脅威情報ニュース レター(2019 年 7 月 11 日)
脅威情報ニュース レターでは、Talos からの最新情報を週ごとにお伝えします。
一般に、脅威グループや攻撃についての記事が公開されると、その脅威はしばらく沈静化します。広く知れ渡った脅威は存続が難しくなるからです。しかし Sea Turtle の場合は、逆に DNS ハイジャック手法を強めてきました。シスコの新しい調査で、Sea Turtle のグループが DNS を密かにリダイレクトする新しい手口を開発したことが明らかになりました。このため、すぐには沈静化しないと見られます。
過去 12 ヵ月にわたり、ランサムウェアがメディアを賑わせています。アトランタ、ボルティモア、そして最近はフロリダ州の 2 つの都市で、身代金を要求する攻撃者によって自治体政府が被害を受けました。フロリダ州の 2 都市は攻撃者に身代金を支払うことを選択したのに対し、アトランタとボルティモアは、より費用の掛かる道を選び、手動でデータを復旧することにしました。どちらが最善の道なのでしょうか。財政的に理にかなっているのはどちらでしょうか。Cisco Talos と Cisco Incident Response の専門家が会した座談会
で、その答えを探りました。
週ごとの「脅威のまとめ」もご覧いただけます。この概要は、毎週金曜日の午後に、ブログに掲載されます。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認・ブロックした最も顕著な脅威についてご紹介しています。米国では 7 月 4 日が休日になるため、今後数日間はブログやソーシャル メディアの更新頻度が下がる予定です。
今後予定されている Talos の公開イベント
イベント:Black Hat USA での「DNS on Fire」
場所:Mandalay Bay, Las Vegs, Nevada
日程:8 月 7 日
スピーカー:Warren Mercer
概要:このトークでは、最近起こっている、DNS プロトコルを標的とする 2 種類の攻撃と、攻撃手法、タイムライン、技術的な詳細について、Warren が解説します。1 つ目は、中東の複数の政府機関と航空会社を標的にしたマルウェア「DNSpionage」です。2 つ目は、1 つ目よりも高度で攻撃的なもので、私たちが「Sea Turtle」と名付けたキャンペーンの背後にいる攻撃者です。
イベント:SecTor での「It’s never DNS…It was DNS: How adversaries are abusing network blind spots」
場所:Metro Toronto Convention Center, Toronto, Canada
日程:10 月 7 ~ 10 日
スピーカー:Edmund Brumaghin、Earl Carter
概要:DNS は、ほとんどの企業ネットワークで最も広く使用されているネットワーク プロトコルのひとつですが、多くの組織は、環境内にある他のネットワーク プロトコルと同じレベルでは精査していません。DNS は、強固なセキュリティ アーキテクチャを簡単に破壊できる手段として、レッド チームと悪意のある攻撃者の両方にとってますます魅力的になっています。このプレゼンテーションでは、さまざまな目的で DNS を利用していることが確認された、DNSMessenger、DNSpionage などの実際の攻撃の技術的詳細を示します。
サイバー セキュリティ週間の概要
- 監視ツール FinSpy の新たな亜種、政府機関や法執行機関から情報を盗んでいるのが発見される。セキュリティ研究者によれば、攻撃者はモバイル デバイスの更新を細かく監視し、検出を逃れるために FinSpy を常にカスタマイズしている模様です。
- GitHub、人物が裸で動画に映っているように見せかけることができるディープフェイク ソフトウェアのオープンソース バージョンを追放中。「DeepNude」の作成者はオリジナルのアプリを削除しましたが、他のクリエーターがそのクローンをコード リポジトリにアップロードしようと試みました。
- ビデオ会議アプリ Zoom で脆弱性が発見。攻撃者は特定の Mac ユーザのカメラを気付かれずにオンにすることができます。現時点での最善策としては、Zoom の Mac 版アプリを更新し、ミーティングに参加したときに Zoom がカメラをオンにするのを許可する機能を無効にすることです。
- Adobe 社、月例セキュリティ アップデートで DreamWeaver、Experience Manager、Bridge CC の脆弱性に関する修正を提供。どのバグも緊急とは見なされていません。
- 「Agent Smith」として知られる悪意のある Android アプリ、削除されるまでに 2,500 万回以上もダウンロードされる。このマルウェアは Google Updater を装うもので、WhatsApp などの正規のアプリに変更を加えます。
