脅威情報ニュース レターでは、Talos からの最新情報を週ごとにお伝えします。
Talos が今週公開するのは、KCodes の NetUSB カーネル モジュールに含まれる 2 つの脆弱性です。この脆弱性が悪用されると、一部の NETGEAR ワイヤレス ルータの情報が不正にアクセスされる可能性があります。攻撃者がローカル ネットワークに特定のパケットを送信すると、NetUSB の脆弱性がエクスプロイトされ、ルーターの機密情報が強制的に開示されるだけでなく、リモート コード実行も許可される可能性があります。
今回の記事では、ブログで毎週金曜日の午後に配信される週ごとの「脅威のまとめ」も記載しています。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認・ブロックした最も顕著な脅威についてご紹介しています。
今後予定されている Talos の公開イベント
イベント:SecTor 「It’s never DNS…It was DNS: How adversaries are abusing network blind spots」
開催地:Metro Toronto コンベンション センター(カナダ、トロント)
日付:10 月 7 日 ~ 10日
講演者:Edmund Brumaghin、Earl Carter
骨子:DNS は大多数の企業ネットワークで最もよく使用されるネットワーク プロトコルの 1 つですが、多くの企業は自社環境に存在するその他のネットワーク プロトコルと同じレベルの監査を DNS には行っていません。DNS は、強固なセキュリティ アーキテクチャを簡単に破壊できる手段として、レッド チームと悪意のある攻撃者の両方にとってますます魅力的になっています。このプレゼンテーションでは、さまざまな目的で DNS を利用していることが確認された、DNSMessenger、DNSpionage などの実際の攻撃の技術的詳細を示します。
サイバー セキュリティ週間の概要
- 米国、ロシア送電網へのサイバー攻撃を段階的に強化したとの報道。情報提供者は、この新しい活動は 2018 年の中間選挙で行われたロシアの干渉に対応するための静かな取り組みであることをニューヨーク タイムズ紙に伝えました。
- 米国国土安全保障省、Microsoft ユーザにすべての製品にパッチを適用するよう促すアドバイザリをリリース。同国政府は、Microsoft が 5 月に公表した「ワーマブル」なバグがエクスプロイトされる危険性についてユーザに警告しました。
- あるセキュリティ研究者が 700 万件以上の Venmo トランザクションにアクセスし、公に掲示できたことが判明。研究者は、送金アプリのアカウントをプライベートに設定するようユーザに促す意図でこの検証を行ったと話しています。
- 複数の悪意のある Android アプリが二要素認証のバイパスに成功。ユーザの電話機にインストールされている他のアプリにログインするだけで、これらの悪意のあるアプリはビットコインの窃取を試みます。
- Alexa 搭載デバイスが知らない間に小さな子供の声を録音することから、Amazon を相手取った 2 件の集団訴訟が新たに発生。この訴訟では、未成年者は自分の声を録音することに同意できないため、この機能は違法であると訴えています。
- シスコ、DNA Center や SD WAN など、同社のさまざまな製品で見つかった複数の重大な脆弱性を公開。
- 新しいマルウェアが、Windows と Mac システムを使用して暗号通貨取引所の従業員を標的に。この攻撃は Mozilla が今週初めにパッチを適用した Mozilla Firefox のゼロデイ脆弱性をエクスプロイトします。
- フロリダ州リビエラビーチ市、ランサムウェアでコンピュータ システムを感染させたハッカーに 60 万ドルを支払う。この攻撃は 1 名の職員が開いたフィッシング メールが起源であるとされています。
最近の注目すべきセキュリティ問題
タイトル:ランサムウェアをダウンロードする RIG エクスプロイト キットにユーザを誘導
説明:現在出回っている新しいマルバタイジング キャンペーンは、悪意のある広告をクリックするようユーザを誘導し、RIG エクスプロイト キットを含むウェブ ページにアクセスさせます。感染後、エクスプロイト キットは Buran ランサムウェアをダウンロードします。Buran は暗号化プロセスを実装し、身代金のメモを被害者に表示する極めて単純なランサムウェアです。
Snort SID:50457、50458
タイトル:中国のマルウェアのコードを使用していると見られる新しい Linux マルウェアが出現
説明:「HiddenWasp」として知られる新しいマルウェアが標的の Linux マシンで検出されました。HiddenWasp にはウイルス対策ソリューションによる検出を回避するいくつかの手法が含まれており、攻撃者は依然として積極的に展開しています。このマルウェアには中国人ハッカーが過去に仕掛けた攻撃のコードの複製が含まれていることを研究者が発見しています。
Snort SID:548521 – 48528
今週最も多く見られたマルウェアファイル
SHA 256:3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5:47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos
SHA 256:7acf71afa895df5358b0ede2d71128634bfbbc0e2d9deccff5c5eaa25e6f5510
MD5:4a50780ddb3db16ebab57b0ca42da0fb
一般的なファイル名:wup.exe
偽装名:N/A
検出名:W32.7ACF71AFA8-95.SBX.TG
SHA 256:15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5:799b30f47060ca05d80ece53866e01cc
一般的なファイル名:15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b.bin
偽装名:N/A
検出名:W32.Generic:Gen.22fz.1201
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5:e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:Tempmf582901854.exe
偽装名:N/A
検出名:W32.AgentWDCR:Gen.21gn.1201
SHA 256:46b241e3d33811f7364294ea99170b35462b4b5b85f71ac69d75daa487f7cf08
MD5:db69eaaea4d49703f161c81e6fdd036f
一般的なファイル名:xme32-2141-gcc.exe
偽装名:N/A
検出名:W32.46B241E3D3-95.SBX.TG
本稿は 2019年6月20日に Talos Group のブログに投稿された「hreat Source newsletter (June 20, 2019)」の抄訳です。