは「みゆう」だ。
——1st DVDの紹介をお願いします。
【佐野水柚】競泳水着で運動してみたり、屋外で色っぽいお姉さん風の格好をしてみたり、バスルームで体を洗ったりしています。2月に都内のスタジオで撮りました。
——見てほしいと思うのは?
【佐野水柚】添い寝のシーンです。ベッドから起き上がって「おはよう」と言うのですが、すんなりと撮れたし、ピンクとグレーの衣装もお気に入りです。
——グラビア活動はどれくらいやっているのですか?
【佐野水柚】まだ1年経たないくらいです。見た目と中身のギャップがあると言われていてかなりポンコツ。そこが「ミスグラジャパ!」でも評価されたのかな?
——これからの抱負などは?
【佐野水柚】自分のどこをグラビアで生かしたらいいかなど、わからないこともまだまだ。一番の特徴や魅力を見つけて、それを引き出す努力をしたいです。
 昨年に新宿歌舞伎町にオープンした「週プレ酒場」への出演ほか、撮影会も積極的に行なっている最中。6月16日には大阪日本橋の「FAN FUN POP撮影会」に参加予定。また、2nd DVDも決まったというので、詳細の発表も待たれる。

■プロフィール
佐野水柚(さの・みゆう)
生年月日:1991年8月28日
出身地:青森県
血液型:O
サイズ:T164、B90(Gカップ)・W58・H86
趣味:音楽鑑賞
特技:ピアノ
■関連サイト
スパイスビジュアル
ブログ
Twitter @sanomiyuu_8
アキバ☆ソフマップ

外部リンク

cat_oa-ascii_issue_94f1430685c6 oa-ascii_0_d88b48d7052e_モバイルPASMOが年内にiOSに対応予定! iPhoneユーザー歓喜! d88b48d7052e d88b48d7052e モバイルPASMOが年内にiOSに対応予定! iPhoneユーザー歓喜! oa-ascii

モバイルPASMOが年内にiOSに対応予定! iPhoneユーザー歓喜!

2020年8月6日 21:50 アスキー

Android版しかなかったモバイルPASMOに iOS版が年内登場予定

 PASMO協議会は今日6日、モバイルアプリとして提供している「PASMO」について、年内にiPhoneやApple Watchでも使えるようにすると発表した。

 モバイル向けのPASMOは、端末側に非接触型IC技術のFeliCaが搭載されていることが対応条件。Androidでは特に国内キャリアが販売する多くの製品にFeliCaが搭載されており、アップルの「iPhone 7」や「Apple Watch Series 2」以降の機種にも搭載されている。
 PASMOがiPhoneやApple Watchに対応することで、ついにSuica以外のサービスが使えるようになる。また、交通系ICカードのPASMOと同様に、使って電車やバスに乗車できるだけでなく街中での買い物にも使える。
 サービスの内容や開始日については、詳細が決まり次第告知するという。
 実は「PASMOをiPhoneでも使えるようにしてほしい」という声はSNS上などでもあがっており、PASMO協議会は2020年春のAndroidアプリ提供開始時に「iOSに対応するかどうかは未定」としていた。
 もし仮に、iOS版のPASMOアプリもAndroid版と同様の仕様になるのであれば、鉄道やバスの定期券を窓口に行かなくても購入できるようになる。

 ただ、Android版の場合、利用するスマートフォンによっては「モバイルPASMO」と「モバイルSuica」のどちらか一方、もしくは両方を設定できる機種が存在する。このあたりの仕様についてもiOS版でどのようになるのかは、今日(8月6日)の時点で未定となっている。
■関連サイト
リリース

筆者紹介:金子 麟太郎

 14歳の頃から、パソコンやタブレットで作曲する。CD制作にも取り組むうちに、機械にも興味を持ち、2016年(20歳)からITに関連する企業を取材し、記事を執筆する活動を始める。

■運営サイト
ちょっとしたモバイル辞典

cat_oa-ascii_issue_94f1430685c6 oa-ascii_0_3a1c351929db_片想いの爆乳娘・未梨一花、水着の紐を外して必死の色仕掛け! 3a1c351929db 3a1c351929db 片想いの爆乳娘・未梨一花、水着の紐を外して必死の色仕掛け! oa-ascii

片想いの爆乳娘・未梨一花、水着の紐を外して必死の色仕掛け!

2020年8月6日 21:00 アスキー

 迫力満点のHカップで、早くもグラビア界で話題の存在に! いま21歳の未梨一花(みり・いちか)さんが、3rd DVD「未梨ちゃんは愛され上手」(発売元:ギルド、収録時間:123分、価格:4180円)の発売記念イベントを7月23日、東日本橋の東京Lilyスタジオで開催した。
 昨年11月のデビュー以来、早くも3rdリリースとなったが、映像は今年に入ってから都内近郊で撮られたもの。片想いしている彼(=視聴者)を振り向かせようと、必死にアピールする未梨さんが楽しめる内容だ。DVDジャケットのこぼれそうなHカップは、インパクトありすぎ!

――すごい大胆ですね。
【未梨一花】 いままでで一番(胸が)出ているDVDジャケットと思います。ニットの上からのカーディガン姿ですが、水着の紐も外しちゃうので、すごい攻めてます!
――ほかにはどんなシーンが?
【未梨一花】 室内が多いのですが、夜ベッドが2回あったり、お風呂もシャワーと大浴場の2つ。回想シーンで学生時代にも戻るので、制服も着ているところもあります。
――お勧めは?
【未梨一花】 バスのなかで制服を着ているシーンがお気に入り。セーラー服なのですが、昭和テイストでファンの方からの評判もよかったです。
――それにしても胸が大きいですが、Hカップ以上では?
【未梨一花】 コロナ期間中にちょっと太ったのですが、そのぶんは食事制限で戻したんです。でも、下着が合わなくなってきたので、Hカップじゃないかも……。Iカップ?
 とにかくこの反則級のバストは、令和デビューのグラドルとしては最強クラス。グラビア誌で取り上げられる機会も増えているので、さらなる飛躍が見込めそうだ。4th DVD(タイトル未定)も9月17日にリリース予定だ。

■プロフィール
未梨一花(みり・いちか)
生年月日:1999年2月24日
出身地:千葉県
血液型:?
サイズ:T163、B92(Hカップ)・W63・H92
趣味:ジグソーパズル、スマホゲーム、焼肉屋めぐり
特技:ソフトテニス、指文字、匍匐前進
■関連サイト
ギルド 未梨一花 Twitter 未梨一花 Instagram 東京Lily

外部リンク

cat_oa-ascii_issue_94f1430685c6 oa-ascii_0_984bb9dc363c_ダイドーグループ、阿波おどりのドキュメンタリー番組映像を特別公開 984bb9dc363c 984bb9dc363c ダイドーグループ、阿波おどりのドキュメンタリー番組映像を特別公開 oa-ascii

ダイドーグループ、阿波おどりのドキュメンタリー番組映像を特別公開

2020年8月6日 20:30 アスキー

 ダイドーグループホールディングスと四国放送は8月6日、2019年に制作・放送した阿波おどりのドキュメンタリー番組映像を「阿波おどり実行委員会 公式ウェブサイト」などで特別公開すると発表した。公開期間は8月31日まで。
 ダイドーグループホールディングスは、「人と、社会と、共に喜び、共に栄える。」というグループ理念のもと、2003年から全国各地で地域を支える祭りを応援する活動「ダイドーグループ日本の祭り」を続けている。また、ダイドードリンコと徳島市は2019年、阿波おどりを核とする地域活性化に向けた「地域活性化包括連携協定」を締結した。

 今回、阿波おどり実行委員会の「400年以上続く阿波おどりを来年以降に繋げていきたい」という想いに賛同し、新型コロナウイルス感染拡大の影響で今年中止が決定した阿波おどりを応援するため、ドキュメンタリー番組映像の特別公開を決定したとのこと。
 番組映像を通じて、阿波おどりの関係者、阿波おどりに参加することを楽しみにしていた人に、阿波おどりの魅力を届けたいと考えているとのこと。

番組公開概要

 ・番組タイトル:「ダイドードリンコ日本の祭り※ だから僕らは夏を踊る~令和を彩る阿波おどり~」
 ・番組情報:四国放送 2019年制作番組
 ・番組公開場所:阿波おどり実行委員会 公式ウェブサイト
         https://www.awaodori.tokushima.jp/awa_video
         YouTube DyDo 公式チャンネル
         https://www.youtube.com/user/dydojp
 ・公開期間 :8月6日~8月31日

cat_oa-ascii_issue_94f1430685c6 oa-ascii_0_94d68e54f6df_ASRock、「Ryzen 4000」APU対応の小型ベアボーン「DeskMini X300」など2製品 94d68e54f6df 94d68e54f6df ASRock、「Ryzen 4000」APU対応の小型ベアボーン「DeskMini X300」など2製品 oa-ascii

