脅威情報ニュースレター(5 月 9 日)
「脅威の発生源」ニュース レターでは、Talos からの最新情報を週ごとにお伝えします。
まだ登録をお済ませでない方は、今年の「Talos Threat Research Summit」にぜひご登録ください
。防御側による、防御側のための年次イベントとして 2 回目となる今年は、Cisco Live の開幕日と同じ 6 月 9 日にサンディエゴで開催されます。昨年の参加チケットは売り切れましたので、今年もお早めにご登録ください。
今週は脅威や脆弱性が多く発見された週でした。Snort ルールには、重大な Oracle WebLogic のバグを中心に、最近の一連の攻撃に対する保護 ID が多く追加されました。また、SQLite と 3 つの異なる Jenkins プラグインにも脆弱性が発見されました。
今回の記事では、ブログで毎週金曜日の午後に配信される週ごとの「脅威のまとめ」も記載しています。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認・ブロックした最も顕著な脅威についてご紹介しています。
今後予定されている Talos の公開イベント
イベント:コペンハーゲン サイバー犯罪会議
開催地:Industriens Hus(産業連盟ビル)(デンマーク、コペンハーゲン)
日付: 5 月 29 日
講演者:Paul Rascagneres
骨子:「DNSpionage」と呼ばれる中東を標的としたスパイ活動について、Rascagneres が概要を説明します。マルウェアとその標的を皮切りに、攻撃者が DNS を操作するために取ったプロセスについてご紹介します。講演では、米国の国土安全保障省による警告も含め、この攻撃で発生したすべてのイベントが時系列に示されます。
イベント:Bsides London
場所:英国ロンドンの ILEC カンファレンス センター
日付:6 月 5 日
講演者:Paul Rascagneres
骨子:インスタント メッセージングと SNS の登場に伴い、プライバシーはより一般的な問題になりました。とりわけ Secure Instant Messaging(SIM)は政府が懸念を抱く問題になっています。これらのメッセージ アプリは多くの人が使用していますが、逆に攻撃者にとっても、悪意のある偽のメッセージ アプリで人々を騙せるチャンスが増えたと言えます。今回の講演では Paul が登場し、こうした偽アプリの例と、攻撃者にデータを返送するための多様な手口をご紹介します。
サイバー セキュリティ週間の概要
- ボルティモア市のオンライン行政サービス、今週受けたランサムウェア攻撃により完全にストップ。同市の IT 責任者によると、「RobinHood」マルウェアにより、多くの行政手続きを手作業で処理する事態となっています。ただし緊急サービスには影響が出ていません。
- 米国のウイルス対策企業 3 社、ハッカー集団により情報が盗み出される。このハッカー集団は、盗み出したソース コードとネットワーク アクセス情報を 30 万ドルで販売しています。被害企業はまだ公開されていませんが、最近になって連邦政府からセキュリティ侵害について警告を受けていました。
- 仮想通貨取引所の Binance 社、ハッカーからの攻撃で 4,100 万ドル相当のビットコインが流出。同社によると、「フィッシングやウイルスなど多様な攻撃手口」が使用されました。
- オランダ大手の Wolters Kluwer 社、今週発生したサイバー攻撃によりオンラインの税務サービスがシャットダウン。今回の障害は「ネットワークとサービスの中断」を引き起こしたことで、クラウドベースの企業である CCH 社に特に影響を与えました。
- WordPress の最新版、待望のセキュリティ アップデートを複数配信。コンテンツ管理システムである WordPress では、各アップデートにデジタル署名が追加され、ユーザ向けの「サイトの稼働状態」ページが新設されました。
- Google 社、Android OS 向けの最新セキュリティ アップデートで多くの脆弱性を修正。この中には重要度の高いバグも含まれています。最も注目すべき修正はメディア フレームワークの脆弱性に対するものです。同社はこの脆弱性により「リモートの攻撃者が細工されたファイルを使った場合、特権プロセスの権限で任意コードを実行できる」危険性があると説明しています。
- シスコ、Elastic Services Controller で発見された重大な脆弱性に対してセキュリティ アップデートをリリース。この脆弱性がエクスプロイトされた場合、認証されていないリモートの攻撃者が管理者権限を取得できる危険性があります。
- イスラエル、サイバー攻撃疑惑に対する報復としてハマスのサイバー本部を空爆。今回の軍事攻撃は、サイバー戦争と物理的な攻撃との新たな関係性について、いくつかの疑問を投げかけています。
- 米国西海岸の電力会社、先週にサイバー攻撃を受ける。攻撃による停電は免れましたが、一部地域では送電線の管理面で影響が出ています。
- 人材不足に悩まされるサイバー企業、従来とは異なる採用経路の利用を広げる。セキュリティ関連の学位を持たない人材を採用し、オンザジョブトレーニングでの育成を目指す企業まで出ています。
最近の注目すべきセキュリティ問題
件名:WebLogic バグを突いた攻撃、増加と進化が進む
説明:Oracle WebLogic の重大な脆弱性を介したマルウェアの拡散は、現在も止むことなく続いています。この脆弱性(CVE-2019-2725)は先週開示され、修正プログラムも提供されています。しかしユーザのアップデートが進まないため、脆弱性を突いてランサムウェア(Gandcrab と XMRig)をインストールできる危険な状態は未だに続いています。
Snort SID:50014 ~ 50025
件名:シスコ、1 件の「緊急」を含む 41 件のバグを公開
説明:シスコでは、同社製品に対してセキュリティ アップデートを複数リリースしました。その中には、Nexus 9000 シリーズ アプリケーション セントリック インフラストラクチャ(ACI)のモード スイッチ ソフトウェアで発見された、SSH キー管理機能に関する 1 件の重大なバグも含まれています。攻撃者が脆弱性をエクスプロイトして SSH 経由でマシンに接続し、root ユーザと同じ権限でシステムに接続できる危険性があります。
Snort SID:49992 ~ 49996、50006、50007
今週最も多く見られたマルウェアファイル
SHA 256: 3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5: 47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名: qmreportupload.exe
偽装名: qmreportupload
検出名: Win.Trojan.Generic::in10.talos
SHA 256:15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5:799b30f47060ca05d80ece53866e01cc
一般的なファイル名:799b30f47060ca05d80ece53866e01cc.vir
偽装名:N/A
検出名:W32.Generic:Gen.21ij.1201
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5:e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:Tempmf582901854.exe
偽装名:N/A
検出名:W32.AgentWDCR:Gen.21gn.1201
SHA 256:7acf71afa895df5358b0ede2d71128634bfbbc0e2d9deccff5c5eaa25e6f5510
MD5:4a50780ddb3db16ebab57b0ca42da0fb
一般的なファイル名:xme64-2141.exe
偽装名: N/A
検出名: W32.7ACF71AFA8-95.SBX.TG
SHA 256: 9d48f382ec11bd9b35488a2c2b878e5401c2be43f00bcbae30d1619e6e2bf0c1
MD5: dd46d0260a6cdf5625d468398bae1f60
一般的なファイル名: N/A
偽装名: N/A
検出名: Win.Dropper.Undefined::tpd
Tags:本稿は 2019年5月9日に Talos Group
