脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。
古くからの脅威が再び注目を集めています。
今週の記事では、そうした攻撃やマルウェアを中心に取りあげました。9 年前の Web シェルである
China Chopper は、今になってソース コードが公開されました。あらゆる攻撃者によって使用される可能性があるため、以前にも増して危険視されています。最近では、3 件の攻撃で China Chopper の使用が確認されています。
他にも、最も拡散されている 2 種類の遠隔操作ツール(Orcus RAT と RevengeRAT)を使用して、政府機関や金融機関、情報技術サービス プロバイダー、コンサルタント会社を狙う攻撃が発見されました。
週ごとの「脅威のまとめ」もご覧いただけます。この概要は、毎週金曜日の午後に、ブログに掲載されます。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認・ブロックした最も顕著な脅威についてご紹介しています。
今後予定されている Talos の公開イベント
イベント:Virus Bulletin 2019 で発表予定の「DNS on Fire(狙われる DNS)」
開催地:ノボテル ロンドン ウエスト ホテル(英国、ロンドン)
日付:10 月 2 日~ 4 日
講演者:Warren Mercer、Paul Rascagneres
骨子:Talos から Paul と Warren の 2 人が登壇し、DNS を標的とした 2 件の攻撃キャンペーンについて解説します。ひとつは、中東の政府機関や航空会社を標的とするマルウェア「DNSpionage」です。このマルウェアを調査する中で、標的に対する DNS アクセスをリダイレクトする仕組みや、攻撃者が登録した複数の SSL 証明書が特定されています。講演ではこれら 2 件の攻撃手法、攻撃の手順、標的の構成について解説します。
イベント:「It’s never DNS…It was DNS: How adversaries are abusing network blind spots」 at SecTor
開催地:Metro Toronto コンベンション センター(カナダ、トロント)
日付:10 月 7 日 ~ 10日
講演者:Edmund Brumaghin、Earl Carter
骨子:DNS は大多数の企業ネットワークで最もよく使用されるネットワーク プロトコルのひとつですが、他のネットワーク プロトコルほど監視されない傾向にあります。DNS は、強固なセキュリティ アーキテクチャを簡単に破壊できる手段として、レッド チームと悪意のある攻撃者の両方にとってますます魅力的になっています。このプレゼンテーションでは、さまざまな目的で DNS を利用していることが確認された、DNSMessenger、DNSpionage などの実際の攻撃における技術的詳細をご説明します。
1 週間のサイバー セキュリティ概況
- Apple 社、iPhone で発見された脱獄の脆弱性に対して修正プログラムをリリース。数週間前に同社がリリースした修正プログラムでは問題の脆弱性が手違いで修正されず、最終的にはセキュリティ研究者によって指摘されていました。
- 米国政府、2020 年の米大統領選挙をランサムウェア攻撃から保護するためのプランを間もなく発表。有権者登録データベースに関連した情報漏えい、不正改ざんやハイジャックなどを防ぐ狙いがあります。
- 最新のスパム攻撃では Google カレンダーの招待機能が攻撃ベクトルとして使用される。スパム攻撃で悪用される Google カレンダーの招待メールには、悪意のあるリンクが含まれています。これらのリンクをクリックすると、攻撃者からの不正な招待メールが引き続き届くようになります。
- ジョージア州の裁判所、今年 6 月に受けたランサムウェア攻撃で依然として復旧作業に追われる。システムが依然としてダウンしているため、刑事犯罪や交通違反通知などを紙面で記録することを余儀なくされています。
- 米国の当局者、イランに対するcyber attack earlier this summer により、米国の石油タンカーを攻撃する同国の能力が低下したと発表。イランによるデータの復元作業は今も完了しておらず、軍事通信ネットワークを含む一部のシステムでは全体の再起動が必要になったと報道されています。
- セキュリティ研究者、Google Play ストア上で 2 つの悪意のあるアプリを発見。これらのアプリはデバイスのバックグラウンドで広告を表示させ、バッテリを消耗し、モバイル データの使用量を増やしていました。2 つのアプリのダウンロード回数は合計で 150 万に上っています。
- ホーム セキュリティ企業の Ring 社、米国全土の 400 以上の警察部門とパートナーシップを結んだと発表。提携内容には、警察との情報共有、Ring 社のオンライン コミュニティへのアクセス、顧客へのリベートなどが含まれます。
