脅威情報ニュース レターでは、Talos からの最新情報を週ごとにお伝えします。
Talos では今週、Simple DirectMedia Layer
で発見された 2 件の脆弱性や、Google Chrome の V8 JavaScript エンジンで確認されたメモリ破損のバグなど、複数の脆弱性を公開しました。
また今週は、古い手口であるエクスプロイト キットも確認されました。エクスプロイト キットは以前ほど頻繁に使用されなくなったとはいえ、最近では他にも、悪名高い「Heaven’s Gate」手口を使用してリモート アクセスのトロイの木馬と情報摂取マルウェアを配布するキャンペーンが発見されています。
今回の記事では、ブログで毎週金曜日の午後に配信される週ごとの「脅威のまとめ」も記載しています。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認・ブロックした最も顕著な脅威についてご紹介しています。米国では 7 月 4 日が休日になるため、今後数日間はブログやソーシャル メディアの更新頻度が下がる予定です。
今後予定されている Talos の公開イベント
イベント:SecTor 「It’s never DNS…It was DNS: How adversaries are abusing network blind spots」
開催地:Metro Toronto コンベンション センター(カナダ、トロント)
日付:10 月 7 日 ~ 10日
講演者:Edmund Brumaghin、Earl Carter
骨子:DNS は大多数の企業ネットワークで最もよく使用されるネットワーク プロトコルの 1 つですが、多くの企業は自社環境に存在するその他のネットワーク プロトコルと同じレベルの監査を DNS には行っていません。DNS は、強固なセキュリティ アーキテクチャを簡単に破壊できる手段として、レッド チームと悪意のある攻撃者の両方にとってますます魅力的になっています。このプレゼンテーションでは、さまざまな目的で DNS を利用していることが確認された、DNSMessenger、DNSpionage などの実際の攻撃の技術的詳細を示します。
サイバー セキュリティ週間の概要
- 米国の食品医薬品局(FDA)、セキュリティ上の懸念によりインスリン ポンプのリコールを発表。FDA によると、リコールの理由はポンプの製造メーカーが開示した脆弱性にあります。この脆弱性により無許可の人物がポンプにワイヤレスで接続し、設定を変更する可能性があるようです。
- Dridex ランサムウェアの新しい亜種、セキュリティ製品による検出を困難にする手口を実装。セキュリティ研究者によると、この亜種が最初に登場したのは先月のことで、アプリケーションのホワイトリスト登録を悪用することで Windows Script Host を無効化または回避します。
- 「Silexbot」と呼ばれる新種のマルウェア、これまでに 4,000 台以上の IoT デバイスを利用不能に。研究者は、犯人がティーン エイジャーである可能性も視野に入れています。
- 大手クラウド サービス プロバイダー、セキュリティ侵害により顧客の電子メール アドレスなどの個人情報が流出した可能性が発覚。PCM Inc. が攻撃に気付いたのは今年初めでした。クライアントの電子メールとファイル共有システムに攻撃者がアクセスできた可能性があると考えています。
- 米国のサイバー軍、Microsoft Outlook ユーザにできるだけ早くソフトウェアの修正プログラムを適用するよう警告。サイバー軍によると、Outlook の特定の脆弱性をエクスプロイトする攻撃が発見されています。攻撃の起源はイランだと考えられています。
- Google 社、アドウェアに感染した 100 以上のアプリをストアから削除。セキュリティ研究者によると、アプリは計 930 万回ダウンロードされ、多くは被害者のスマートフォンを使って広告収入を得ていました。
- ジョージア州の司法ネットワーク、今週に起きたハッカーによるランサムウェア攻撃で機能停止。ただしシステムは比較的迅速に回復しています。政府関係者によると、今回の攻撃は国外から発生したものです。
- Facebook 社、過去 5 年間でマルウェアの拡散を助長した 30 のアカウントを削除。同社によると、これらのマルウェア攻撃ではリビアに関連する偽のニュース サイトが中心に使われてきました。悪意のあるサイトへと被害者を誘導し、そこでリモート アクセスのトロイの木馬をダウンロードさせる狙いがあります。
- スマート ホーム デバイスを製造する中国 Orvibo 社、何年にもわたってユーザのログを流出させていたことが判明。セキュリティ研究者は、パスワードで保護されていない同社のデータベースを ElasticSearch サーバ上で発見しました。
最近の注目すべきセキュリティ問題
件名:新しく発見されたエクスプロイト キット「Spelevo」、バンキング型トロイの木馬を配信
説明:Cisco Talos の研究者は、「Spelevo」と呼ばれる新しいエクスプロイト キットを発見しました。ここ数年間エクスプロイト キットはなりを潜めていましたが、このキットは Adobe Flash Player の脆弱性を突くなど古い手口を使用しています。感染した後は、IcedID や Dridex などのバンキング型トロイの木馬を中心に、さまざまなペイロードをダウンロードします。Spelevo の攻撃者は完全に金銭目的だと考えられます。
Snort ID:50509 ~ 50511
件名:Mac への攻撃で使用された Firefox のゼロデイ脆弱性、更新プログラムが提供開始
説明:Firefox の最新アップデートでは一連のバグが修正されています。その中で特に注目されるのが、暗号通貨マイナーの不正インストールでエクスプロイトされていた脆弱性です。先週には、JavaScript プログラミング手法で発見された任意コード実行の脆弱性(通称「Array」)が修正されたほか、その翌日にはサンドボックスのブレークアウト バグも修正されています。以下の 2 件の Snort ルールは「Array」の脆弱性から保護します。
Snort ID:50518、50519
今週最も多く見られたマルウェアファイル
SHA 256: 440944ab47cc3140207179f5449ddacb32883a74a9cff11141fdf494eaf21592
MD5: dd77416ab164d3423b00f33380cf06ca
典型的なファイル名:SafeInstaller
偽装名:SafeInstaller
検出名:PUA.Win.Downloader.Installiq::tpd
SHA 256: 3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5: 47b97de62ae8b2b927542aa5d7f3c858
典型的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos
SHA 256: 64f3633e009650708c070751bd7c7c28cd127b7a65d4ab4907dbe8ddaa01ec8b
MD5: 42143a53581e0304b08f61c2ef8032d7
典型的なファイル名:–
偽装名:JPMorganChase Instructions SMG 82749206.pdf
検出名:Pdf.Phishing.Phishing::malicious.tht.talos
SHA 256: c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5: e2ea315d9a83e7577053f52c974f6a5a
典型的なファイル名:Tempmf582901854.exe
偽装名:–
検出名:W32.AgentWDCR:Gen.21gn.1201
SHA 256: 15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5: 799b30f47060ca05d80ece53866e01cc
典型的なファイル名: 15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b.bin
偽装名:–
検出名:W32.Generic:Gen.22fz.1201
本稿は 2019年7月3日に Talos Group
Authors