脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。
「常に最新状態に保て」。これは繰り返し言われていることです。最近発生した Watchbog の大規模感染についてシスコのインシデント対応チームが掘り下げた記事は、最新状態に保つ大切さを物語っています。今週の記事では感染が発生した理由と、そこからの教訓をお伝えしています。
関連するトピックですが、今週火曜日は Microsoft 社から月例のセキュリティ更新プログラムが提供されました。関連記事では、注目すべき脆弱性の内訳と Snort カバレッジについて説明しています。
「ハッカーになって大金を稼げたら・・・」、そう考えたことはありませんか?実のところ、ハッカーになるのは非常に危険です。『Beers with Talos』の最新エピソード(ポッドキャストで配信中)では、Craig をはじめとするメンバーが「逆ハッキング」や Matt の Twitter フォロワーの多さなどについて語ります。
週ごとの「脅威のまとめ」もご覧いただけます。この概要は、毎週金曜日の午後に、ブログに掲載されます。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認・ブロックした最も顕著な脅威についてご紹介しています。
今後予定されている Talos の公開イベント
イベント:Virus Bulletin 2019 で発表予定の「DNS on Fire(狙われる DNS)」
開催地:ノボテル ロンドン ウエスト ホテル(英国、ロンドン)
日付:10 月 2 日~ 4 日
講演者:Warren Mercer、Paul Rascagneres
骨子:Talos から Paul と Warren の 2 人が登壇し、DNS を標的とした 2 件の攻撃キャンペーンについて解説します。ひとつは、中東の政府機関や航空会社を標的とするマルウェア「DNSpionage」です。このマルウェアを調査する中で、標的に対する DNS アクセスをリダイレクトする仕組みや、攻撃者が登録した複数の SSL 証明書が特定されています。講演ではこれら 2 件の攻撃手法、攻撃の手順、標的の構成について解説します。
イベント:「It’s never DNS…It was DNS: How adversaries are abusing network blind spots(死角となっている DNS と、それを狙う攻撃者)」 at SecTor
開催地:Metro Toronto コンベンション センター(カナダ、トロント)
日付:10 月 7 日 ~ 10日
講演者:Edmund Brumaghin、Earl Carter
骨子:DNS は大多数の企業ネットワークで最もよく使用されるネットワーク プロトコルのひとつですが、他のネットワーク プロトコルほど監視されない傾向にあります。DNS は、強固なセキュリティ アーキテクチャを簡単に破壊できる手段として、レッド チームと悪意のある攻撃者の両方にとってますます魅力的になっています。このプレゼンテーションでは、さまざまな目的で DNS を利用していることが確認された、DNSMessenger、DNSpionage などの実際の攻撃における技術的詳細をご説明します。
1 週間のサイバー セキュリティ概況
- 米国の一部の州では、民間の調査員を含む民間企業に運輸局が運転免許データを販売していたことが判明。州が個人情報を販売することはデータ契約に書かれていますが、免許を申請・更新する運転者は契約内容を読まない傾向にあります。
- 一部の Chromebook ユーザ、デバイスのサポートが終了したと誤って通知される。誤った通知が届いたのは一部の最新デバイスで、「最新のセキュリティ更新プログラムを受け取るには最新ハードウェアへのアップグレードが必要」とのメッセージが再起動後に通知されました。Google 社はこのバグを修正済みです。
- 米国の送電網を狙ったサイバー攻撃が初めて確認されたことが最新の報告書で判明。北米電力信頼度協議会は、3 月にサイバー攻撃を受けた際に、送電網のごく一部で監視に障害が発生したと述べています。
- Wikipedia、一連のサービス妨害攻撃によりヨーロッパと中東からアクセス不能になる。DDoS によりアクセスできない状態が 3 日間続きました。
- 中国のハイテク企業 Huawei 社のために情報を盗んだとして、テキサス州の教授が刑事告発を受ける。この教授は同じ問題ですでに民事訴訟を受けています。
- Apple 社製の iOS、過去数週間にわたって複数の脆弱性が公開される。最もセキュリティの高いモバイル OS は iOS だと考えられてきましたが、その評判が打撃を受けています。セキュリティ研究者は、iOS と Web ブラウザ「Safari」の独自コードを同社が過信していた可能性があると述べています。
