「脅威の発生源」ニュース レターでは、Talos からの最新情報を週ごとにお伝えします。
ハッカーが集うサマーキャンプ「DEF CON」が、いよいよ来週に迫りました。Talos は今年も参加し、Black Hat では一連のトークに加わるほか、DEF CON では採用の案内や質問の受け付けを行う予定です。複数のチャレンジも提供する予定です。Black Hat でのトーク内容はこちらを、DEFCON で Talos が提供するアクティビティはこちらをご覧ください。
出来すぎた話などでユーザを釣ろうとするオンライン広告は、誰しも目にしたことがあるかと思います。ただしそれらの多くはマルウェアの配布が目的です。今週はアドウェアについて掘り下げ、最も人気のある Web サイトの一部を標的にした最近のキャンペーンについて説明しました。
Snort ルールと関わる場合は、Talos が新開発した Re2PCAP ツールをぜひお試しください。未加工の HTTP 要求または応答からわずか数秒で PCAP ファイルを生成できます。
週ごとの「脅威のまとめ」もご覧いただけます。この概要は、毎週金曜日の午後に、ブログに掲載されます。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認・ブロックした最も顕著な脅威についてご紹介しています。
今後予定されている Talos の公開イベント
イベント:“DNS on Fire” at Black Hat USA
会場:Mandalay Bay(ネバダ州ラスベガス)
日付:8 月 7 日
スピーカー:Warren Mercer
概要:DNS プロトコルを標的にした最近の 2 件の攻撃について、手口や時系列、技術的詳細を含めて解説します。1 件は、中東の政府機関や航空会社を標的とするマルウェア「DNSpionage」です。もうひとつは、「DNSpionage」よりも高度かつ攻撃的な脅威で、Talos が「Sea Turtle」と名付けたキャンペーンです。
イベント:“It’s never DNS…It was DNS: How adversaries are abusing network blind spots” at SecTor
会場:Metro Toronto Convention Center(カナダ トロント市)
日付:10 月 7 ~ 10 日
スピーカー:Edmund Brumaghin、Earl Carter
概要:DNS は企業ネットワークで最も一般的に使用されているネットワーク プロトコルのひとつですが、多くの組織では、他のネットワーク プロトコルと同レベルの監視を行っていません。DNS は、強固なセキュリティ アーキテクチャを簡単に破壊できる手段として、レッド チームと悪意のある攻撃者の両方にとってますます魅力的になっています。このプレゼンテーションでは、さまざまな目的で DNS を利用していることが確認された、DNSMessenger、DNSpionage などの実際の攻撃の技術的詳細を示します。
1 週間のサイバー セキュリティ概況
- Capital One、データ侵害によって 1 億件を超える顧客情報が流出。盗まれた情報には、氏名、住所、郵便番号、クレジット スコア、限度額、連絡先情報などが含まれています。
- Capital One のデータ侵害で、犯人は Amazon Web サービスの元従業員であることが判明。犯人の女は犯行を隠そうとせず、盗み出したデータについて Slack で吹聴していました。
- 2016 年に起きた Equifax 社のデータ漏洩事件について、連邦取引委員会は、和解内容の一部である顧客 1 人あたり 125 ドルの支払いを同社が履行できないと消費者に警告。予想よりも多くの消費者が支払いを要求したことで、支払に必要な額が合計 7 億ドルに膨れ上がりました。現時点で確保されているのは 3,100 万のみです。
- 最新バージョンの Google Chrome、Adobe Flash プレーヤーを自動的にブロック。また、シークレット モードの検出がより困難になっています。強化されたシークレット モードにより、ユーザは多くのサイトでペイウォール(一定量を超えたコンテンツは有料になる方式)をバイパス可能になります。それらのサイトでは、シークレット モードを検出するスクリプトが開発されてきました。
- 本田技研工業、同社のグローバル システムに関する機密情報を含んだ ElasticSearch データベースを、セキュリティで保護せずに公開していたことが判明。データベースには、最新状態ではないデバイスやセキュリティ ソリューションで保護されていないデバイスに関する情報をはじめ、約 1 億 3,400 万件のドキュメントが含まれていました。
