脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。
今月も Microsoft 社の製品の更新時期がやってきました。同社は今週、各種の製品で確認された 60 件以上の脆弱性に対して月例のセキュリティ更新プログラムをリリースしました。今回は Microsoft 社製の各種サービスとソフトウェア、JavaScript エンジン「Chakra」、Windows OS、および SharePoint ソフトウェアで発見されたセキュリティ脆弱性が対象です。主な脆弱性については解説記事を、Talos の Snort カバレッジについては関連記事をご覧ください。
週ごとの「脅威のまとめ」もご覧いただけます。この概要は、毎週金曜日の午後に、ブログに掲載されます。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認・ブロックした最も顕著な脅威についてご紹介しています。
Virus Bulletin カンファレンスで最高名誉の「PeterSzör」賞を Talos の研究者が受賞しました。今回の成果について大変光栄に思います。
今後予定されている Talos の公開イベント
イベント:「It’s never DNS…It was DNS: How adversaries are abusing network blind spots(死角となっている DNS と、それを狙う攻撃者)」 at SecureWV/Hack3rCon X
開催地:チャールストンコロセウム・コンベンションセンター(ウエストバージニア州チャールストン)
日付:11 月 15 日 ~ 17 日
講演者:Edmund Brumaghin、Earl Carter
骨子:DNS は企業ネットワークで使用される代表的なネットワークプロトコルですが、他のネットワークプロトコルほど監視されない傾向にあります。しかし DNS は、強固なセキュリティアーキテクチャを簡単に破壊できる手段として、レッドチームと悪意のある攻撃者の両方にとってますます魅力的になっています。このプレゼンテーションでは、さまざまな目的で DNS を悪用していることが確認された、DNSMessenger や DNSpionage などの実際の攻撃における技術的詳細をご説明します。
イベント: 「Talos at 」BSides Belfast
開催地: Titanic Belfast(北アイルランド、ベルファスト)
日付: 10 月 31 日
骨子: Talos の複数の研究者が 4 つの講演を行う予定です。最初に、脅威ハンティングの利点について Martin Lee が概要を説明し、最近発生した一連のサプライチェーン攻撃について Nick Biasini と Edmund Brumaghin が解説します。Edmund Brumahin と Earl Carter による「死角となっている DNS と、それを狙う攻撃者」の講演が続き 、最後に iOS に対する攻撃について Paul Rascagneres が最近の研究をご紹介します。
サイバーセキュリティ週間の概要
- Apple 社、新しい macOS「Catalina」を今週リリース。いくつかの新しいセキュリティ機能が搭載されていますが、研究者はすでに一連の脆弱性(メモリ破壊やバッファオーバーフローなど)を発見しています。
- 暗号化解除を求める米国政府、未成年者による悪用事例を引き合いに出す傾向を強める。しかしセキュリティ専門家の間では、暗号化のメリットについて一般の人々に誤解を広めかねないとの懸念が上がっています。
- イランのハッカー集団、セキュリティ研究者に攻撃の矛先を向ける。問題のハッカー集団は米国の大統領候補者に対するサイバー攻撃で犯人だと考えられていますが、それを暴いたのが狙われている研究者です。ハッカー集団は通称「Charming Kitten(チャーミングな子猫)」で、セキュリティ専門家を標的にした Web メールサイトを構築しています。
- Twitter 社、二要素認証に関連付けられた電子メールアドレスと電話番号を使用してターゲット広告を配信していたと公表。影響を受けたユーザの数については不明だとしています。
- Apple 社、中国政府の警官隊を追跡するために香港のデモ隊が使用していたアプリを App Store から削除。香港で情勢不安が続く中、今回のように中国政府が米国企業に圧力をかけるケースが増えています。
- FBI、データ誤用により米国市民や自組織内の人員を監視対象に含めていたことが判明。最近公開された裁判所の文書では、FBI が特定の個人に対して不適切にデータを検索するなど、いくつかのデータ誤用事例が明るみに出ました。これらの事例はいずれも、米国の外国諜報活動監視裁判所によって発見されたものです。
- コードリポジトリの GitHub 社、アメリカ合衆国移民・関税執行局(ICE)との連携に対して従業員からの反発に直面。同社は ICE との間で GitHub Enterprise Server のライセンス契約を更新する準備を進めている模様です。
- セキュリティ研究者、被害者のデバイスにマルウェアをインストールする新たなアプリを Google Play ストアで複数発見。これらのアプリはゲームや写真編集アプリに偽装していますが、実際にはトロイの木馬、アドウェア、スパイウェア、情報窃取型のマルウェアなどです。
- 米国上院情報問題特別調査委員会による新しい報告書、米国選挙に対するロシアの情報操作が収まる気配はないと指摘。報告書は、情報操作の主な狙いが黒人コミュニティであることも指摘しています。
最近の注目すべきセキュリティ問題
件名:Microsoft 社、月例のセキュリティ更新プログラムで 60 件の脆弱性を修正
説明:Microsoft 社は、各種の製品で確認された脆弱性に対して月例のセキュリティ更新プログラムをリリースしました。今回は 9 件の「緊急」を含む 60 件の脆弱性が修正されています。
対象となるのは、Microsoft 社製の各種サービスとソフトウェア、JavaScript エンジン「Chakra」、Windows OS、および SharePoint ソフトウェアで発見されたセキュリティ脆弱性です。
Snort SID:51733 ~ 51736、51739 ~ 51742、51781 ~ 51794
件名:Schneider Electric 社製 Modicon M580 で発見された複数の脆弱性
説明: Schneider Electric 社製の Modicon M580 には複数の脆弱性が発見されました。それらの大部分はサービス拒否につながる可能性があります。Modicon は Schneider Electric 社のプログラマブル自動化コントローラ製品であり、Modicon M580 はその新製品です。脆弱性の大半は Modicon における FTP の使用方法に起因しています。Schneider Electric 社製の Modicon M580、BMEP582040 SV 2.80 が今回の脆弱性の影響を受けることが確認済みです。
Snort SID:49982、49983
今週最も多く見られたマルウェア ファイル
SHA 256: 3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5: 47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名: qmreportupload.exe
偽装名: qmreportupload
検出名: Win.Trojan.Generic::in10.talos
SHA 256: 7acf71afa895df5358b0ede2d71128634bfbbc0e2d9deccff5c5eaa25e6f5510
MD5: 4a50780ddb3db16ebab57b0ca42da0fb
一般的なファイル名: xme64-2141.exe
偽装名: N/A
検出名: W32.7ACF71AFA8-95.SBX.TG
SHA 256: ce8cb7c8dc29b9e4feab463fdf53b569b69e6a5c4ab0e50513b264563d74a6ac
MD5: 0e02555ede71bc6c724f9f924320e020
一般的なファイル名: dllhostex.exe
偽装名: Microsoft® Windows® Operating System
検出名: W32.CoinMiner:CryptoMinerY.22k3.1201
SHA 256: c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5: e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名: c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名: N/A
検出名: W32.AgentWDCR:Gen.21gn.1201
SHA 256: 15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5: 799b30f47060ca05d80ece53866e01cc
一般的なファイル名: mf2016341595.exe
偽装名: N/A
検出名: W32.Generic:Gen.22fz.1201
本稿は 2019年10月10日に Talos Group のブログに投稿された「Threat Source newsletter (Oct. 10, 2019)」の抄訳です。