- フランスの警察とセキュリティ会社、フランス国内の 85 万台の PC からワームの侵入を許す暗号通貨マイナーを削除すべく提携すると発表。ボットネットの C2 サーバに含まれていた脆弱性を調査担当者が逆手に取ることで、ユーザが追加コードを実行せずに不正マイナーを削除できるようになりました。
- NATO の事務局長である Jens Stoltenberg 氏、29 の加盟国のうち 1 か国でも大規模なサイバー攻撃を受けた場合、NATO 全体として対応すると発表。同氏は NATO 憲章の「第 5 条」が適用され得る例として、2017 年に起きた Wannacry 攻撃をあげています。
- Apple 社、Siri とユーザ間の会話内容を今後は記録しないと発表。会話内容を録音し人間が確認していたことについて謝罪しました。同社によると、Siri の機能を向上させるための任意参加プログラムにすでに切り替え済みです。
最近の注目すべきセキュリティ問題
件名:シスコ製の一部のスマート スイッチで重大な脆弱性が見つかる
説明:小規模企業向けの Cisco 220 シリーズ スマート スイッチで、2 件の脆弱性が特定されました。攻撃者が機密情報を取得したり、悪意のあるコードを挿入したりできる危険性があります。 CVE-2019-1912 の脆弱性では、攻撃者がスイッチのセキュリティ チェックをバイパスし、任意ファイルをアップロードできる可能性があります。 CVE-2019-1913 はバッファ オーバーフローの脆弱性です。攻撃者がマシンにリモートで侵入し、root 権限で任意コードを実行できる危険性があります。
Snort SID:51293 ~ 51295(作成者:John Levy)、51298 ~ 51300(作成者:Amit Raut)、51306 ~ 51307(作成者:Tim Muniz)
件名:人気の VPN サービスの脆弱性により攻撃が集中し、情報が漏えい中
説明:Fortigate および Pulse の各 VPN サービスで見つかった脆弱性で、攻撃者によるエクスプロイトが多発し、暗号化キーやパスワードなどの機密データが盗まれています。先週開始されたこれらのキャンペーンは、Linux および * NIX システムを管理するための Webmin ユーティリティを対象としています。Linux や *NIX システムは企業ネットワーク内のデバイスです。関連する脆弱性により、攻撃者がシステムを完全に乗っ取る危険性があります。
Snort SID:51240 ~ 51243(作成者:John Levy)、51288、51289(作成者:Joanne Kim)
今週最も多く見られたマルウェア ファイル
SHA 256: 3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5: 47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名: qmreportupload.exe
偽装名: qmreportupload
検出名: Win.Trojan.Generic::in10.talos
SHA 256: 7acf71afa895df5358b0ede2d71128634bfbbc0e2d9deccff5c5eaa25e6f5510
MD5: 4a50780ddb3db16ebab57b0ca42da0fb
一般的なファイル名: xme64-2141.exe
偽装名: N/A
検出名: W32.7ACF71AFA8-95.SBX.TG
SHA 256: 1755c179f08a648a618043a5af2314d6a679d6bdf77d4d9fca5117ebd9f3ea7c
MD5: c785a8b0be77a216a5223c41d8dd937f
一般的なファイル名: cslast.gif
偽装名: N/A
検出名: W32.1755C179F0-100.SBX.TG
SHA 256: 46b241e3d33811f7364294ea99170b35462b4b5b85f71ac69d75daa487f7cf08
MD5: db69eaaea4d49703f161c81e6fdd036f
一般的なファイル名: invoice.exe
偽装名: N/A
検出名: W32.46B241E3D3-95.SBX.TG
SHA 256: 093cc39350b9dd2630a1b48372abc827251a3d37bd88c35cea2e784359b457d7
MD5: 3c7be1dbe9eecfc73f4476bf18d1df3f
一般的なファイル名: sayext.gif
偽装名: N/A
検出名: W32.093CC39350-100.SBX.TG
本稿は 2019年8月30日に Talos Group のブログに投稿された「Threat Source newsletter (Aug. 22)」の抄訳です。