- 物議を醸しているイスラエルの NSO グループから米国の麻薬取締局がマルウェアを購入する寸前だったことが新しい電子メールで判明。最終的には費用面の問題で購入には至らなかったようです。
- 非営利組織であるユニセフ、オンライン ポータルにアクセスした 8,000 人を超えるユーザの個人データを誤って漏洩させる。ユニセフは 2 万人のユーザに電子メールでそれらの情報を送信した後、ポータルを短時間閉鎖しました。
- 現在は閉鎖された給与処理会社、ニューヨークの一部の銀行口座から数百万ドルを引き出した後、CEO が逃走。MyPayrollHR 社は事業閉鎖の通知を 2 週間前に顧客に送りましたが、今週になって顧客の従業員の口座から 1 ヵ月分の給与を勝手に引き出しました。
最近の注目すべきセキュリティ問題
件名:Microsoft 社、セキュリティ更新プログラムで 19 件の「緊急」な脆弱性を修正
説明:Microsoft 社は今週、各種の同社製品で確認された脆弱性に対して月例のセキュリティ更新プログラムをリリースしました。今月のセキュリティ更新プログラムでは 85 件の新たな脆弱性が修正されています。そのうち 19 件が「緊急」、65 件が「重要」、1 件が「警告」と評価されています。また、Adobe Flash Player の最新バージョンに関する重要なアドバイザリも出されました。今月のセキュリティ更新プログラムでは、Jet Database Engine や Hyper-V ハイパーバイザなどの Microsoft 製品・サービスで確認されたセキュリティ問題が修正されています。
Snort SID:51436 – 51438, 51445, 51446, 51449 – 51452, 51454 – 51457, 51463 – 51465, 51479 – 51483
件名:一部の NETGEAR 社製ルータで DoS 攻撃につながる脆弱性が確認される
説明:NETGEAR N300 シリーズのワイヤレス ルータでは、2 件のサービス妨害の脆弱性が確認されました。N300 は、ワイヤレス ルータの基本機能を備えた、小型で手頃な価格のワイヤレス ルータです。ルータの各機能に特定の SOAP または HTTP 要求が送信されると、脆弱性がエクスプロイトされ、ルータが完全にクラッシュする危険性があります。
Snort SID:50040(作成者:Dave McDaniel)
今週最も多く見られたマルウェア ファイル
SHA 256: 15ffbb8d382cd2ff7b0bd4c87a7c0bffd1541c2fe86865af445123bc0b770d13
MD5: c24315b0585b852110977dacafe6c8c1
一般的なファイル名:puls.exe
偽装名:該当なし
検出名:W32.DoublePulsar:WNCryLdrA.22is.1201
SHA 256: 7acf71afa895df5358b0ede2d71128634bfbbc0e2d9deccff5c5eaa25e6f5510
MD5: 4a50780ddb3db16ebab57b0ca42da0fb
一般的なファイル名:xme64-2141.exe
偽装名:該当なし
検出名:W32.7ACF71AFA8-95.SBX.TG
SHA 256: 46b241e3d33811f7364294ea99170b35462b4b5b85f71ac69d75daa487f7cf08
MD5: db69eaaea4d49703f161c81e6fdd036f
一般的なファイル名:xme32-2141-gcc.exe
偽装名: 該当なし
検出名:W32.46B241E3D3-95.SBX.TG
SHA 256: 3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5: 47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload
偽装名:qmreportupload.exe
検出名:Win.Trojan.Generic::in10.talos
SHA 256: 093cc39350b9dd2630a1b48372abc827251a3d37bd88c35cea2e784359b457d7
MD5: 3c7be1dbe9eecfc73f4476bf18d1df3f
一般的なファイル名:sayext.gif
偽装名:該当なし
検出名:W32.093CC39350-100.SBX.TG
本稿は 2019年9月12日に Talos Group のブログに投稿された「Threat Source newsletter (Sept. 12, 2019)」の抄訳です。