ASRock、「Ryzen 4000」APU対応の小型ベアボーン「DeskMini X300」など2製品

2020年8月6日 20:20 アスキー

 ASRockは8月4日、小型ベアボーン「DeskMini H470」「DeskMini X300」を発表した。発売時期は秋ごろを予定しているという。価格は未定。
 DeskMini H470は、インテルH470チップセットを採用し、第10世代インテルプロセッサーとデュアルチャネルDDR4-2933メモリーをサポートする。高度な電力設計と、独自のBFB(Base Frequency Boost)テクノロジーをサポートしているため、CPUの速度を引き上げ、システムパフォーマンスを向上させるという。
 USB Type-Cオルタネートモードに対応するだけでなく、4K解像度のDisplayPort信号、最大60ワットの電力供給、5Gbpsデータ転送を1本のケーブルで提供できる。
 また、フロントパネルにはUSB 3.2 Gen2 Type-AおよびType-Cを搭載。ストレージにはUltra M.2スロットとSATA 6Gbポートを2基、M.2 Wi-Fiスロットを備える。DisplayPort、Type-C DP、HDMI、およびD-Subを介して最大3画面の同時出力が可能としている。
 DeskMini X300は、AMD最新のRyzen 4000シリーズAPUに対応する。CPU/GPUコアクロックを調整と電圧を調整してAPUの潜在的な性能を引き出せるという。8コアのRyzen 7 APUとデュアルチャネルDDR4-3200+MHz(OC)メモリーをサポートする。
 PCIe Gen3 SSD用にUltra M.2(2280)スロットを2基と、RAID機能に対応する2.5インチSATA 6Gbpsインターフェースを2基搭載。さらに、同時に3画面出力をサポートするほか、従来製品と同様に1.9リットルのコンパクトサイズをそのままに、VESAマウントキット、 USB 2.0ケーブル、M.2 Wi-Fiモジュールなどのオプションパーツに対応する。
■関連サイト
ASRock

外部リンク

cat_oa-ascii_issue_94f1430685c6 oa-ascii_0_2da903011056_ディースリー・パブリッシャーがニンテンドーeショップのサマーセール第2弾ラインナップを公開 2da903011056 2da903011056 ディースリー・パブリッシャーがニンテンドーeショップのサマーセール第2弾ラインナップを公開 oa-ascii

ディースリー・パブリッシャーがニンテンドーeショップのサマーセール第2弾ラインナップを公開

2020年8月6日 20:20 アスキー

ディースリー・パブリッシャーは8月6日、ニンテンドーeショップにて実施しているサマーセ―ル第2弾のラインナップを公開した。
Nintendo Swtichでは、『THE ゴルフ』『あつまれ!ボウリング』などの手軽に遊べるカジュアルゲームから『Nightshade/百花百狼』などの乙女ゲームを中心とした12タイトルを最大65%オフで提供。
ニンテンドー3DSでは、『@SIMPLE DLシリーズ』をはじめとした7タイトルを一律50%オフで提供している。期間は、8月26日までとなる。
ニンテンドーeショップ セール公式サイトはこちら!
以下、リリースを引用

この夏最後のチャンス! D3Pの人気19タイトルが最大65%オフで手に入る!

<Nintendo Switch>

セール期間:2020年8月6日0時~8月26日23時59分まで

<ニンテンドー3DS>

セール期間:2020年8月5日10時~8月26日9時59分まで


©X-STREAM DIGITAL ©D3 PUBLISHER
©2018 Machatin Co.,Ltd ©2018 D3 PUBLISHER
©2018 OperaHouse Corporation ©2018 D3 PUBLISHER
©2018 D3 PUBLISHER
© D3 PUBLISHER © INTENSE
©Osamu Souda 2011
©Shin Hashimoto 2011 Printed in Japan
©KADOKAWA
©D3 PUBLISHER
©2013 TOMCAT SYSTEM ©2013 D3 PUBLISHER
©2014 INTENSE ©2014 D3 PUBLISHER
「ハニトー」は、株式会社ニュートンの登録商標です。
■関連サイト
ニンテンドーeショップ セール公式サイト ディースリー・パブリッシャー 公式サイト

外部リンク

cat_oa-ascii_issue_94f1430685c6 oa-ascii_0_78b9196559fc_ATRチーム、防衛関係企業への求職者を狙ったサイバーキャンペーンを発見 78b9196559fc 78b9196559fc ATRチーム、防衛関係企業への求職者を狙ったサイバーキャンペーンを発見 oa-ascii

ATRチーム、防衛関係企業への求職者を狙ったサイバーキャンペーンを発見

2020年8月6日 20:00 アスキー

目次
エグゼクティブサマリー
調査対象-防衛および航空宇宙キャンペーン
攻撃の概要
フェーズ1:最初の連絡
ドキュメントテンプレート
Visual Basicマクロコード
フェーズ2:悪意のあるDLLを削除する
DLLワークフロー
インプラント分析
フェーズ3:ネットワーク回避テクニック
フェーズ4:永続性
追加のルアー:2020外交および政治キャンペーンとの関係
2019偽造求人キャンペーンとの関係
キャンペーンのコンテキスト:被害者
インフラの洞察
テクニック、戦術および手順(TTPS)
防御アーキテクチャの推奨事項
Indicators of Compromise
結論

エグゼクティブサマリー

 現在、世界的に深刻な経済的不況[1]に陥る中で、求職者が求人数よりも圧倒的に多いような状況を利用し、悪意のある攻撃者たちは、マルウェアが大量に存在するドキュメントを開くように無意識の犠牲者を誘惑しています。この前例のない時期の攻撃の蔓延は主に一般的なレベルの攻撃者(詐欺師)によって実行されていますが、より高度な脅威の攻撃者もこの危機を絶好の機会として利用しています。
 そのような例の1つが、McAfee Advanced Threat Research(ATR)が航空宇宙および防衛産業を標的とした悪意あるサイバー活動の増加の傾向の中で観察したキャンペーンです。この2020年のキャンペーンで、McAfee ATRは、主要な防衛請負業者からの求人情報を含む一連の悪意のあるドキュメントを非常に的を絞った方法でルアーとして使用することを発見しました。これらの悪意のある文書は、データ収集インプラントをインストールするために被害者に送信されることを目的としています。現在のところ、これらのキャンペーンの被害者は明確ではありませんが、職務の説明に基づいて、ルアードキュメントのコンテンツに関連するスキルと経験を持つ人々をターゲットにしているようです。キャンペーンは、業界によって他の場所で報告された活動に似ているようですが、さらに分析すると、このキャンペーンのインプラントとルアーのドキュメントは明らかに異なります[2]。したがって、この研究は異なるアクティビティのセットの一部であると結論付けることができます。このキャンペーンは、ヨーロッパの複数の国からの侵害されたインフラストラクチャを利用して、その指揮統制インフラストラクチャをホストし、ターゲットとする犠牲者にインプラントを配布しています。
 このタイプのキャンペーンは、2017年と2019年に同様の方法を使用して登場し、主要な軍事および防衛技術を取り巻く情報を収集することを目的としています[3]。2017年のキャンペーンでは、主要な防衛請負業者からの求人情報を含むルアードキュメントも使用しました。この作戦は、ルアーに使用されている防衛請負業者によって雇われた個人を対象としていました。スピアフィッシングメールから得られた洞察の一部に基づいて、そのキャンペーンの使命は、雇用主によって開発されている特定のプロジェクトに関するデータを収集することでした。
 2020年の活動の手法、戦術、手順(TTP)は、2017年と2019年に観察されたのと同じ方法で運用されていた以前のキャンペーンと非常によく似ています。私たちの分析から、観察された多くの類似点を考慮すると、これは2019年のキャンペーンの続きであると考えられるものでした。これらの類似点は、インプラントの実行に使用されるVisual Basicコードと、2019年と2020年のインプラントの間に存在するコア機能の両方に存在します。
 このことは、2020年のキャンペーンの指標が、2017年と2019年の「Hidden Cobra」として知られている攻撃者グループに起因するとされていた以前の活動を指していることを意味しています[4]。Hidden Cobraは、米国政府によって北朝鮮に起因する脅威グループを指すために使用される包括的な用語です。Hidden Cobraは、業界がLazarus、Kimsuky、KONNI、APT37と名付けたグループの脅威活動で構成されています。これらのグループに起因する、世界中の組織を対象とするサイバー攻撃プログラムは、何年にもわたって文書化されてきました。彼らの目標は、軍事技術に関するデータの収集から、主要な取引所からの暗号通貨の盗難まで多岐にわたります。
 私たちの分析によると、2020年の活動の目的の1つは、被害者のマシンにデータ収集インプラントを取り付けることでした。これらのDLLインプラントは、被害者の識別を目的として被害者のマシンから基本情報を収集することを目的としています。ターゲットマシンから収集されたデータは、ターゲットの値を分類するのに役立ちます。McAfee ATRは、2020年のキャンペーンで敵がいくつかの異なるタイプのインプラントを使用していることに気付きました。
 これらのキャンペーンは、悪意のあるサイバーキャンペーンによって韓国や外国の安全に影響を与えています。このブログでは、McAfee ATRが2020年の前半に実施された複数のキャンペーンを分析しています。
 最後に、敵対者が偽の求人キャンペーンを防衛および航空宇宙以外の他のセクターに拡大していることを確認します。たとえば、一流のアニメーションスタジオの財務ポジションを装ったドキュメントなどです。

