脅威情報ニュース レターでは、Talos からの最新情報を週ごとにお伝えします。
まだ登録をお済ませでない方は、今年の「Talos Threat Research Summit」にぜひご登録ください。防御側による、防御側のための年次イベントとして 2 回目となる今年は、Cisco Live の開幕日と同じ 6 月 9 日にサンディエゴで開催されます。昨年の参加チケットは売り切れましたので、今年もお早めにご登録ください。
今週お届けする情報は Talos 独自の調査結果が集中しています。最初に紹介する Sodinokibi ランサムウェアは、Oracle WebLogic のゼロデイ脆弱性によって配布されていることが確認されています。本日 Talos は、Qakbot の新しい亜種に関する調査結果もリリースします。これは古いバージョンよりも検出が困難な亜種です。
記事の最後には、ブログで毎週金曜日の午後に配信される週ごとの「脅威のまとめ」も記載しています。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認およびブロックした最も顕著な脅威についてご紹介しています。
今後予定されている Talos の公開イベント
イベント:Copenhagen Cybercrime Conference(コペンハーゲン サイバー犯罪会議)
開催地:Industriens Hus(産業連盟ビル)(デンマーク、コペンハーゲン)
日付: 5 月 29 日
講演者:Paul Rascagneres
骨子:Rascagneres 氏が「DNSpionage」と呼ばれる中東を標的としたスパイ活動の概要を話します。まずマルウェアとその標的について説明し、それから攻撃者が DNS に指示するために取ったプロセスについて話します。講演では、米国の国土安全保障省による警告も含め、この攻撃で発生したすべてのイベントが時系列に示されます。
サイバー セキュリティ週間の概要
- シスコ、Nexus 9000 シリーズ ACI(アプリケーション セントリック インフラストラクチャ)モードのデータセンター スイッチで発見された重大な脆弱性を公開。これは、システムレベルのリソースが密かにアクセスされる可能性のある脆弱性です。シスコは 39 件のその他のバグも同日公開しています。
- Google Chrome、最新バージョンのブラウザで 2 つの脆弱性を修正。そのうち 1 つは重大度が「高」と位置づけられた SQLite の境界外読み取りに関する脆弱性です。
- Citrix、攻撃を受けた同社のシステムで約 6 ヵ月にわたって攻撃が永続化し、従業員の個人データが窃取された可能性があることを発表。同社は攻撃の影響範囲はまだ把握できていないが、窃取対象には社会保障番号、名前、財務情報が含まれている可能性があると話しています。
- テクノロジー企業が身代金の支払いを拒否した結果、複数の大手企業の財務情報がオンラインで流出。ドイツの IT プロバイダー Citycomp のデータが窃取され、それには、Oracle、ポルシェ、東芝に関する情報が含まれていました。
- Magecart、OpenCart web サイトで新たな攻撃を開始。このクレジット カード情報を窃取するマルウェアは、現在ショッピング サイトのインターフェイスとして最も一般的な e-コマース プラットフォームを標的としています。
- Slack、国民国家が支援するサイバー攻撃の標的になっている可能性を投資家に警告。グループ メッセージング プラットフォームを提供する同社は、予定している IPO(新規公開株)に先だって、継続的な脅威を受けていること明らかにしました。
- 8,000 万件を越える米国世帯の機密情報を保持するデータベースが公開された問題で、データベースの所有者は未だ不明。
- Apple、App ストアから複数のペアレンタル コントロール アプリを削除。同社は、これらのプログラムには「極めて侵入性の高い」不正なモバイル デバイス管理手法が使われていたと伝えています。
- ノルウェーのアルミニウム メーカー、Norsk Hydro が、最近のランサムウェア攻撃の被害額を第 1 四半期で 5,200 万ドル相当と概算。
最近の注目すべきセキュリティ問題
タイトル:Oracle の脆弱性によりユーザがリモートコード実行の攻撃の標的に
説明:Oracle は、リモートコード実行を許可する可能性のある WebLogic サーバのアウトオブバンドの脆弱性に対してパッチをリリースしました。今月初め、この脆弱性がエクスプロイトされたケースをセキュリティ調査員が確認しています。Oracle はこの脆弱性に CVE-2019-2725 を割り当て、CVSS スコアを 10 点中 9.8 としており、問題の深刻さが注目されています。同社は WebLogix サーバの所有者にできるだけ早い更新を呼びかけています。
Snort ID:49942、49943
タイトル:JasperLoader と Gootkit(バンキング型トロイの木馬)が共にヨーロッパを標的に
説明:「JasperLoader」として知られるこのローダの活動はこの数ヵ月で活発化しており、現在は主に中央ヨーロッパ諸国、特にドイツとイタリアを標的とする悪意のあるスパム キャンペーンを通じて配布されています。JasperLoader は、複数段階にわたる感染プロセスを採用しており、分析を困難にする複数の難読化技術を活用します。このローダーは、復元力と柔軟性を念頭に置いて設計されているようです。このことは、完全プロセスの後半で裏付けられています。
Snort ID:49914、49915
今週最も多く見られたマルウェアファイル
SHA 256:3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5:47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:?qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos
SHA 256:7acf71afa895df5358b0ede2d71128634bfbbc0e2d9deccff5c5eaa25e6f5510
MD5:4a50780ddb3db16ebab57b0ca42da0fb
一般的なファイル名:xme64-2141.exe
偽装名:N/A
検出名:W32.7ACF71AFA8-95.SBX.TG
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5:e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:Tempmf582901854.exe
偽装名:N/A
検出名:W32.AgentWDCR:Gen.21gn.1201
SHA 256:15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5:799b30f47060ca05d80ece53866e01cc
一般的なファイル名:799b30f47060ca05d80ece53866e01cc.vir
偽装名:N/A
検出名:W32.Generic:Gen.21ij.1201
SHA 256:d05a8eaf45675b2e0cd6224723ededa92c8bb9515ec801b8b11ad770e9e1e7ed
MD5:6372f770cddb40efefc57136930f4eb7
一般的なファイル名:maftask.zip
偽装名:N/A
検出名:PUA.Osx.Adware.Gt32supportgeeks::tpd
本稿は 2019年5月5日に Talos Group のブログに投稿された「Threat Source (May 2, 2019)」の抄訳です。