- Marriott 社で昨年発生したデータ漏えいに関して、英国のプライバシー監視機関が同社に 110 億ドルを超える罰金を科す計画。2014 年に起きた 1 回の攻撃で全世界の 3 億 3,900 万人を超える顧客の情報が漏えいしましたが、事件が明るみに出たのは 2018 年でした。
- Microsoft 社のセキュリティ研究者、Living off the land(環境寄生)手口を用いた新しいファイルレス キャンペーンを発見。「Astaroth」と呼ばれるこの攻撃は、一連の攻撃の間、システム ツールのみを実行します。
- Buhtrap APT、東欧と中央アジアの政府機関に対するスパイ行為を目的として Windows のゼロデイ脆弱性をエクスプロイト(Buhtrap APT exploited a Windows zero-day)。この標的型攻撃は、Windows win32k.sys コンポーネントの Null ポインタ デリファレンスの脆弱性を突いたものですが、すでに修正プログラムが提供されています。
- Apple 社、攻撃者がデバイスを完全に文鎮化できる iMessage のバグを修正。特定の文字列を含むメッセージをユーザが開いてしまった場合、デバイスに再びアクセスするためには工場出荷時の状態に戻す必要があります。
最近の注目すべきセキュリティ問題
件名:Microsoft 社、セキュリティ更新プログラムを公開
説明:Microsoft 社は今週、各種の製品で確認された脆弱性に対して月例のセキュリティ更新プログラムをリリースしました。今月のセキュリティ更新プログラムでは 77 件の新たな脆弱性が修正されています。そのうち 16 件が「緊急」、60 件が「重要」、1 件が「警告」と評価されています。今月のセキュリティ更新プログラムでは、Chakra スクリプト エンジン、Internet Explorer、Windows Server DHCP サービスなどの同社製品で確認されたセキュリティの問題が修正されています。
Snort SID: 45142, 45143, 46548, 46549, 49380, 49381, 50198, 50199, 50662 – 50683
件名:シスコが DNA Center の 3 つの重大な脆弱性を警告
説明:シスコは先週、DNA Center の 3 つの重大なバグに対する修正をリリースしました。これらの脆弱性のうち 2 つは、CVSS スコアが 10 点中 9.8 であり、Cisco Data Center Network Manager に関連するものです。これらの脆弱性により、攻撃者は攻撃対象のマシンの基盤となる Cisco Data Center Network Manager(DCNM)で、有効なセッション Cookie を取得するか、任意のファイルを作成することができます。
Snort SID: 50622, 50637, 50650 – 50653
今週最も多く見られたマルウェア ファイル
SHA 256:3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5:47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos
SHA 256:64f3633e009650708c070751bd7c7c28cd127b7a65d4ab4907dbe8ddaa01ec8b
MD5:42143a53581e0304b08f61c2ef8032d7
一般的なファイル名:なし
偽装名:JPMorganChase Instructions SMG 82749206.pdf
検出名:Pdf.Phishing.Phishing::malicious.tht.talos
SHA 256:46b241e3d33811f7364294ea99170b35462b4b5b85f71ac69d75daa487f7cf08
MD5:db69eaaea4d49703f161c81e6fdd036f
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:N/A
検出名:W32.46B241E3D3-95.SBX.TG
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5:e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:xme32-2141-gcc.exe
偽装名:N/A
検出名:W32.AgentWDCR:Gen.21gn.1201
SHA 256:15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5:799b30f47060ca05d80ece53866e01cc
一般的なファイル名:15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b.bin
偽装名:N/A
検出名:W32.Generic:Gen.22fz.1201
Tags:本稿は 2019年7月1日に Talos Group
