Cisco Japan Blog

脅威情報ニュースレター(2019 年 10 月 24 日)

1 min read



脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。

どのようなマルウェア ファミリであれ、完全に絶滅したと断定することはできません。Emotet や Gustuff などのマルウェアは、一度は消滅したと考えられていましたが復活したからです。今年初めに Talos が発見したバンキング型トロイの木馬も同様です。しばらくなりを潜めていましたが最近になってバージョン 2 が登場し、新しい検出対抗手口により感染を広めています。

週ごとの「脅威のまとめ」もご覧いただけます。この概要は、毎週金曜日の午後に、ブログに掲載されます。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認・ブロックした最も顕著な脅威についてご紹介しています。

今後予定されている Talos の公開イベント

イベント: Talos at BSides Belfast popup_icon
」開催地: Titanic Belfast(北アイルランド、ベルファスト)
日付: 10 月 31 日
骨子: Talos の複数の研究者が 4 つの講演を行う予定です。最初に、脅威ハンティングの利点について Martin Lee が概要を説明し、最近発生した一連のサプライチェーン攻撃について Nick Biasini と Edmund Brumaghin が解説します。Edmund Brumahin と Earl Carter による「死角となっている DNS と、それを狙う攻撃者」の講演が続き 、最後に iOS に対する攻撃について Paul Rascagneres が最近の研究をご紹介します。

イベント:「It’s never DNS…It was DNS: How adversaries are abusing network blind spots(死角となっている DNS と、それを狙う攻撃者)」 at SecureWV/Hack3rCon Xpopup_icon
開催地:チャールストンコロセウム・コンベンションセンター(ウエストバージニア州チャールストン)
日付:11 月 15 日 ~ 17 日
講演者:Edmund Brumaghin、Earl Carter
骨子:DNS は企業ネットワークで使用される代表的なネットワークプロトコルですが、他のネットワークプロトコルほど監視されない傾向にあります。しかし DNS は、強固なセキュリティアーキテクチャを簡単に破壊できる手段として、レッドチームと悪意のある攻撃者の両方にとってますます魅力的になっています。このプレゼンテーションでは、さまざまな目的で DNS を利用していることが確認された、DNSMessenger、DNSpionage などの実際の攻撃における技術的詳細をご説明します。

1 週間のサイバーセキュリティ概況

  • 人気の VPN サービス NordVPN、報道されていたデータ漏洩を今週になって認めるpopup_icon。セキュリティ研究者は、内部秘密キーが期限切れ後も公開され続けていることを発見しました。これにより誰でも独自の VPN サーバを立ち上げて NordVPN のサービスだと偽装できる状態でした。
  • 米軍、サイバー戦争に備えるため熟練したハッカーの募集を続けるpopup_icon。米国のサイバー軍は、大西洋艦隊も含まれる 11 の「統合軍」に昇格されるなど、最近になって重要性がさらに増しています。
  • Amazon 社製の Echo および Kindle、中間者攻撃を受けかねない Wi-Fi の脆弱性popup_iconが特定される。サービス拒否攻撃を受けた場合、デバイスに送信された情報が傍受され、デバイスが処理した情報を解読される危険性があります。
  • アメリカ国会議事堂の厳重警備エリアに携帯電話を持ち込んだpopup_icon共和党議員らに対して、セキュリティ専門家からの批判が集中。厳重警備エリアでは電子機器の持ち込みが厳重に制限されていますが、問題の議員らはトランプ弾劾の聴聞会を妨害する目的で携帯電話を持ち込みました。
  • ホワイトハウスの無線ネットワークに関して、攻撃を受ける危険性があるpopup_iconと指摘した内部メモの存在が報道される。トランプ政権は長年の IT スタッフを多数解雇しているため、ホワイトハウスがネットワーク侵害に対して脆弱になっている可能性が指摘されています。
  • セキュリティ研究者、Google Play ストアで発見された 42 個の不正アプリpopup_iconの開発者がベトナムの学生であることを突き止める。これらのアプリは、ユーザが立ち上げてから数分後に不正コンテンツを表示します。
  • Apple 社、Apple Store から 17 の不正アプリを削除popup_icon。いずれの不正アプリも、トロイの木馬によるクリック詐欺で悪意のある Web ページを配信していました。
  • B2B の決済サービスを提供する Billtrust 社、ランサムウェア攻撃からの修復がまだ完了していないpopup_iconと認める。同社はマルウェアの正確な種類を公表していません。同社によれば、サービスの大半は最初の感染から約 1 週間後に復旧しています。
  • 米国議会の民主党議員、IoT デバイスのセキュリティを強化するための新しい法案を今週に提出popup_icon。法案では、専門家の委員会により IoT デバイスの「サイバーベンチマーク」を確立することを目指しています。

最近の注目すべきセキュリティ問題

件名:Gustuff V2 
説明:オーストラリアの金融機関をターゲットにしたバンキング型トロイの木馬「Gustuff」が、最初に登場してから数ヵ月後に、新しい機能を加えて再び発生しました。Cisco Talos が初めて Gustuff について報告したのは 4 月です。その直後に、Gustuff の背後にいる攻撃者はまず配信ホストを変更し、続けてコマンドアンドコントロール(C2)インフラストラクチャを無効にしました。しかし SMS を利用した 2 つ目の操作チャネルがあるため、C2 を無効にした後も攻撃者には引き続きマルウェアの制御が可能でした。最新バージョンの Gustuff では、パッケージ名がハードコーディングされていません。また以前のバージョンに比べて、静的な痕跡が大幅に少なくなっています。
Snort SID51908 ~ 51922

件名:WhatsApp で GIF 関連の脆弱性が見つかるpopup_icon
説明:メッセージングアプリの WhatsApp に「ダブルフリー」の脆弱性(CVE-2019-11932)が特定されました。この脆弱性はメモリリークや任意コードの実行など、さまざまな不正目的でエクスプロイトされる可能性があります。脆弱性をエクスプロイトするには、細工された GIF を WhatsApp ユーザに攻撃者から送信する必要があります。以下のルールは、不正な GIF ファイルを介したリモートからのコード実行を防ぎます。
Snort SID51953 ~ 51956(作成者:Tim Muniz)

今週最も多く見られたマルウェア ファイル

SHA 256 7acf71afa895df5358b0ede2d71128634bfbbc0e2d9deccff5c5eaa25e6f5510popup_icon
MD5 4a50780ddb3db16ebab57b0ca42da0fb
一般的なファイル名: xme64-2141.exe
検出名: N/A
検出名:W32.7ACF71AFA8-95.SBX.TG

SHA 256 46b241e3d33811f7364294ea99170b35462b4b5b85f71ac69d75daa487f7cf08popup_icon
MD5 db69eaaea4d49703f161c81e6fdd036f
一般的なファイル名: xme32-2141-gcc.exe
検出名: N/A
検出名: W32.46B241E3D3-95.SBX.TG

SHA 256 c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f popup_icon
MD5 e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
検出名:N/A
検出名: W32.AgentWDCR:Gen.21gn.1201

 

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon 
MD5 8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名: Eternalblue-2.2.0.exe
偽装名: N/A
検出名: W32.WNCryLdrA:Trojan.22k2.1201

SHA 256 15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8bpopup_icon
MD5 799b30f47060ca05d80ece53866e01cc
一般的なファイル名: mf2016341595.exe
偽装名: N/A
検出名: W32.Generic:Gen.22fz.1201

 

本稿は 2019年10月24日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Oct. 24, 2019)popup_icon」の抄訳です。

コメントを書く