脅威情報ニュース レター(2019 年 7 月 25 日)
脅威情報ニュース レターでは、Talos からの最新情報を週ごとにお伝えします。
選挙関連のセキュリティ対策は、誰も好んで話す話題ではありません。費用がかさむ厄介な問題であり、簡単な解決策がないからです。ただし重要な事柄でもあります。
米国では大統領選挙を来年に控える中、今週はこのトピックを取り上げ、民主的な選挙を妨害するために攻撃者が取り得るアプローチについて検証しました。それがこちらの記事です。実際の攻撃シナリオについて Matt Olney が説明しています。
今週の『Beers with Talos』
では、このトピックについて Matt Olney と他のメンバーが掘り下げています。
週ごとの「脅威のまとめ」もご覧いただけます。この概要は、毎週金曜日の午後に、ブログに掲載されます。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認・ブロックした最も顕著な脅威についてご紹介しています。
今後予定されている Talos の公開イベント
イベント:“DNS on Fire” at Black Hat USA
場所:Mandalay Bay(ネバダ州ラスベガス)
日程:8 月 7 日
スピーカー:Warren Mercer
概要:最近起こっている、DNS プロトコルを標的とする 2 種類の攻撃と、攻撃手法、タイムライン、技術的な詳細について、Warren が解説します。1 つ目は、中東の複数の政府機関と航空会社を標的にしたマルウェア「DNSpionage」です。2 つ目は DNSpionage よりも高度で攻撃的なもので、Talos が「Sea Turtle」と名付けた攻撃です。
イベント:“It’s never DNS…It was DNS: How adversaries are abusing network blind spots”
場所:Metro Toronto Convention Center(カナダ トロント)
日程:10 月 7 ~ 10 日
スピーカー:Edmund Brumaghin、Earl Carter
概要:DNS は、ほとんどの企業ネットワークで最も広く使用されているネットワーク プロトコルのひとつですが、多くの組織は、環境内にある他のネットワーク プロトコルと同じレベルでは精査していません。DNS は、強固なセキュリティ アーキテクチャを簡単に破壊できる侵入経路として、レッド チームと攻撃者の両方にとってますます魅力的になっています。このプレゼンテーションでは、さまざまな目的で DNS を利用していることが確認された、DNSMessenger、DNSpionage などの実際の攻撃における技術的詳細をご説明します。
サイバー セキュリティ週間の概要
- Facebook 社、データ プライバシー侵害に関して米国連邦取引委員会と 50 億ドルの和解に達したことを最新の収益報告書で公表。これは、オンライン プライバシーに関する罰金額としては米国史上最高となります。同社は、「利用者のプライバシーを保護するための包括的な新しいフレームワーク」を策定するとも述べています。
- 電子メール セキュリティをバイパスするために、攻撃者の間でファイル共有ネットワーク WeTransfer が使用されていることが判明。セキュリティ研究者は、WeTransfer リンクを使用して電子メールを送信している複数の攻撃を検出しました。このリンクからは、HTM または HTML のファイル リダイレクトによりフィッシン ページに飛びます。
- 元 FBI の特別顧問 Robert Mueller 氏、2016 年の大統領選挙でロシアが複数回にわたって不正侵入を試みたと警告。議会の証言の中で同氏は、「ロシアによる不正介入は今この瞬間も続いており、次の選挙でも起きるだろう」と述べています。
- 特定の LG 社製と Samsung 社製の電話機で、攻撃者が会話を盗聴できる脆弱性が発見。この脆弱性では、デバイスの加速度センサーを利用することで、スピーカーから再生された音声を盗聴できます。
- 米国連邦取引委員会、2016 年に起きたデータ漏洩に関して最大 7 億ドルの罰金を Equifax 社に科すと発表。しかし、プライバシー擁護者や一部の議員からは罰金が不十分だとの声も上がっています。
- Apple 社、Apple Watch のトランシーバー アプリで見つかった重大な脆弱性を最新のセキュリティ アップグレードで修正。この脆弱性では、攻撃者に会話の盗聴を許すおそれがあります。また、iOS で発見された複数の脆弱性も修正されています。
- 米国の検事総長 William Barr 氏、暗号化との戦いを強化すると発表。テクノロジー企業はデバイス上で暗号化をバイパスできるバックドアを「設置可能であり、設置すべきである」と述べています。同氏は、犯罪者に隠密な行動を可能にする暗号化が法執行機関の調査を妨げていると述べています。
- 国家安全保障局、米国のサイバー攻撃とサイバー防御の各部門を調整するためのサイバーセキュリティ理事会を設置すると発表。米国サイバー軍の設立を支援した Anne Neuberger 氏をトップとして、10 月 1 日から発足します。
最近の注目すべきセキュリティ問題
件名:トロイの木馬「AZORult」によりパスワードを盗もうとする攻撃が広がる
説明:『CounterStrike: Go and PlayerUnknown’s Battlegrounds』といったテレビ ゲーム向けの偽のチート コードを介して、トロイの木馬「AZORult」を拡散させる攻撃が広まっています。偽のコードへのリンクは、YouTube のビデオやソーシャル メディア サイトなどに埋め込まれています。リンクをクリックするとトロイの木馬がインストールされ、被害者のパスワードを盗もうと試みます。次の Snort ルールは、AZORult がコマンドアンドコントロール(C2)サーバへのアウトバウンド接続を試みたときに検出してブロックします。
Snort SID:50771(作成者:Tim Muniz)
件名:Microsoft 社製品で発見され、実際にエクスプロイトが確認された脆弱性に対して、修正プログラムが新たに提供
説明:Windows の win32k.sys コンポーネントで発見・公開された脆弱性で、攻撃者によるエクスプロイトが続いています。問題になっているのは特権昇格の脆弱性(CVE-2019-1132)で、東ヨーロッパにおける一連の標的型攻撃でエクスプロイトが確認されています。これらの攻撃ではスパイウェアが不正にインストールされました。次の 2 件のSnort ルールにより、脆弱性を突いてマシンのメモリを破壊しようとする操作を検出できます。
Snort SID:50734 ~ 50737(作成者:Joanne Kim)
今週最も多く見られたマルウェア ファイル
SHA 256:6dfaacd6f16cb86923f21217ca436b09348ee72b34849921fed2a17bddd59310
MD5: 7054c32d4a21ae2d893a1c1994039050
一般的なファイル名:maftask.zip
偽装名:N/A
検出名:PUA.Osx.Adware.Advancedmaccleaner::tpd
SHA 256:e062f35810260a1406895acff447e412a8133380807ef3ddc91c70c01bd34b50
MD5:5a315fdaa14ae98226de43940630b147
一般的なファイル名:FYDUpdate.exe
偽装名:Minama
検出名:W32.E062F35810-95.SBX.TG
SHA 256:3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5:47b97de62ae8b2b927542aa5d7f3c858
典型的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos
SHA 256: 7acf71afa895df5358b0ede2d71128634bfbbc0e2d9deccff5c5eaa25e6f5510
MD5: 4a50780ddb3db16ebab57b0ca42da0fb
一般的なファイル名:xme64-2141.exe
偽装名:なし
検出名:W32.7ACF71AFA8-95.SBX.TG
SHA 256: 46b241e3d33811f7364294ea99170b35462b4b5b85f71ac69d75daa487f7cf08
MD5: db69eaaea4d49703f161c81e6fdd036f
一般的なファイル名:xme32-2141-gcc.exe
偽装名:なし
検出名:W32.46B241E3D3-95.SBX.TG
Tags:本稿は 2019年7月25日に Talos Group
