Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

脅威情報ニュース レター(2019 年 7 月 18 日)


2019年8月5日

脅威情報ニュース レターでは、Talos からの最新情報を週ごとにお伝えします。

Agent Tesla による攻撃について、「SWEED」と呼ばれるグループの犯行である可能性が判明しました。このブログ記事では、「SWEED」について判明している情報を全面的に公開し、攻撃手口や対策方法について分析しています。

先週に引き続き、今週の『Beers with Talos』エピソードpopup_iconでもランサムウェアと身代金について議論しています。

週ごとの「脅威のまとめ」もご覧いただけます。この概要は、毎週金曜日の午後に、ブログに掲載されます。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認・ブロックした最も顕著な脅威についてご紹介しています。米国では 7 月 4 日が休日になるため、今後数日間はブログやソーシャル メディアの更新頻度が下がる予定です。

今後予定されている Talos の公開イベント

イベント:“DNS on Fire” at Black Hat USApopup_icon
会場:Mandalay Bay(ネバダ州ラスベガス)
日付:8 月 7 日
スピーカー:Warren Mercer
概要:DNS プロトコルを標的にした最近の 2 件の攻撃について、手口や時系列、技術的詳細を含めて解説します。1 件は、中東の政府機関や航空会社を標的とするマルウェア「DNSpionage」です。もうひとつは、「DNSpionage」よりも高度かつ攻撃的な脅威で、Talos が「Sea Turtle」と名付けたキャンペーンです。

 

イベント:“It’s never DNS…It was DNS: How adversaries are abusing network blind spots”popup_icon at SecTor
会場:Metro Toronto Convention Center(カナダ トロント市)
日付:10 月 7 ~ 10 日
スピーカー:Edmund Brumaghin、Earl Carter
概要:DNS は企業ネットワークで最も一般的に使用されているネットワーク プロトコルのひとつですが、多くの組織では、他のネットワーク プロトコルと同レベルの監視を行っていません。DNS は、強固なセキュリティ アーキテクチャを簡単に破壊できる手段として、レッド チームと悪意のある攻撃者の両方にとってますます魅力的になっています。このプレゼンテーションでは、さまざまな目的で DNS を利用していることが確認された、DNSMessenger、DNSpionage などの実際の攻撃の技術的詳細を示します。

1 週間のサイバー セキュリティ概況

  • ユーザの SMS メッセージや通話履歴を収集する複数の Stalkerware(ストーカー アプリ)popup_icon、Google Play ストアでまた新たに発見される。これらのアプリはすでに削除済みですが、削除されるまでに合計 13 万回ダウンロードされています。
  • ランサムウェア「Gandcrab」に絡み、背後にいる攻撃者は手を引いたと述べている一方で、現在もアクティブである可能性popup_iconを示す証拠が見つかる。「REvil」と呼ばれる、新しくより高度なマルウェアには、「Gandcrab」の痕跡が各所に発見されています。
  • カリフォルニア州の 300 以上の都市、監視・データ マイニング企業の提供する情報にアクセス可能popup_iconなことが判明。データが各市の警察と共有され、「デジタルの捜査網」を形成していることを示す証拠も見つかっています。
  • デジタル プライバシー権利の団体、携帯端末利用者のロケーション データを販売していた件で AT&T 社と 2 社のデータ アグリゲーション サービス企業を提訴。popup_icon訴訟では、AT&T 社が顧客のリアルタイム ロケーション データを個人信用調査機関や保釈保証業者などの第三者に無断で販売したと主張しています。
  • Oracle 社、四半期ごとのセキュリティ アップデートの一環として 320 件以上の脆弱性を開示popup_icon。今回のリリースには、Java で発見された 10 件のバグに対する修正プログラムも含まれています。これら 10 件のうち 9 件では、認証なしでエクスプロイト可能です。
  • 米国の連邦取引委員会と Facebook 社、Cambridge Analytica 社のスキャンダルを巡り 50 億ドルの和解に合意popup_icon。しかし一部の議員やプライバシー擁護者は、制裁が不十分だと訴えています。
  • サイバー犯罪者、裕福な都市部の学校を狙う傾向が強まるpopup_icon。それらの学校には大量のデータが保存されているため、身代金を支払える可能性がより高いと攻撃者が考えているようです。
  • Windows で BlueKeep の脆弱性が発見されて 2 ヵ月以上経過する今も、実際のエクスプロイト事例は未確認popup_icon。攻撃が検出されていない可能性と、他のセキュリティ機能を回避する方法を攻撃者がまだ把握できていない可能性の両方が考えられます。
  • 自撮り写真の加工アプリ「FaceApp」、人気が再び爆発中。FaceApp は老け顔加工で有名なアプリですが、プライバシーに関する深刻な懸念を抱えていますpopup_icon
  • Slack 社、2015 年のデータ漏洩事件について新しい情報が発見されたことを受けて、追加で何千ものユーザ パスワードをリセットpopup_icon。この数は、攻撃時の同社のユーザの約 1% に相当します。
  • Google 社が Google Home デバイスで記録した 1,000 件を超える音声録音ファイルpopup_icon、同社の従業員によってベルギーの報道機関にリークされる。同社は、製品を改善するために人間による確認が必要だと述べており、今回のリーク事件をセキュリティ侵害だとして非難しています。