調査対象-防衛および航空宇宙キャンペーン

 防衛および航空宇宙産業を悪意のあるドキュメントのルアーとして使用している脅威アクターを観察したのはこれが初めてではありません。2017年と2019年には、主要な防衛請負業者のポジションの求人情報を含むターゲットに悪意のあるドキュメントを送信する取り組みがありました
 これらのキャンペーンの目的は、特定のプログラムとテクノロジーに関する情報を収集することでした。2017年のキャンペーンと同様に、2020年のキャンペーンもいくつかの主要な防衛および航空宇宙組織からの合法的な求人情報を利用しました。McAfee ATRが観察した2020年のキャンペーンでは、2017年の作戦と同じ防衛請負業者の一部が悪意のあるドキュメントのルアーとして再び使用されました。
 2020年に言及されたこの新しい活動は、防衛産業基地 (DIB)の個人を対象とした2017年のキャンペーンで見られたものと同様の技術、戦術および手順(TTP)を使用しています。2017年の活動は米国政府による起訴に含まれ、隠されたコブラの脅威グループに起因した。

攻撃の概要


フェーズ1:最初の連絡

 この最近のキャンペーンでは、悪意のあるドキュメントを使用し、テンプレートインジェクション攻撃を使用して標的のシステムにマルウェアをインストールしました。この手法により、兵器化されたドキュメントは、実行されるマクロを含む外部のWordテンプレートをダウンロードできます。マクロはダウンロードされたテンプレートに埋め込まれているため、これは静的な悪意のあるドキュメントの分析と検出を回避するために使用される既知のトリックです。
 さらに、これらの悪意のあるWord文書には、これらの主要な防衛請負業者での正当な仕事に関連するコンテンツが含まれていました。3つの組織はすべて、米国政府とさまざまな規模と範囲の積極的な防衛契約を結んでいます。
 未知の数のターゲットに送信されたこれらのドキュメントのタイムラインは、2020年3月31日から5月18日まで実行されました。

 Malignドキュメントは、悪意のあるコードを被害者の環境に導入するための主要なエントリポイントでした。これらの文書には、防衛、航空宇宙、およびその他のセクターからの仕事の説明がルアーとして含まれていました。目的は、これらのドキュメントを開いて表示し、最終的にペイロードを実行することを意図して、これらのドキュメントを被害者の電子メールに送信することです。
 前述したように、攻撃者はテンプレートインジェクションと呼ばれる手法を使用しました。ドキュメントに.docx拡張子が含まれている場合、これは、Open Office XML標準を扱っていることを意味します。.docxファイルは、複数のパーツを含むzipファイルです。テンプレートインジェクションテクニックを使用して、攻撃者はテンプレートファイルへのリンクを.XMLファイルの1つに配置します。たとえば、リンクはsettings.xml.relsにあり、外部oleobjectロードはdocument.xml.relsにあります。リンクは、リモートサーバーからテンプレートファイル(DOTM)をロードします。これは、複数の敵によって使用されていることが観察された賢い手法です[5]。また、ドキュメントを最初はクリーンな状態に見せ、その後マルウェアをロードすることのみを目的としています。これらのテンプレートファイルの一部は、リモートサーバーでホストされると、疑いを回避して検出を回避するために、JPEGファイルに名前が変更されます。これらのテンプレートファイルには、被害者のシステムにDLLインプラントをロードするVisual Basicマクロコードが含まれています。現在のマカフィーテクノロジーは現在、この脅威から保護しています。
 前述のとおり、docxファイル(xlsxやpptxなど)はOOXML標準の一部です。この標準を定義するドキュメント[6]は、例として使用できる構文と値について説明しています。注目すべき興味深いファイルは、docx zipファイルの「Word」コンテナにある「settings.xml」ファイルです。このファイルには、言語、マークアップなどに関する設定が含まれています。最初に、settings.xmlファイルからすべてのデータを抽出し、比較を開始しました。以下のすべてのドキュメントに同じ言語の値が含まれています。
w:val =” en-US” w:eastAsia =” co-KR”  XMLファイルは、値「w15」で始まるGUID値で終わります。
 例:w15:val =” {932E534D-8C12-4996-B261-816995D50C69}” />
 Microsoftのドキュメントによると、w15はPersistentDocumentIdクラスを定義しています。オブジェクトがxmlとしてシリアル化される場合、その修飾名はw15:docIdです。128ビットのGUIDは、Microsoftのドキュメントによれば、一意のトークンを参照するST_Guid属性として設定されます。usedクラスは、DocIDとして使用するGUIDを生成し、関連するキーを生成します。クライアントはGUIDをその構造に格納し、docファイルに永続化します。たとえば、ドキュメントを作成して「名前を付けて保存」すると、w15:docId GUIDは新しく作成されたドキュメント全体に保持されます。上記のリストにとってそれはどういう意味でしょうか。同じGUID値を持つドキュメントを時系列に配置する必要があります。次に、最も古いドキュメントが残りのルートであることを示すことができます。次に例を示します。

 上記の表から言えることは、「_ IFG_536R.docx」が最初に確認されたドキュメントであり、同じdocID値を持つ後続のドキュメントが同じベースドキュメントから作成されたことです。
 このアサーションに追加するには、settings.xmlファイルには、値「rsid」(スタイル定義のリビジョンID)が含まれています。Microsoftのドキュメントによると、「この要素は、このスタイル定義が最後に変更された編集セッションを決定するために使用される一意の4桁の番号を指定します。この値は、次の制約に従います。同じrsid *値を指定するすべてのドキュメント要素は、同じ編集セッション中に行われた変更に対応します。編集セッションは、2つの後続の保存アクションの間に行われる編集の期間として定義されます。」
 「* _IFG_536R.docx」のrsid要素の値から始めましょう。

 そして、「* _ PMS.docx」のrsid要素の値と比較します。

 rsid要素は、両方のドキュメントの最初の4つの編集セッションで同じです。これは、これらのドキュメントは別のものですが、同じドキュメントから作成されたことを示しています。
 さらに多くの値とメタデータを掘り下げて(操作できることは承知しています)、次の概要を作成日に基づいて時系列で作成しました。

 DocID「932E534d(..)」にズームインすると、XMLコードでテンプレートファイルの値を読み取ります。「シングルスペース(空白).dotx」–このテンプレート名は、複数の「作成者」名で使用されているようです。リビジョン番号は、ドキュメントで可能な変更を示します。
 注:「DocIDなし」の表のドキュメントは、マクロ/ペイロードを含む「dotm」ファイルでした。
 すべてのファイルはWord 2016で作成され、英語と韓国語の両方の言語がインストールされています。メタデータに対するこの分析は、悪意のあるドキュメントが共通のルートドキュメントから作成されたという高い信頼があることを示しています。


ドキュメントテンプレート

 調査中に、悪意のないものとしてフラグが付けられたドキュメントがいくつか見つかりました。一見、それらは重要でも関連でもないように見えましたが、詳細な調査により、それらがどのように関連しているかが明らかになりました。これらのドキュメントは、最終的に被害者に送信される最終的な悪意のあるドキュメントを構築する上で役割を果たしました。メタデータ情報に基づいてこれらのドキュメントをさらに分析すると、攻撃者が作成したプライマリドキュメントとの関係が含まれていることがわかりました。
 Microsoft Print to PDFサービスを介して作成された、航空宇宙および防衛産業をテーマにした2つのPDFファイル(*** _ SPE_LEOSおよび*** _ HPC_SE)が*** _ ECS_EPM.docxと共に送信されました。これらのPDFファイルの命名規則は、使用される悪意のあるドキュメントと非常によく似ていました。名前には、悪意のあるドキュメントと同様に、防衛請負業者の役職の略語が含まれています。Microsoft Print to PDFサービスを使用すると、Microsoft Word文書のコンテンツを直接PDFに印刷できます。この場合、これら2つのPDFファイルは、作成者「HOME」の元のMicrosoft Word文書から生成されました。著者 ‘HOME’は、航空宇宙、防衛、およびエンターテインメント業界に関連する職務記述を含む複数の悪意のあるドキュメントに登場しました。PDFはアーカイブファイルで発見され、LinkedInが攻撃者が被害者を狙うために悪用した可能性があることを示しています。これは、業界によって報告されたキャンペーンで観察されたものと同様のベクトルです[7]。ただし、前述のように、このブログで取り上げられている調査は別のアクティビティセットの一部です。

