脅威情報ニュース レターでは、Talos からの最新情報を週ごとにお伝えします。
最近 Microsoft RDP のバグが話題になっています。このバグにはシステムが「ワーマブル」な攻撃にさらされる危険性があります。先月 Microsoft がこの脆弱性を公開した時点では、攻撃を回避する方法に関してほとんど何のガイダンスもありませんでした。実際は、この脆弱性を悪用する暗号化されたあらゆる攻撃を Cisco Firepower を使ってブロックする新しい方法があります。他では検出されない攻撃を Cisco Firepower を使うことで防御できます。
今週は、いくつかのオープンソース技術を組み合わせてユーザを感染させる新しいキャンペーン Frankenstein に関する調査についてもご紹介します。現在までで Frankenstein が使用される頻度は比較的少ないですが、その性質上、背後に存在する攻撃者にはこのキャンペーンにすぐさま手を加えて進化させる能力があります。
そして最後に、Talos は毎週金曜日の午後にブログ配信している「1 週間の脅威のまとめ」でも情報を提供しています。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認およびブロックした最も顕著な脅威を紹介しています。
今後予定されている Talos の公開イベント
イベント:SecTor 「It’s never DNS…It was DNS: How adversaries are abusing network blind spots」
開催地:Metro Toronto コンベンション センター(カナダ、トロント)
日付:10 月 7 日 ~ 10日
講演者:Edmund Brumaghin、Earl Carter
骨子:DNS は大多数の企業ネットワークで最もよく使用されるネットワーク プロトコルの 1 つですが、多くの企業は自社環境に存在するその他のネットワーク プロトコルと同じレベルの監査を DNS には行っていません。強固なセキュリティ アーキテクチャを簡単に破壊できるという点において、DNS はレッド チームにとっても攻撃者にとってもますます魅力的な存在になっています。このプレゼンテーションでは、DNSMessenger、DNSpionage などのさまざまな目的で DNS を活用していることが確認された、実際の攻撃の技術的な内訳をいくつか提供します。
サイバー セキュリティ週間の概要
- セキュリティ研究者、ボルチモア市の攻撃について「EternalBlue exploit was not used in a ransomware attack」と伝える。メリーランド州の地方および州当局は、この攻撃が最初に開発された場所について、国家機密保全庁に回答を要求していました。
- Apple、ユーザが Apple ID を使用して特定のサイトにログインできる新しいサインオンの仕組みを発表。同社は、この仕組みにはサードパーティ アプリによるユーザ情報の追跡と保存をしにくくする狙いがあると伝えています。
- 中国のテクノロジー企業 Huawe、中国の 5G ネットワークを構築することにロシアと合意。Huawei は、米国が同社製品の購入を禁止して以降、米国との争いを繰り広げています。
- 米国国務省、2,080 万ドルをかけてサイバーセキュリティ部門を設立する計画を議会に提出。新しい官庁候補の Cyberspace Security and Emerging Technologies(CSET)の任務を、「米国のサイバースペースとテクノロジーを保護するための米国政府の外交努力を主導し、サイバー紛争の発生頻度を低下させ、戦略的なサイバー競争に勝ち抜いていくこと」としています。
- オーストラリアの有名大学、学生や教職員の19 年分の個人情報がハッカーに窃取されたことを発表。オーストラリア国立大学の職員は、攻撃の影響を受ける人数は約 20 万人で、盗まれた情報にはクレジットカード番号、氏名、住所、生年月日などが含まれると伝えています。
- MacOS Mojave のゼロデイ脆弱性により、攻撃者がセキュリティ対策を回避して悪意のあるコードを実行できる可能性。この脆弱性を悪用しようとするユーザは、マウス クリックを模倣してセキュリティ対策を回避し、改造された優良アプリを実行して悪意のあるコードを実行できるようになります。
- 医療試験会社 LabCorp、第三者企業が受けたサイバー攻撃の一環として 何百万件もの同社の顧客データが漏えいしたことを発表。同社は、American Medical Collection Agency(米国の医療費回収機関)が 2018 年 8 月から 2019 年 3 月にかけてさまざまなタイミングで情報を盗まれていると伝えています。
- シスコ、産業ネットワーク ディレクタで見つかった 2 件の重大度の高い脆弱性を修正。このバグにはリモート コード実行やサービス拒否の状況を引き起こす可能性があります。
- GandCrab ランサムウェアの背後にいる攻撃者が、数百万ドルを稼いだらサイバー攻撃活動を引退すると発表。この攻撃者グループはネット上のフォーラムで、マルウェアのライフサイクルを通して 20 億ドルを稼いだと主張しています。
最近の注目すべきセキュリティ問題
タイトル:悪意のある JavaScript が挿入される WordPress のバグを攻撃者が悪用
?説明:ユーザを悪意のあるサイトにリダイレクトする WordPress プラグインの最近修正されたバグを攻撃者が悪用しています。この脆弱性はコンテンツ管理システムのインスタント チャット プラグインに存在し、サイト管理者がユーザと直接通信することを許可します。このバグにより攻撃者は、悪意のある JavaScript を WordPress のサイトに挿入して悪質なポップアップを表示させたり、それらのサイトを攻撃者が管理する Web サイトに送信したりします。
Snort SID:50299
タイトル:Cisco Firepower が、Microsoft RDP のバグを悪用する暗号化された攻撃を防御
説明:Cisco Talos の研究者は、最近公開された Microsoft RDP の脆弱性を悪用する暗号化された攻撃を防御する新しい方法を発見しました。Microsoft は 5 月にこの脆弱性を公開しましたが、攻撃を回避する方法に関するガイダンスを提供していませんでした。Cisco Firepower Management Center を使った新しい方法により、事実上検出されない攻撃から身を守ることができます。
Snort SID:50137
今週最も多く見られたマルウェア ファイル
SHA 256:3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5:47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos
SHA 256:144e4b5a6e99d9e89dae2ac2907c313d253878e13db86c6f5c50dae6e17a015a
MD5:5e3b592b8e093f92ae9f6cfc93b22c58
一般的なファイル名:pupdate.exe
偽装名:Internet Explorer
検出名:W32.144E4B5A6E-95.SBX.TG
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f?
MD5:e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:Tempmf582901854.exe
偽装名:N/A
検出名:W32.AgentWDCR:Gen.21gn.1201
SHA 256:15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5:799b30f47060ca05d80ece53866e01cc
一般的なファイル名:15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b.bin
偽装名:N/A
検出名:W32.Generic:Gen.22fz.1201
SHA 256:7acf71afa895df5358b0ede2d71128634bfbbc0e2d9deccff5c5eaa25e6f5510
MD5:4a50780ddb3db16ebab57b0ca42da0fb
一般的なファイル名:wup.exe
偽装名:N/A
検出名:W32.7ACF71AFA8-95.SBX.TG
本稿は 2019年6月6日に Talos Group のブログに投稿された「Threat Source newsletter (June 6)」の抄訳です。