最近の注目すべきセキュリティ問題

件名:Zoom 社製の Mac OS 用会議ソフトウェアにおいて、カメラへの侵入を許す脆弱性が確認  popup_icon
説明:Zoom 社製ソフトウェアで見つかった 2 件のリモート コード実行の脆弱性(CVE-2019-13449 および CVE-2019-13450、いずれも Mac OS が対象)により、攻撃者が不正 Web サイトを介して Zoom クライアントを勝手に起動し、侵入したマシンのカメラから盗撮できる危険性があります。この脆弱性について Zoom 社は緩和済みだと述べていますが、ユーザに対しては、Mac OS 用の Zoom クライアントが最新バージョンであるか確認し、会議に参加する際に自動的にカメラをオンにする設定を無効にするよう推奨しています。Zoom クライアントに関する情報を含み、機密情報を不正取得しようとするファイルは、新しい SNORT® ルールによって検出可能です。
Snort SID50724 ~ 50729(執筆者:Joanne Kim)

件名:マルウェア「Anubis」、Android ユーザへの攻撃を再開popup_icon  
説明:Trend Micro 社の研究者は最近、Android を標的とした 17,400 件を超えるマルウェア サンプルを新たに発見しました。その中でも Anubis は、Google Play ストアにある複数のバンキング アプリを標的にしています。スパイウェアやバンキング型トロイの木馬をユーザのモバイル デバイスにインストールします。Anubis の背後にいる攻撃者は、少なくとも 12 年間も手を休めることなく機能の更新と追加を繰り返しています。以下の 4 つの Snort ルールはすべて、Anubis がコマンド アンド コントロール(C2)サーバへのアウトバウンド接続を試みたときに検出して阻止します。
Snort SID50734 ~ 50737(執筆者:Tim Muniz)

今週最も多く見られたマルウェアファイル

SHA 2567acf71afa895df5358b0ede2d71128634bfbbc0e2d9deccff5c5eaa25e6f5510  popup_icon

MD5 4a50780ddb3db16ebab57b0ca42da0fb

一般的なファイル名:xme64-2141.exe

偽装名:なし

検出名:W32.7ACF71AFA8-95.SBX.TG

 

SHA 2563f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3popup_icon

MD5 47b97de62ae8b2b927542aa5d7f3c858

一般的なファイル名:qmreportupload.exe

偽装名:qmreportupload

検出名:Win.Trojan.Generic::in10.talos

 

SHA 25646b241e3d33811f7364294ea99170b35462b4b5b85f71ac69d75daa487f7cf08  popup_icon

MD5 db69eaaea4d49703f161c81e6fdd036f

一般的なファイル名:xme32-2141-gcc.exe

偽装名:なし

検出名:W32.46B241E3D3-95.SBX.TG

 

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5  popup_icon

MD5 8c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:Eter.exe

偽装名:なし

検出名:W32.WNCryLdrA:Trojan.22ht.1201

 

SHA 256c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f  popup_icon

MD5 e2ea315d9a83e7577053f52c974f6a5a

一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin

偽装名:なし

検出名:W32.AgentWDCR:Gen.21gn.1201

 

本稿は 2019年7月18日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (July 18, 2019)popup_icon」の抄訳です。

Tags:
コメントを書く