 *** _ ECS_EPM.docxで送信されたPDFファイルからのメタデータは、偽のLinkedInコンテキストを含むアーカイブに含まれている

Visual Basicマクロコード

 リモートテンプレートファイルを掘り下げると、マクロコードの構造に関する追加の洞察が明らかになります。第2段階のリモートドキュメントテンプレートファイルには、base64でエンコードされた二重のDLLインプラントを抽出するように設計されたVisual Basicマクロコードが含まれています。コンテンツはすべて、マクロコードによって抽出されたリモートDOTMファイルのUserForm1でエンコードされます。

 さらに、コードは埋め込まれたおとりドキュメント(ジョブの説明を含むクリーンなドキュメント)を抽出して、被害者に表示します。


フェーズ2:悪意のあるDLLを削除する

 攻撃者は、ステージ2の悪意のあるドキュメントを通じて配信された悪意のあるDLLファイルを使用して、ターゲットをスパイしました。これらの悪意のある文書は、DLLインプラントを被害者のマシンに投下して初期の情報を収集するように設計されています。このキャンペーンでは、攻撃者はパッチを適用したSQL Lite DLLを利用して、ターゲットから基本情報を収集していました。これらのDLLは、特定の状況下で呼び出されたときに被害者のマシンで実行される悪意のあるコードを含むように変更されました。これらのDLLの目的は、感染した被害者からマシン情報を収集することであり、これを使用して、より興味深いターゲットをさらに特定することができます。
 標的となった被害者に送信された最初の段階のドキュメントには、リモートドキュメントテンプレートをダウンロードする埋め込みリンクが含まれていました。

 DOTM(Officeテンプレートファイルタイプ)ファイルは、パッチを適用したDLLを被害者のマシンにロードして、データを収集および収集します。これらのDOTMファイルは、ファイルの構造に直接エンコードされたDLLファイルで作成されます。これらのDOTMファイルは、攻撃者によって侵害されたリモートサーバーに存在します。最初の段階のドキュメントには、このファイルの場所を参照する埋め込みリンクが含まれています。被害者がドキュメントを開くと、悪意のあるDLLをロードするためのVisual Basicマクロコードを含むリモートDOTMファイルがロードされます。私たちの分析に基づいて、これらのDLLは2020年4月20日に最初に見られ、年齢と有病率のデータに基づく我々の知る限りでは、これらのインプラントはこの攻撃用にカスタマイズされています。
 攻撃のワークフローは、次の画像で表すことができます。

 最終的なインプラントをロードまたはダウンロードする悪意のあるDLLを特定するために、トリアージフェーズで見つかったOfficeファイルから次のDLLファイルを抽出しました。
SHA256 元のファイル名 コンパイル日 bff4d04caeaf8472283906765df34421d657bd631f5562c902e82a3a0177d114 wsuser.db 4/24/2020 b76b6bbda8703fa801898f843692ec1968e4b0c90dfae9764404c1a54abf650b 不明 4/24/2020 37a3c01bb5eaf7ecbcfbfde1aab848956d782bb84445384c961edebe8d0e9969 onenote.db 4/01/2020 48b8486979973656a15ca902b7bb973ee5cde9a59e2f3da53c86102d48d7dad8 onenote.db 4/01/2020 bff4d04caeaf8472283906765df34421d657bd631f5562c902e82a3a0177d114 wsuser.db 4/24/2020  これらのDLLファイルは、分析で見つかったSQLITEライブラリのようなグッドウェアライブラリからのパッチバージョンであり、この分析で説明されているように、二重のBase64エンコードされたDLLをロードするDOTMファイルに含まれるVBScriptを介してロードされます。DLLは(Microsoft Wordマクロ内に含まれる)UserForm1でエンコードされ、プライマリマクロコードはDLLインプラントの抽出とデコードを行います。

 私たちの分析から、第3段階で使用されたDLLが、特定の関数が一連のパラメーターで呼び出されるたびに有効になる悪意のある埋め込みを含む正当なソフトウェアであることが確認できました。
 サンプルを静的に分析すると、インプラントの保存に使用されている正規のソフトウェアを抽出することができました。たとえば、DOTMファイルから抽出されたDLLファイルの1つは、パッチが適用されたSQLITEライブラリでした。抽出されたDLL内の元のライブラリを比較すると、2つのサンプル間で多くの類似点を見つけることができます。

 前述のように、パッチが適用されたDLLと元のSQLITEライブラリは、多くのコードを共有しています。

 最初のDLLステージを有効にしてシステムで起動するには、特定のパラメーターが必要です。分析したOfficeファイルのマクロコードには、次のパラメーターの一部が含まれています。

 VBAマクロで見つかったデータには、次の詳細が含まれていました。
 ・Windows SIDを模倣する32ビットキー
  ・最初のパラメータは、悪意のあるアクティビティを開始するために使用される復号化キーに属しています。
  ・これは、値をより現実的にするために作成者が選択できます
 ・キャンペーンID

DLLワークフロー

 「docm」ファイルから抽出されたDLLの分析(感染の第2段階)により、これらのDLLには2種類の操作が存在することがわかりました。
 DLL直接実行:
 ・DLLはシステムに新しいペイロードをアンパックします。
 ドライブバイDLL:
 ・DLLは、リモートサーバーから新しいDLLインプラントをダウンロードし、追加のDLLペイロードをシステムに配信します。
 どちらの方法でも、インプラントはターゲット情報の収集を開始し、コマンドアンドコントロール(C2)サーバーに接続します。
 システムに解凍されたDLLファイルに分析を集中させました。

インプラント分析

 DLLインプラントは、ユーザーがOfficeファイルを開いて操作した後に実行されます。説明したように、VBAマクロのpコードには、システムへのインプラントの実行に必要なパラメーターの一部が含まれています。
 新しいDLLインプラントファイルは、実行中のユーザーのAppDataフォルダー内のフォルダー内に(キャンペーンIDに応じて)解凍されます。
C:\Users\user\AppData\Local\Microsoft\Notice\wsdts.db
 DLLファイルは、C2ドメイン内の悪意のある接続を監視する場合、5つの異なるパラメーターで起動する必要があります。分析では、次のコマンドラインでDLLがどのように起動されるかを観察しました。
C:\Windows\System32\rundll32.exe「C:\Users\user\ AppData\Local\Microsoft\Notice\wsdts.db」、sqlite3_steps S-6-81-3811-75432205-060098-6872 0 0 61 1
 悪意のあるインプラントを起動するために必要なパラメーターは次のとおりです。
パラメータ番号 説明 1 復号キー 2 DLLにハードコードされた未使用の値 3 DLLにハードコードされた未使用の値 4 キャンペーン識別子 5 DLLにハードコードされた未使用の値  説明したように、インプラントはパッチが適用されたSQLITEファイルです。そのため、悪意のあるインプラントを起動するために使用される追加の関数を見つけ、特定のパラメータでバイナリを実行できます。特定のエクスポート「sqlite3_steps」と前述のパラメーターを使用する必要があります。
 コードを静的に分析すると、ペイロードはこれらの5つのパラメーターのうち2つのみをチェックしますが、インプラントを実行するためにはこれらすべてが存在している必要があります。


フェーズ3:ネットワーク回避テクニック

 攻撃者は常に侵入を検知されないようにするため、システムに存在するのと同じUser-Agentを模倣するなどの手法を監視して、レーダーの下にとどまるのが一般的です。たとえば、被害者のWebブラウザ設定から同じUser-Agent文字列を使用すると、ネットワークベースの検出システムが発信トラフィックに疑わしいフラグを立てるのを回避できます。この場合、Windows APIのGetUserAgentStringを使用して、攻撃者がユーザーエージェントを取得し、その値を使用してコマンドアンドコントロールサーバーに接続する方法を観察しました。

