Categories: 脅威リサーチ

脅威の発生源(4 月 25 日)

「脅威の発生源」ニュース レターでは、Talos からの最新情報を週ごとにお伝えします。

まだ登録をお済ませでない方は、今年の Talos Threat Research Summit にぜひご登録ください。防御側による、防御側のための年次イベントとして 2 回目となる今年は、Cisco Live の開幕日と同じ 6 月 9 日にサンディエゴで開催されます。昨年の参加チケットは売り切れましたので、今年もお早めにご登録ください。

DNSpionage に関する最初の投稿から数週間経過しましたが、Talos は攻撃者が配布している新しいマルウェア、ターゲット数の増加など、このマルウェアに関する最新情報を公開しました。

今回の記事では、ブログで毎週金曜日の午後に配信される週ごとの「脅威のまとめ」も記載しています。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認・ブロックした最も顕著な脅威についてご紹介しています。

今後予定されている Talos の公開イベント

イベント:Cisco Connect ソルトレイクシティ

場所:ユタ州ソルトレイクシティ

日付:4 月 25 日

講演者:Nick Biasini

あらすじ:全日の教育イベントでは、シスコのさまざまな情報について Nick Biasini が解説します。セッションのひとつでは特に Talos について取り上げ、Talos の業務内容や運営について簡単にご説明します。また、Talos チームにとって最も頭の痛い脅威や、一般的に最も懸念すべき傾向についてもご紹介します。

サイバー セキュリティ週間の概要

  • Facebook 社は、ユーザの許可なしで 150 万以上のユーザの電子メール連絡先が誤ってアップロードされていた可能性があると発表しました。ただし関係者によると、連絡先情報は Facebook 社外部の誰とも共有されておらず、すべての電子メール アドレスは削除済みです。
  • Carbanak バックドアのソース コードが、このマルウェア背後のグループのビルダーや他のコードとともに VirusTotal で発見されました。Carbanak 背後のグループは、約 100 社の米国企業に対してマルウェアを仕掛けています。
  • 米国は、日本に対するサイバー攻撃は、日米安全保障条約のもとで戦争行為とみなすことができると述べています。日本の防衛幹部は、このことは「抑止の観点から重要」としています。
  • シンガポールの首脳は、最近データ漏えいの波が押し寄せているにもかかわらず、近代化は止めないと述べています。政府サービスにテクノロジーを組み込んでいることを自負しているシンガポールでは、最近 HIV 患者のリストを含む複数の政府データベースのデータ漏えいが発生しています。
  • 最近の調査の結果、パスワード「123456」が、昨年アカウントがハッキングされたユーザに最も一般的なパスワードであったことが判明しました。2 番目に多く使用されていた文字列は「123456789」でした。
  • 先週、Weather Channel がランサムウェア攻撃に見舞われ、1 時間以上にわたって放送障害が発生しました。FBI がこの攻撃の調査を開始しました。
  • 2012 ~ 2015 年にマルウェアを作成したとする容疑を受けていた著名なセキュリティ研究者が罪を認めました。オンライン上で MalwareTech として知られていたこの男は、2017 年に WannaCry ランサムウェア攻撃の阻止に貢献しました。

 

最近の注目すべきセキュリティ問題

タイトル:Sea Turtle のキャンペーンによって DNS ハイジャックの危険性が浮き彫りに
説明:Cisco Talos は、「Sea Turtle」と呼ばれる新しいサイバー脅威キャンペーンを発見しました。このキャンペーンでは、主に中東や北アフリカに設置されている国家安全保障組織を含む官民の機関が標的にされました。Sea Turtle の継続的な活動は、すでに 2017 年 1 月から開始されていた模様で、2019 年第 1 四半期まで継続されています。調査によると、このキャンペーンでは、13 ヵ国の少なくとも 40 の異なる組織が侵害されたことが明らかになりました。Talos は、この活動が、機密性の高いネットワークやシステムへの永続的なアクセスの取得を目指す国家に支援された高度な攻撃者によって実行されていると確信しています。

Snort SID2281、31975 – 31978、31985、32038、32039、32041 – 32043、32069、32335、32336、41909、41910、43424 – 43432、44531、46897、46316

 

タイトル:シスコが重大な脆弱性を含む 31 の脆弱性を公開
説明:先週シスコは、31 の脆弱性のアドバイザリを公開しました。この中には、シスコの IOS および IOS XE Software Clusterm Management、Cisco ASR 9000 シリーズ ルータの IOS ソフトウェアの「重大な」パッチが含まれています。Cisco Wireless LAN コントローラに関連するその他の脆弱性も公開されています。パッチが適用されていない場合、攻撃者はこれらの脆弱性を悪用してサービス妨害攻撃を実行したり、リモートでコードを実行したりする可能性があります。
Snort SID49858、49859、49866、49867、49879

今週最も多く見られたマルウェア ファイル

SHA 2563f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD547b97de62ae8b2b927542aa5d7f3c858
典型的なファイル名:qmreportupload.exe
偽造名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos

SHA 2568f236ac211c340f43568e545f40c31b5feed78bdf178f13abe498a1f24557d56
MD54cf6cc9fafde5d516be35f73615d3f00
典型的なファイル名:max.exe
偽造名:语言程序
検出名:Win.Dropper.Armadillo::1201

SHA 256c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5e2ea315d9a83e7577053f52c974f6a5a
典型的なファイル名:Tempmf582901854.exe
偽造名:N/A
検出名:W32.AgentWDCR:Gen.21gn.1201

SHA 25615716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5799b30f47060ca05d80ece53866e01cc
典型的なファイル名:799b30f47060ca05d80ece53866e01cc.vir
偽造名:N/A
検出名:W32.Generic:Gen.21ij.1201

SHA 25646bc86cff88521671e70edbbadbc17590305c8f91169f777635e8f529ac21044
MD5b89b37a90d0a080c34bbba0d53bd66df
典型的なファイル名:u.exe
偽造名:Orgs ps
検出名:W32.GenericKD:Trojangen.22ek.1201

 

本稿は 2019年4月25日に Talos Group のブログに投稿された「Threat Source (April 25)」の抄訳です。

TALOS Japan

Talos は、ネットワーク脅威の専門家集団です。Talos が提供する脅威インテリジェンスの情報は、既知および未知の脅威からお客様のネットワークを保護するためにシスコのセキュリティ製品によって活用されています。