- 米国の選挙のセキュリティ法案に関連し、法案の通過を求める民主党は上院多数党院内総務の Mitch McConnell 氏に圧力を強める。FBI の Christopher Wray 長官と Robert Mueller 元特別顧問は最近、2020 年の大統領選挙でもロシアが干渉しようとする見込みだと議会で証言しました。
- 石油・ガス業界におけるサイバー脅威、「非常に危険で、今も拡大を続けている」ことが最新レポートで判明。同じレポートでは、石油・ガス業界での「サイバー攻撃リスクが高く」、人命が失われる危険性もあると警告しています。
- Apple 社、iMessage アプリで 5 件の脆弱性を修正。これらの脆弱性により、iPhone の所有者が操作しなくても、デバイス内のメッセージを攻撃者が読める可能性がありました。今回修正されずに残った 1 件の脆弱性は、デバイスを工場出荷状態にリセットすることによってのみ修正できます。
- 新種の Android マルウェア(ランサムウェア)、Reddit 上での不正な投稿によって拡散中。感染した場合、スマートフォン上ですべての電話帳ファイルを暗号化される可能性があります。
最近の注目すべきセキュリティ問題
件名:マルウェア「Godlua」に対して、新たな Snort カバレッジを提供開始
説明:マルウェア「Godlua」に関連して、Linux 用と Windows 用の各バージョンによる攻撃が確認されています。Godlua は DNS over HTTPS プロトコルを悪用したマルウェアで、分散型のサービス妨害ボットとして主に使用されています。単一のドメインに対する HTTP フラッド攻撃で使われたケースもあります。
Snort SID:50808 ~ 50811(作成者:Kristen Houser)
件名:実際にエクスプロイトが確認された Microsoft 社製品の脆弱性に関して、新たな Snort カバレッジを提供開始
説明:OceanLotus APT は最近、「Ratsnif」として知られる新しいマルウェアを開発しました。これには 4 つの亜種が含まれます。新しい Snort ルールにより、Ratsnif がコマンドアンドコントロール(C2)サーバへのアウトバウンド接続を試みた場合や、Ratsnif がファイルをダウンロードしようと試みた場合に検出できます。Ratsnif は、2018 年 8 月に C2 サーバがオフラインになって以来、検出されない状態が続いてきました。ただし研究者の間では、検出されない理由がアクティビティの少なさにあると考えられていました。
Snort SID:50800 ~ 50802(作成者:Kristen Houser)
今週最も多く見られたマルウェア ファイル
SHA 256:3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5:47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos
SHA 256:8c0b271744bf654ea3538c6b92aa7bb9819de3722640796234e243efc077e2b6
MD5:f7145b132e23e3a55d2269a008395034
一般的なファイル名:r2
偽装名:なし
検出名:Unix.Exploit.Lotoor::other.talos
SHA 256:2f4e7dba21a31bde1192ca03b489a9bd47281a28e206b3dcf245082a491e8e0a
MD5: cc0f21a356dfa1b7ebeb904ce80d9ddf
一般的なファイル名:f1cf1595f0a6ca785e7e511fe0df7bc756e8d66d.xls
偽装名:Microsoft Excel
検出名:W32.2F4E7DBA21-100.SBX.TG
SHA 256:7acf71afa895df5358b0ede2d71128634bfbbc0e2d9deccff5c5eaa25e6f5510
MD5:4a50780ddb3db16ebab57b0ca42da0fb
一般的なファイル名:xme64-2141.exe
偽装名:なし
Detection Name: W32.7ACF71AFA8-95.SBX.TG
SHA 256:46b241e3d33811f7364294ea99170b35462b4b5b85f71ac69d75daa487f7cf08
MD5:db69eaaea4d49703f161c81e6fdd036f
一般的なファイル名:xme32-2141-gcc.exe
偽装名:なし
検出名:W32.46B241E3D3-95.SBX.TG
本稿は 2019年8月1日に Talos Group のブログに投稿された「Threat Source newsletter (Aug. 1, 2019)」の抄訳です。