 インプラントがシステムでユーザーエージェントを検出できない場合、代わりにデフォルトのMozillaユーザーエージェントを使用します。

 サンプルを動的に実行してTLSトラフィックをインターセプトすると、コマンドアンドコントロールサーバーへの接続を確認できます。

 残念ながら、私たちの分析中、C2はアクティブではなかったため、さらに分析する能力が制限されました。
 C2チャネルに送信されるデータには、次の情報が含まれています。
パラメータ 説明 C2 そのキャンペーン用に構成されたC2 ダウン キャンペーン識別子 キー1 C2との通信に使用されるAESキー キー2 C2との通信に使用されるAESキー サンプル識別子 C2サーバーに送信されるサンプル識別子 gI C2サーバーに送信されるサイズ値 hl 不明なパラメーターは常に0に設定されます  分析では少なくとも5つの異なるキャンペーンIDが見つかりました。これは、このドキュメントの分析が氷山の一角にすぎないことを示唆しています。
Dotxファイル キャンペーンID 61.dotm 0 17.dotm 17 43.dotm 43 83878C91171338902E0FE0FB97A8C47A.dotm 204 ****** _ dds_log 100

フェーズ4:永続性

 私たちの分析では、LNKファイルをスタートアップフォルダーに配信することにより、敵が永続性を確保する方法を観察できました。
 この永続的なLNKファイルの値は、すべてのサンプル内にハードコードされています。

 動的に、Windows APIのNtCreateFileとNtWriteFileを介して、LNKが起動フォルダーに書き込まれます。LNKファイルには、必要なパラメーターを指定してDLLファイルを実行するためのパスが含まれています。


追加のルアー:2020外交および政治キャンペーンとの関係

 2020年のキャンペーン活動をさらに調査したところ、攻撃者が韓国の国内政治をルアーとして使用していたことを示す追加のリンクが明らかになりました。攻撃者は、防衛産業のルアーで見られたのと同じ手法を使用して、韓国語でいくつかの文書を作成しました。2020年4月6日に、韓国と英語の両方でUS-ROK Relations and Diplomatic Securityというタイトルの注目すべきドキュメントが、ドキュメントの作者であるJangSYとともに登場しました。

 ドキュメントはファイル共有サイトhxxps://web.opendrive.com/api/v1/download/file.json/MzBfMjA1Njc0ODhf?inline = 0でホストされ、別のファイル共有でホストされているリモートDOTMファイルを参照する埋め込みリンクが含まれていましたサイト(od.lk)。BASE64でコード化された値MzBfMjA1Njc0ODhfは、ファイル共有プラットフォームod.lkに関連付けられたユーザーの一意の識別子です。

 タイトルtest.docxで発見された関連ドキュメントは、攻撃者が2020年4月上旬にこれらのドキュメントのテストを開始したことを示しています。このドキュメントには上記と同じコンテンツが含まれていますが、プライベートでホストすることによりリモートテンプレートファイルのダウンロードをテストするように設計されていますIPアドレス。リモートテンプレートにpubmaterial.dotmを利用したドキュメントも、URL hxxp://saemaeul.mireene.com/skin/visit/basic/にリクエストを送信しました。

 このドメイン(saemaeul.mireene.com)は、政治または外交関係に関連するドキュメントを含め、2020年にも登場した他の多数の韓国語の悪意のあるドキュメントに接続されています。そのような文書の1つ(81249fe1b8869241374966335fd912c3e0e64827)は、タイトルの一部として第21回国会選挙を使用しており、韓国の政治に関心のある人々が標的にされた可能性を示しています。たとえば、別のドキュメント(16d421807502a0b2429160e0bd960fa57f37efc4)には、個人の名前であるJae-chun Lee氏の名前が使用されています。また、同じメタデータを共有しました。
 これらのドキュメントの元の作成者は、埋め込まれたメタデータ情報に従って、Seong Jin Leeとしてリストされました。ただし、ドキュメントテンプレートの作成中に攻撃者が使用した最後の変更作成者(Robot Karll)は、この一連の悪意のあるドキュメントに固有のものです。さらに、これらの文書には、これらの文書のターゲットも韓国語を話したことを示唆する韓国の国内政策に関する政治的ルアーが含まれています。

2019偽造求人キャンペーンとの関係

 インドの航空宇宙産業を魅力として使用する2019年の短命のキャンペーンは、2020年の防衛産業を使用するこの最新のキャンペーンと非常に類似した方法と思われる方法を使用しました。2020年のキャンペーンのTTPの一部は、2019年後半の作戦と一致しています。 2019年からの活動は、業界レポートによると、隠されたコブラにも起因しています。
 2019年10月のキャンペーンでも、2020年のキャンペーンで観察したのと同じように、航空宇宙と防衛を魅力として使用し、合法的な仕事のコピーを使用しました。しかし、このキャンペーンはインドの国防部門に限定されており、私たちの知る限りではこれ以上の広がりはありませんでした。この文書には、インドの大手航空会社の求人情報も​​含まれていました。この会社は航空宇宙および防衛システムに焦点を合わせています。このターゲティングは2020年の運用と一致しており、私たちの分析によると、このキャンペーンで使用されているDLLもSQL Lite DLLに変更されていることがわかりました。
 私たちの分析に基づいて、インプラントのいくつかのバリアントが2019年10月の期間に作成され、追加の悪意のあるドキュメントの可能性を示しています。
Sha1 コンパイル日 ファイル名 f3847f5de342632f8f9e2901f16b7127472493ae 10/12/2019 MFC_dll.DLL 659c854bbdefe692ee8c52761e7a8c7ee35aa56c 10/12/2019 MFC_dll.DLL 35577959f79966b01f520e2f028396969155b8f8d7 10/12/2019 MFC_dll.DLL 975ae81997e6cd8c8a3901308d33c868f23e638f 10/12/2019 MFC_dll.DLL  2019キャンペーンとの大きな違いの1つは、Microsoft Officeのリモートテンプレートインジェクション技術に依存する2020キャンペーンとは異なり、インプラントペイロードが含まれる主要な悪意のあるドキュメントです。手法は異なりますが、リモートテンプレートドキュメントを分析し始めたときのように見えました。ドキュメントに埋め込まれたVBAコードにはいくつかの重要な類似点があります。以下では、ペイロードを抽出/ドロップ/実行するVBAコード内で、互いに密接に一致する2つの必須関数の2019年(左)と2020年(右)を並べて比較しています。

 VBAマクロは、2020年に使用されたファイルパスに似たファイルパスに、thumbnail.dbの最初のペイロードをドロップします。

 VBコードは、復号化キーをDLLペイロードであるthumbnail.dbにも渡します。以下に、これらのパラメーターを受け入れるthumbnail.db内のコードを示します。

 興味深いのは、この情報が渡される構造です。この2019年のサンプルは、2020年のキャンペーンで文書化したものと同じです。

 発見された別の類似点は、2019と2020の両方のサンプルでまったく同じ場所に存在する.dllインプラントの位置です。「UserForms1」の下の「o」フィールド。

 すべての2020 .dotm IoCは、「UserForms1」の下の「o」フィールド内に同じ.dllインプラントを含んでいますが、個別のスクリーンショットでこの説明を圧倒しないように、1つのサンプルのみを以下に示します。ここでは、2019年と2020年の両方の「o」セクションの類似点を確認できます。

 もう1つの類似点はdouble base64のエンコードですが、競合する仮説の精神で、他の敵もこのタイプのエンコードを使用する可能性があることに注意したいと思います。ただし、これらの類似点をインドの防衛請負業者の同じ魅力と組み合わせると、振り子は両方のキャンペーン間で共通の作者の片側に寄りかかるようになります。これは、攻撃者の攻撃ベクトルに追加されている別の手法を示している可能性があります。
 キャンペーンを動的に保ち、検出をより困難にする1つの方法は、埋め込みコードをリモートでホストすることです。犠牲者に送信されたドキュメント内にインプラントを埋め込むことには、1つの欠点があります。埋め込みコードは、ドキュメントが被害者の受信トレイに到達する前に検出される可能性があります。リモートでホストすることにより、ドキュメントが悪意のあるものとして分類されるリスクを冒すことなく、新しい機能でインプラントを簡単に切り替えることができます。

 コードの類似性分析によると、**-HAL-Manager.docに埋め込まれたインプラントには、2020年のキャンペーンのインプラントとの類似点がいくつか含まれています。ただし、**-Hal-Manager.docに関連付けられた2019キャンペーンで使用されているインプラントは、別のコンポーネントである可能性があると考えています。まず、Visual Basicマクロコードとエンコード方法(base64が二重)の明らかな類似点に加えて、いくつかの機能レベルの類似点があります。DLLファイルは、同様のパラメーターを使用して実行されます。


