Cisco Japan Blog

脅威情報(2019 年 5 月 2 日)

1 min read



 

脅威情報ニュース レターでは、Talos からの最新情報を週ごとにお伝えします。

まだ登録をお済ませでない方は、今年の「Talos Threat Research Summit」にぜひご登録くださいpopup_icon。防御側による、防御側のための年次イベントとして 2 回目となる今年は、Cisco Live の開幕日と同じ 6 月 9 日にサンディエゴで開催されます。昨年の参加チケットは売り切れましたので、今年もお早めにご登録ください。

今週お届けする情報は Talos 独自の調査結果が集中しています。最初に紹介する Sodinokibi ランサムウェアpopup_iconは、Oracle WebLogic のゼロデイ脆弱性によって配布されていることが確認されています。本日 Talos は、Qakbot の新しい亜種popup_iconに関する調査結果もリリースします。これは古いバージョンよりも検出が困難な亜種です。

記事の最後には、ブログで毎週金曜日の午後に配信される週ごとの「脅威のまとめ」popup_iconも記載しています。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認およびブロックした最も顕著な脅威についてご紹介しています。

今後予定されている Talos の公開イベント

イベント:Copenhagen Cybercrime Conferencepopup_icon(コペンハーゲン サイバー犯罪会議)

開催地:Industriens Hus(産業連盟ビル)(デンマーク、コペンハーゲン)

日付: 5 月 29 日

講演者:Paul Rascagneres

骨子:Rascagneres 氏が「DNSpionage」と呼ばれる中東を標的としたスパイ活動の概要を話します。まずマルウェアとその標的について説明し、それから攻撃者が DNS に指示するために取ったプロセスについて話します。講演では、米国の国土安全保障省による警告も含め、この攻撃で発生したすべてのイベントが時系列に示されます。

サイバー セキュリティ週間の概要

  • シスコ、Nexus 9000 シリーズ ACI(アプリケーション セントリック インフラストラクチャ)モードのデータセンター スイッチで発見された重大な脆弱性popup_iconを公開。これは、システムレベルのリソースが密かにアクセスされる可能性のある脆弱性です。シスコは 39 件のその他のバグも同日公開しています。
  • Google Chrome、最新バージョンのブラウザで 2 つの脆弱性を修正popup_icon。そのうち 1 つは重大度が「高」と位置づけられた SQLite の境界外読み取りに関する脆弱性です。
  • Citrix、攻撃を受けた同社のシステムで約 6 ヵ月にわたって攻撃が永続化し、従業員の個人データが窃取されたpopup_icon可能性があることを発表。同社は攻撃の影響範囲はまだ把握できていないが、窃取対象には社会保障番号、名前、財務情報が含まれている可能性があると話しています。
  • テクノロジー企業が身代金の支払いを拒否した結果、複数の大手企業の財務情報がオンラインで流出popup_icon。ドイツの IT プロバイダー Citycomp のデータが窃取され、それには、Oracle、ポルシェ、東芝に関する情報が含まれていました。
  • Magecart、OpenCart web サイトで新たな攻撃popup_iconを開始。このクレジット カード情報を窃取するマルウェアは、現在ショッピング サイトのインターフェイスとして最も一般的な e-コマース プラットフォームを標的としています。
  • Slack、国民国家が支援するサイバー攻撃の標的popup_iconになっている可能性を投資家に警告。グループ メッセージング プラットフォームを提供する同社は、予定している IPO(新規公開株)に先だって、継続的な脅威を受けていること明らかにしました。
  • 8,000 万件を越える米国世帯の機密情報を保持popup_iconするデータベースが公開された問題で、データベースの所有者は未だ不明。
  • Apple、App ストアから複数のペアレンタル コントロール アプリを削除popup_icon。同社は、これらのプログラムには「極めて侵入性の高い」不正なモバイル デバイス管理手法が使われていたと伝えています。
  • ノルウェーのアルミニウム メーカー、Norsk Hydro が、最近のランサムウェア攻撃の被害額を第 1 四半期で 5,200 万ドル相当popup_iconと概算。

最近の注目すべきセキュリティ問題

タイトル:Oracle の脆弱性によりユーザがリモートコード実行の攻撃の標的にpopup_icon
説明:Oracle は、リモートコード実行を許可する可能性のある WebLogic サーバのアウトオブバンドの脆弱性に対してパッチをリリースしました。今月初め、この脆弱性がエクスプロイトされたケースをセキュリティ調査員が確認しています。Oracle はこの脆弱性に CVE-2019-2725 を割り当て、CVSS スコアを 10 点中 9.8 としており、問題の深刻さが注目されています。同社は WebLogix サーバの所有者にできるだけ早い更新を呼びかけています。

Snort ID49942、49943

 

タイトル:JasperLoader と Gootkit(バンキング型トロイの木馬)が共にヨーロッパを標的にpopup_icon
説明:「JasperLoader」として知られるこのローダの活動はこの数ヵ月で活発化しており、現在は主に中央ヨーロッパ諸国、特にドイツとイタリアを標的とする悪意のあるスパム キャンペーンを通じて配布されています。JasperLoader は、複数段階にわたる感染プロセスを採用しており、分析を困難にする複数の難読化技術を活用します。このローダーは、復元力と柔軟性を念頭に置いて設計されているようです。このことは、完全プロセスの後半で裏付けられています。
Snort ID49914、49915

今週最も多く見られたマルウェアファイル

SHA 2563f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3popup_icon
MD547b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:?qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos

SHA 2567acf71afa895df5358b0ede2d71128634bfbbc0e2d9deccff5c5eaa25e6f5510popup_icon
MD54a50780ddb3db16ebab57b0ca42da0fb
一般的なファイル名:xme64-2141.exe
偽装名:N/A
検出名:W32.7ACF71AFA8-95.SBX.TG

SHA 256c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048fpopup_icon
MD5e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:Tempmf582901854.exe
偽装名:N/A
検出名:W32.AgentWDCR:Gen.21gn.1201

SHA 25615716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8bpopup_icon
MD5799b30f47060ca05d80ece53866e01cc
一般的なファイル名:799b30f47060ca05d80ece53866e01cc.vir
偽装名:N/A
検出名:W32.Generic:Gen.21ij.1201

SHA 256d05a8eaf45675b2e0cd6224723ededa92c8bb9515ec801b8b11ad770e9e1e7edpopup_icon
MD56372f770cddb40efefc57136930f4eb7
一般的なファイル名:maftask.zip
偽装名:N/A
検出名:PUA.Osx.Adware.Gt32supportgeeks::tpd

 

本稿は 2019年5月5日に Talos Grouppopup_icon のブログに投稿された「Threat Source (May 2, 2019)popup_icon」の抄訳です。

コメントを書く