「脅威の発生源」ニュース レターでは、Talos からの最新情報を週ごとにお伝えします。
まだ登録をお済ませでない方は、今年の「Talos Threat Research Summit」にぜひご登録ください。防御側による、防御側のための年次イベントとして 2 回目となる今年は、Cisco Live と同じ 6 月 9 日にサンディエゴで開催されます。昨年の参加チケットは売り切れましたので、今年もお早めにご登録ください。
今回の記事では、ブログで毎週金曜日の午後に配信される週ごとの「脅威のまとめ」も記載しています。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認・ブロックした最も顕著な脅威についてご紹介しています。
今後予定されている Talos の公開イベント
場所:ユタ州ソルトレイクシティ
日付:4 月 25 日
講演者:Nick Biasini
あらすじ:全日の教育イベントでは、シスコのさまざまな情報について Nick Biasini が解説します。セッションのひとつでは特に Talos について取り上げ、Talos の業務内容や運営について簡単にご説明します。また、Talos チームにとって最も頭の痛い脅威や、一般的に最も懸念すべき傾向についてもご紹介します。
サイバー セキュリティ週間の概要
- Facebook に登録しようとした一部のユーザ、自分の電子メール アカウントのパスワードを入力するよう求められる。同社によるとこの制度は廃止する予定で、該当のパスワードを同社のサーバに保存したことはないようです。
- Facebook 社の Mark Zuckerberg CEO、より厳格なインターネット プライバシー法と選挙法の採用を先週、米国政府に要求。同氏はインタビューの中で、オンラインで禁止されるべきテロのコンテンツやヘイト スピーチについて定める独立した組織を立上げるよう米国政府に求めています。
- Google 社の最新のセキュリティ情報では、Android オペレーティング システムに存在する 3 件の重大な脆弱性について警告しています。これらのバグでは、ユーザを誘導して悪質なファイルを開かせることで、攻撃者がデバイスの制御を奪う危険性があります。
- オーストラリアとシンガポールの両国では、暴力的なコンテンツをすぐに削除しない Web サイトに厳しい処罰を課す新規則を導入。オンラインで流通するテロ支持コンテンツを減らす狙いがあります。
- Planet Hollywood 社と Buca di Beppo 社の親会社、200 万人以上の顧客のクレジットカード情報を盗まれる。両店では数ヶ月間、POS システム上にマルウェアが常駐していたようです。
- 世界最大手の化学会社 Bayer 社、サイバー攻撃を受けたがデータは流出せずと発表。同社によると、APT によるスパイ行為が数ヶ月も続きましたが、これまでのところ「データ流出」が確認されていません。
- 2 人のサードパーティ アプリ開発者により、200 万人以上の Facebook ユーザの個人情報が流出した可能性あり。セキュリティ研究者によると、流出したデータ セットが Amazon Web Services S3 サーバから発見されました。
- 韓国大手の暗号通貨取引所(Bithumb)、強盗により何百万ドル相当の通貨が盗まれる。Bithumb 社によると、攻撃は社内の複数の従業員によって実行されました。
- シスコ、今年初めにリリースした 2 件のルータ更新プログラムが正常に動作しないと発表。RV320 および RV325 の各ルータでは実際の攻撃が確認されたため、シスコは新しい修正プログラムを準備しています。
最近の注目すべきセキュリティ問題
件名:Huawei PCManager では、攻撃者が Windows カーネルを変更できる脆弱性を確認。
説明:Microsoft 社、Huawei 社の PCManager で見つかった脆弱性により、同社製 MateBook マシンの Windows 10 カーネルを変更できる危険性を最近発見。脆弱性について同社は 1 月に修正済みですが、実際に公開されたのはつい先日です。攻撃者はユーザを誘導して悪質なアプリケーションを実行させることで、脆弱性をエクスプロイトできる可能性があります。
Snort SID:49628 – 49632
説明:シスコは先週、IOS で確認された 24 件の脆弱性を修正するため、多数の更新プログラムをリリースしました。シスコはまた、RV シリーズの 2 種類のルータも攻撃を受ける危険性があると警告しています。ただし現時点では修正方法がありません。IOS XE には 15 件のバグが存在します。IOS XE は、スイッチ、ルータ、コントローラといったシスコのネットワーク機器で動作します。
Snort SID:49606 – 49616, 49588 – 49591
今週最も多く見られたマルウェアファイル
SHA 256:d98edcaf8acdd135b38ad5d6ce503e59868555f5acb6aaa95017ec758a6603ac
MD5:a7608ce0baea081df610eb9accb4400e
典型的なファイル名:
emotet_e1_d98edcaf8acdd135b38ad5d6ce503e59868555f5acb6aaa95017ec758a6603ac_2019-03-26__175503.exe_
偽装名:Advanced PDF Converter
検出名:W32.d98edcaf8a.Malspam.MRT.Talos
SHA 256:ec604bc4c6020b69868f14ea05295ac7c27e0ec01c288657199d8917850f3443
MD5:97911a1da380f874393cf15982c6b1b9
典型的なファイル名:spoolsv.exe
偽装名:MicrosoftR WindowsR オペレーティング システム
検出名:W32.GenericKD:Trojan.22co.1201
SHA 256:3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5:47b97de62ae8b2b927542aa5d7f3c858
典型的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos
SHA 256:8f236ac211c340f43568e545f40c31b5feed78bdf178f13abe498a1f24557d56
MD5:4cf6cc9fafde5d516be35f73615d3f00
典型的なファイル名:max.exe
偽装名:语言程序
検出名:Win.Dropper.Armadillo::1201
SHA 256:46bc86cff88521671e70edbbadbc17590305c8f91169f777635e8f529ac21044
MD5:b89b37a90d0a080c34bbba0d53bd66df
典型的なファイル名:u.exe
偽装名:Orgs ps
検出名:W32.GenericKD:Trojangen.22ek.1201
今週のトップスパム統計
スパムの件名のうち、観察された上位 5 件
- 「Microsoft アカウント チーム」
- 「受賞情報」
- 「3D セキュア」
- 「Re:要注意:毎月の有効性チェックに失敗しました。」
- 「注意:資金の受け取り先98.183.155」
スパム送信に最も使用されている 上位 5 つのASN
- 8075 Microsoft 社
- 20792 VISTEC Internet Service GmbH
- 15169 Google LLC
- 1832 サザンメソジスト大学
- 46664 VolumeDrive
本稿は 2019年4月4日に Talos Group のブログに投稿された「Threat Source (April 4)」の抄訳です。