キャンペーンのコンテキスト:被害者

 スピアフィッシングメールが明らかにされていないため、被害者学は正確には知られていません。ただし、テレメトリ情報の分析やドキュメントコンテキストの魅力から、ある程度の洞察を得ることができます。ルアードキュメントには、アクティブな防衛契約との関係におけるエンジニアリングおよびプロジェクト管理の職務の説明が含まれていました。ターゲットを絞ったスピアフィッシングキャンペーンでこれらのドキュメントを受け取った個人は、以前のキャンペーンで確認したように、これらのルアードキュメント内のコンテンツや、防衛業界との関係や知識に関心を持っている可能性が高くなります。

インフラの洞察

 2019年と2020年のキャンペーンの分析により、イタリアと米国でホストされているドメインを含む、その背後にあるコマンドアンドコントロールインフラストラクチャへの興味深い洞察が明らかになりました。調査中に、正当なドメインを使用してコマンドと制御コードをホストするパターンを観察しました。これは、ほとんどの組織が信頼できるWebサイトをブロックしないため、攻撃者にとって有益です。これにより、セキュリティ制御がバイパスされる可能性があります。攻撃者は、実際のキャンペーンを開始する前に、ドメインを侵害する努力をしました。さらに、2019年と2020年の両方の求人キャンペーンは、elite4print.comでホストされている同じコマンドアンドコントロールサーバーを共有していました。
 さまざまなサブドメインを持つドメインmireene.comは、2020年に隠しコブラによって使用されました。ドメインmireene.comに該当する2020年にさまざまな操作で使用されることが確認されたドメインは、次のとおりです。
 ・saemaeul.mireene.com
 ・orblog.mireene.com
 ・sgmedia.mireene.com
 ・vnext.mireene.com
 ・nhpurumy.mireene.com
 ・jmable.mireene.com
 ・jmdesign.mireene.com
 ・all200.mireene.com
 これらのキャンペーンの一部は、2020年の防衛産業キャンペーンと同様の方法を使用しています。
 ・タイトルがEuropean External Action Service[8]の悪意のある文書
 ・韓国語のタイトルが付いた文書비 건미 국무부 부장관 서신 doc(米国国務省長官連絡文書20200302.doc)。

テクニック、戦術および手順(TTPS)

 このキャンペーンのTTPは、ルアーと同じ防衛請負業者を使用した、2017年の以前の隠しコブラ作戦のTTPと一致しています。2017年のキャンペーンでは、航空宇宙および軍事監視プログラムを含むエンジニアリングおよびプロジェクト管理職の職務説明など、特定のテクノロジーに関連する求人情報を含む悪意のあるMicrosoft Word文書も利用しました。これらの職務の説明は正当であり、国防請負業者のウェブサイトから直接取得されます。このキャンペーンで使用されている悪用方法は、リモートのOfficeテンプレートインジェクション方法に依存しています。これは、最近、国家主体が使用している技術です。
 ただし、EvilClippyなどのツールを使用してMicrosoft Officeドキュメントの動作を操作することは珍しくありません。たとえば、攻撃者は事前に作成されたキットを使用して、クリーンなドキュメントを操作し、悪意のある要素を埋め込むことができます。これは時間と労力を節約します。この方法では、キャンペーン全体で使用できる一貫したフォーマットが生成されます。その結果、悪意のある要素がドキュメントに埋め込まれる方法(base64でエンコードされたダブルペイロードなど)との一貫性が確認されました。これらの手法をMITER ATT&CKフレームワーク全体にさらにマッピングすることで、攻撃者が被害者を悪用するために使用したさまざまな手法を視覚化できます。

 これらのMicrosoft Officeテンプレートはコマンドアンドコントロールサーバーでホストされ、ダウンロードされたリンクは悪意のあるドキュメントの第1段階に埋め込まれています。
 これらのルアードキュメントからの求人情報は、特定の米国の防衛プログラムおよびグループとの仕事のためのポジションです。
 ・F-22戦闘機プログラム
 ・防衛、宇宙、セキュリティ(DSS)
 ・宇宙太陽電池用の太陽光発電
 ・航空統合戦闘機グループ
 ・軍用機の近代化プログラム
 以前の作戦と同様に、敵対者はこれらのルアーを使って個人をターゲットにしており、おそらくリクルーターまたはリクルートに関与している人物を装っています。
 私たちが観察したいくつかの求人情報:
 ・シニアデザインエンジニア
 ・システムエンジニア
 LinkedInなどの専門的なネットワークは、この種の職種の説明を配信するために使用できる場所です。

防御アーキテクチャの推奨事項

 このキャンペーンで利用されている戦術、手法、手順に対処するには、初期段階で攻撃を防止または検出できる多層防御セキュリティアーキテクチャが必要です。この場合の主要なコントロールには、次のものがあります。
 1.脅威インテリジェンスリサーチ&レスポンスプログラム
 特定の業種をターゲットとする最新の敵対的キャンペーンに対抗することが重要です。堅牢な脅威対応プロセスにより、制御がTTPに適応可能であることが保証され、この場合、認識が高まります。
 2.セキュリティ意識向上&レディネスプログラム
 攻撃者は、巧妙に作成されたルアーを使用したスピアフィッシングを利用しましたが、これは、保護技術では最初に検出するのが非常に困難です。攻撃者の最新の脅威インテリジェンスを知る、よくトレーニングされた準備の整った人材が防御の最前線で対応する必要があります。
 3.エンドユーザーデバイス セキュリティ
 適応可能なエンドポイントセキュリティは、このタイプの攻撃を早期に阻止するために重要です。特に、企業のWebプロキシやその他の階層型防御機能の背後ではなく、自宅で作業するユーザーにとって重要です。感染の最初の2つの段階を停止または検出するには、ファイルのないマルウェアを特定するエンドポイントセキュリティ機能、特に悪意のあるOfficeドキュメントと起動フォルダの変更を利用する永続化技術が必要です。
 4.Webプロキシ
 安全なWebゲートウェイは、エンタープライズセキュリティアーキテクチャの重要な部分であり、このシナリオでは、悪意のあるWebサイトへのアクセスを制限し、コマンドおよびコントロールサイトへのアクセスをブロックする可能性があります。
 5.Sec Ops
 エンドポイント検出および応答(EDR)は、ステージ1、2、または4で最も可能性の高い技術を検出するために使用できます。さらに、EDRは、脅威分析を通じて提供される初期ドキュメントおよびその他のインジケーターを検索するために使用できます。
 McAfee Endpoint ProtectionとEDRがこのキャンペーンで使用されている手法の一部、特に悪意のあるOfficeドキュメントの使用をどのように防止または検出できるかについての詳細は、以下の以前のブログおよびウェビナーをご参照ください。
 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/ens-10-7-rolls-back-the-curtain-on-ransomware/
 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/how-to-use-mcafee-atp-to-protect-against-emotet-lemonduck-and-powerminer/
 https://www.mcafee.com/enterprise/en-us/forms/gated-form.html?docID=video-6157567326001

Indicators of Compromise

SHA256 File Name 322aa22163954ff3ff017014e357b756942a2a762f1c55455c83fd594e844fdd ******_DSS_SE.docx a3eca35d14b0e020444186a5faaba5997994a47af08580521f808b1bb83d6063 ******_PMS.docx d1e2a9367338d185ef477acc4d91ad45f5e6a7d11936c3eb4be463ae0b119185 ***_JD_2020.docx ecbe46ca324096fd5e35729f39fa3bda9226bbefd6286d53e61b1be56a36de5b ***_2020_JD_SDE.docx 40fbac7a241bea412734134394ca81c0090698cf0689f2b67c54aa66b7e04670 83878C91171338902E0FE0FB97A8C47A.dotm 6a3446b8a47f0ab4f536015218b22653fff8b18c595fbc5b0c09d857eba7c7a1 ******_AERO_GS.docx df5536c254a5d9ac626dbff7525de8301729807433d377db807ce3d8bc7c3ffe **_IFG_536R.docx 1b0c82e71a53300c969da61b085c8ce623202722cf3fa2d79160dac16642303f 43.dotm d7ef8935437d61c975feb2bd826d018373df099047c33ad7305585774a272625 17.dotm 49724ee7a6baf421ac5a2a3c93d32e796e2a33d7d75bbfc02239fc9f4e3a41e0 Senior_Design_Engineer.docx 66e5371c3da7dc9a80fb4c0fabfa23a30d82650c434eec86a95b6e239eccab88 61.dotm 7933716892e0d6053057f5f2df0ccadf5b06dc739fea79ee533dd0cec98ca971 ******_spectrolab.docx 43b6b0af744124da5147aba81a98bc7188718d5d205acf929affab016407d592 ***_ECS_EPM.docx 70f66e3131cfbda4d2b82ce9325fed79e1b3c7186bdbb5478f8cbd49b965a120 ******_dds_log.jpg adcdbec0b92da0a39377f5ab95ffe9b6da9682faaa210abcaaa5bd51c827a9e1 21대 국회의원 선거 관련.docx dbbdcc944c4bf4baea92d1c1108e055a7ba119e97ed97f7459278f1491721d02 외교문서 관련(이재춘국장).docx URLs hxxps://www.anca-aste.it/uploads/form/02E319AF73A33547343B71D5CB1064BC.dotm hxxp://www.elite4print.com/admin/order/batchPdfs.asp hxxps://www.sanlorenzoyacht.com/newsl/uploads/docs/43.dotm hxxps://www.astedams.it/uploads/template/17.dotm hxxps://www.sanlorenzoyacht.com/newsl/uploads/docs/1.dotm hxxps://www.anca-aste.it/uploads/form/******_jd_t034519.jpg hxxp://saemaeul.mireene.com/skin/board/basic/bin hxxp://saemaeul.mireene.com/skin/visit/basic/log hxxps://web.opendrive.com/api/v1/download/file.json/MzBfMjA1Njc0ODhf?inline=0 hxxps://od.lk/d/MzBfMjA1Njc0ODdf/pubmaterial.dotm hxxps://www.ne-ba.org/files/gallery/images/83878C91171338902E0FE0FB97A8C47A.dotm

結論

 要約すると、ATRは誤った職務記述を使用して、航空宇宙および防衛産業に焦点を当てたターゲットを絞ったキャンペーンを追跡しています。このキャンペーンは、共有TTPに基づいて非常によく似ており、2017年に同じ業界の一部をターゲットにしたキャンペーンが発生しました。このキャンペーンは2020年4月上旬に始まり、最新の活動は6月中旬に行われました。キャンペーンの目的は、職務記述書で業界に関係のある個人から情報を収集することです。
 さらに、悪意のあるドキュメントに対するフォレンジック調査では、韓国語と英語の言語システムを使用して、同じ敵によって作成されたことが示されています。さらに、これらのドキュメントの作成に使用された正当なテンプレートファイルの発見は、このキャンペーンの開発に投入された初期の研究の一部にも光を当てています。McAfee ATRは以前にこれらの手法を観察しましたが、2017年と2019年の以前のキャンペーンでは同じTTPを使用していましたが、2020年には活動が増加したと結論付けることができます。
 McAfeeはこれらの脅威を次のように検出します。
 ・Trojan-FRVP!2373982CDABA
 ・Generic Dropper.aou
 ・Trojan-FSGY!3C6009D4D7B2
 ・Trojan-FRVP!CEE70135CBB1
 ・W97M/Downloader.cxu
 ・Trojan-FRVP!63178C414AF9
 ・Exploit-cve2017-0199.ch
 ・Trojan-FRVP!AF83AD63D2E3
 ・RDN/Generic Downloader.x
 ・W97M/Downloader.bjp
 ・W97M/MacroLess.y
 NSPのお客様には、「HTTP:Microsoft Office OLEArbitrary Code Execution Vulnerability(CVE-2017-0199)」に新しいシグネチャが追加されます。更新された攻撃は、2020年7月28日にリリースされた最新のNSP sigsetリリースであるsigset 10.8.11.9の一部です。KBの詳細は、KB55446で確認が可能です。
 ※本ページの内容は2020年7月29日(US時間)更新の以下のMcAfee Blogの内容です。
 原文:Operation (노스 스타) North Star A Job Offer That’s Too Good to be True?
 著者:McAfee Labs
■関連サイト
McAfee BLOGのエントリー McAfee BLOG Central(英語) McAfee BLOG(日本語)

外部リンク

cat_oa-ascii_issue_94f1430685c6 oa-ascii_0_c6f6974c0553_『真・女神転生ⅢHD』悪魔全書PV【第2章】が公開!15種族の悪魔を紹介 c6f6974c0553 c6f6974c0553 『真・女神転生ⅢHD』悪魔全書PV【第2章】が公開!15種族の悪魔を紹介 oa-ascii

『真・女神転生ⅢHD』悪魔全書PV【第2章】が公開!15種族の悪魔を紹介

2020年8月6日 19:40 アスキー

アトラスは8月6日、Nintendo Switch/PlayStation 4用ソフト『真・女神転生Ⅲ NOCTURNE HD REMASTER』の公式サイトを更新。2020年8月5日より3日間連続で公開していく「悪魔全書PV」の第2章を公開した。
今回は「聖獣、幻魔、神獣、霊鳥、精霊、威霊、御魂、鬼神、龍神、軍神、破壊神、地母神、大天使、女神、魔神」15種族の悪魔を紹介している。

悪魔全書PVの第2章はこちら

Youtube動画https://www.youtube.com/embed/Mi95ySzpg1w

「『#真3HDベストオブ悪魔』みんなで選ぶ真3HD悪魔ランキング」開催!

詳しくはこちらをご覧ください。
https://www.atlus.co.jp/news/14058/

●公式Twitter:@megaten_atlusも最新情報続々!
 

【ゲーム情報】


タイトル:真・女神転生Ⅲ NOCTURNE HD REMASTER
プラットフォーム:Nintendo Switch/PlayStation 4
ジャンル:RPG
発売日:2020年10月29日
価格 :通常版 6578円/限定版 1万5378円
CERO:B(12歳以上対象)
販売:アトラス
  ■関連サイト
『真・女神転生Ⅲ NOCTURNE HD REMASTER』 公式サイト 『真・女神転生』シリーズ公式Twitter 購入ガイド
©ATLUS
©SEGA All rights reserved.

外部リンク

cat_oa-ascii_issue_94f1430685c6 oa-ascii_0_4f1bd0ee33d0_ヌーラボがフルリモート勤務へ移行、採用時の勤務地条件を廃止 4f1bd0ee33d0 4f1bd0ee33d0 ヌーラボがフルリモート勤務へ移行、採用時の勤務地条件を廃止 oa-ascii

ヌーラボがフルリモート勤務へ移行、採用時の勤務地条件を廃止

2020年8月6日 19:00 アスキー

 ヌーラボは8月5日、新型コロナウイルスの感染拡大防止のために取り組んだテレワークを今後も継続し、出社を前提としないワークスタイルに変更したと発表した。これに伴い、採用時の勤務地条件を廃止し、全国でフルリモート勤務を前提とした採用活動を開始した。
 ヌーラボは、プロジェクト管理ツール「Backlog(バックログ)」、ビジュアルコラボレーションツール「Cacoo(カクー)」、ビジネスディスカッションツール「Typetalk(タイプトーク)」など、チームのコラボレーションを促進するツールをを開発、提供している。
 ヌーラボは、一昨年度よりテレワーク規程を策定し、週1回までのテレワークを実施してきた。新型コロナウイルスの感染拡大が始まった2月中旬からは、週1回の制限をなくしテレワークを推奨している。また、日頃から自社で開発・提供している「Backlog」「Cacoo」「Typetalk」を全職種で活用し、大半の業務がオンライン化されていたことからも出社しなくても運用できる業務体制の構築が進みやすい環境にあるという。
 この業務状況から、今後も出社を前提としないワークスタイルを推進し、オフィスワーク、テレワークを個人が選べる環境を整えることを決定。将来的には国内拠点のオフィスの在り方の見直しを計画している。直近では、東京事務所を移転・縮小することが決定した。

 ヌーラボでは以前から複数拠点で業務を進めていたため、「オンライン環境の中でも協働することができる能力」を測る採用フローの構築に取り組んできた。今後、現在採用を行なっている全ての職種から勤務地条件を廃止し、全国でフルリモートを前提とした採用を行なう。なお、全ての選考プロセスはオンラインで完結する。現在採用を行っているポジションはこちらの採用ページから確認できる。
 ヌーラボは、テレワークをスムーズに進めるために様々な制度構築、取り組みをしている。下記の他、管理部において「クラウドサイン」を導入し、捺印のための出社の削減に務めるなどの業務改善も進めている。
(1)光熱費や通信費をケアするテレワーク手当
 4月に家庭でのテレワーク環境を構築することを目的とし、臨時賞与として社員全員に3万円を付与。その他、継続的に負担が見込まれる光熱費や通信費をケアするためのテレワーク手当を月1万円支給することを決定した。このテレワーク手当は、7月より月1.5万円へ増額した。
(2)コアタイムのないフレックスタイム制度
 1日の始業時間と終業時間を個人の裁量に任せるフレックスタイム制度を導入。コアタイムは2018年に廃止しました。これにより、「早退」や「遅刻」という概念をなくし、子育て中の社員など個々のライフスタイルや家庭事情に合わせたワークスタイルを実現したという。
(3)勤続年数に左右されない有給休暇、子育て休暇
 ヌーラボは、9割以上の社員が中途入社だという。労働基準法にある、勤続年数に応じた有給付与ではなく、入社初日に10日、入社1年ごとに20日の有給休暇を付与している。また、妊娠中の従業員と3歳未満の子どもがいる家庭には、扶養の可否に関わらず、月1日の有給休暇を付与している。
 これにより、コロナ禍における家庭でのテレワークの両立が難しい家庭でも、気軽に休暇を取得することにつながっているという。
(4)組織に斜めの関係性をもたらすSmall Talk制度
 テレワークにより業務での関わりがない社員との関係性構築が難しい環境になったことで開始した取り組み。異なる部署のメンバーと定期的に雑談する時間を設けている。
(5)北海道東川町・沖縄県宮古島市で行なうリゾートワーク制度

 社員がリゾート地でワーケーション、もしくは有給取得をする制度。2018年より沖縄県宮古島市へ、2019年からは北海道東川町を追加し社員を派遣している。本制度は、福利厚生や慰安を目的とした制度ではなく、人事労務課が現地の学校や企業と連携し、社員のオリジナルの授業を企画・実施することを条件とした教育研修制度。社員の居住地と同行する家族の人数に応じて会社が手当を付与する。過去2年間で累計20名が制度を利用している。
■関連サイト
ニュースリリース ヌーラボ

外部リンク

cat_oa-ascii_issue_94f1430685c6 oa-ascii_0_ec7bd267f47c_「休業を乗り越えた経営者に聞く、強い現場のつくり方」開催レポート ec7bd267f47c ec7bd267f47c 「休業を乗り越えた経営者に聞く、強い現場のつくり方」開催レポート oa-ascii

「休業を乗り越えた経営者に聞く、強い現場のつくり方」開催レポート

2020年8月6日 19:00 アスキー

 ワークスモバイルジャパンは6月30日、オンライントークイベント「会えなくても仕事が進む Episode1 休業を乗り越えた経営者に聞く、強い現場のつくり方」を開催した。オンラインで開催した本イベントの内容と登壇者のコメントを一部抜粋して紹介する。
 モデレーターに、TECH.ASCII.jp編集長 大谷イビサ、トークゲストに、箱根で創業70年を迎える人気老舗旅館 和心亭豊月を経営する専務取締役 杉山 慎吾さんと、東京・長野・福岡に店舗を持つエステサロンを経営するアンジェラックス 最高人事責任者 CHRO 大杉 一真さんを招き、コロナ禍で会えない・離れた環境で働く仲間や顧客との距離感を埋めるコミュニケーション術、具体的な取り組み事例も交えて語ってもらった。

業界の課題(before コロナ)

杉山氏:働き手を確保するのが難しく、人に悩まされる離職率が高い業界だと感じています。
大杉氏:離職率が高く、情報管理や集客など、まだまだアナログでIT整備があまり進んでいません。

コロナ禍、休業中の顧客とのコミュニケーション

杉山氏:4月5月は、緊急事態宣言後にお店を閉めることにしました。売上集客が-95%~-85%に落ち込みましたが、再開に向けてお客様を迎える準備を進めました。
除菌対策はできる限りの対応を検討しました。ただし、お客様を菌のように扱うのはとても心苦しいことです。お客様を検温することも、非常に悩んだことの一つでした。
大杉氏:東京、福岡を除き、長野の店舗だけ営業し、売上は昨年比50%になりました。現状お客様が少しずつ戻ってきてくださっている状況ですが、そもそも、お客様と対面する商売であり、どうお客様を受け入れるのか非常に悩みました。お客様に自信を持って「来てください」と言えない状況の中で、リピーター様には「今お店はどういう状況なのか」を正直に、真摯な気持ちを込めて、直筆のお手紙を送りました。

コロナ禍、休業中の従業員とのコミュニケーション

杉山氏:シフト勤務のため、そもそも全社員が一斉に集まるタイミングは少ないです。ただ、従業員は会って話がしたい、会議をしたくてしょうがないと思っています。そのような状況で、経営陣としては理念の浸透、フローの共有、従業員の意見聴取など非常にコミュニケーションに時間がかかる課題を抱えていて、イントラや、グループウェアを検討していました。いくつか他のサービスを試した上で、休業が現実味を帯びてきたタイミングの2020年3月に「LINE WORKS」の導入を決定しました。
導入前に従業員から話を聞いてみたところ、経営陣と従業員で、業務で使用する連絡ツールの利用について感覚が違うことに驚きました。経営陣は、業務連絡など、プライベートと仕事の棲み分けをきちんとしなければと感じていましたが、従業員は、携帯の2台持ちなどは不便で、連絡や通知は都度で問題はなく、LINEのような手軽さを求めていました。
大杉氏:東京の従業員はほぼ自宅待機。一方で長野の店舗の従業員だけ働く状態でした。この不平等感をどうマネージメントするかが課題でした。実践した取り組みとしては、職業訓練として、オンライン研修を行いました。「LINE WORKS」での連絡は、トピックごとにトークを分けられるのが良く、細かくコミュニケーションをすることができます。なお、先の見えない状況下で会うことができず、離れている従業員の不安解消のため、定期的にオンラインで経営陣から状況とwithコロナの方針を共有し、距離感を埋めることができたと思います。
杉山氏:メッセージをより正確に伝え、納得感のある状態で従業員を同じベクトルに向かせるために、コミュニケーションを文字に残せることが非常に良かったです。日々のオペレーションに活用しながら、今後のサービス向上に活用できるナレッジをストックするために「LINE WORKS」を利用しています。
大杉氏:ITツールの導入において、従業員のリテラシーの問題もありました。幅広い年齢層の方が働いている中で、使い慣れたものでないと利用に抵抗感が生まれてしまいます。もちろん、プライベートは侵食したくない想いもある中で、LINEじゃなくてLINEっぽいもの、コミュニケーション活性化のため、スタンプが使えるものが良いと考えていました。業務連絡はもちろん、チームの勢いを可視化するものとしても、「LINE WORKS」を有効活用しています。

これからのコミュニケーション

大杉氏:リアルとオンラインはコミュニケーションの深さに違いがあります。従業員の絆は、迷惑をかけて、かけあってできるものだと思います。オンラインは良いところをアピールしやすいですが、自分のできないことや、失敗やダメなところを表現するのは難しい側面があると感じています。
杉山氏:我々の仕事は、最後はリアルコミュニケーションです。業界としても、オンラインのコミュニケーションで、できることはとことん挑戦して、最後の対面コミュニケーションに磨きをかけるのが大事だと感じています。そこに挑戦したい。現在、従業員の手書きの報告書はやめて、「LINE WORKS」のアンケート機能を使って情報蓄積に活かしたり、お客様が利用するお風呂の混雑状況を従業員に知らせるBot機能を連携させて清掃や準備をスムーズに行ったりして、お客様の満足度を上げる仕組みを作っているところです。
大杉氏:完全キャッシュレス、サブスクリプションを導入し、チェックインからお支払いまでスマートフォンで完結する、紙なしのフルデジタルなお店を新しくオープンしました。既存の店舗は、紙文化をすぐにオンラインに切り替えるのは難しく、今後チャレンジしていきたいと思っています。クラウドやITサービスを活用してオンラインの仕組みを構築し、最後の対面コミュニケーションと掛け合わせて、最高のサービスを提供していきます。
 ワークスモバイルジャパンのウェブサイトにてアンジェラックス、ASCII.jp特設ページにて和心亭豊月へのインタビューを掲載している。
アンジェラックス https://line.worksmobile.com/jp/cases/angelux2020/
和心亭豊月 https://ascii.jp/elem/000/004/011/4011435/

「会えなくても仕事が進む!Episode2」を開催

 8月6日17時30分より、「会えなくても仕事が進む!Episode2 LINE WORKSではじめる地域包括ケア時代の情報連携」と題して、医療・介護 業界のリーダーを招き、これからの地域包括ケアの働き方について実例を交えて紹介する。

「会えなくても仕事が進む!Episode2」

日時:2020年8月6日(木)17時30分~18時30分
場所:オンライン
登壇者:
・モデレーター TECH.ASCII.jp編集長 大谷 イビサ
・トークゲスト
 GIFTED アクア薬局 代表取締役 加藤 信幸 氏
 健育会 ひまわり在宅サポートグループ 在宅部長 若林 陽盛 氏
URL:https://www.linebrain.ai/lineaiday2020/
■関連サイト
ワークスモバイルジャパン

外部リンク