脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。
「Tortoiseshell」として知られる攻撃者が、悪意のある偽の Web サイトを使用してマルウェアを配信しています。偽のサイトは求職中の米軍退役軍人を標的にしています。米国では退役軍人の支援に人々が熱心なため、この種のサイトはソーシャル メディアで共有、拡散される可能性があります。
IPhone 11 の発売やトランプ大統領の弾劾、国家支援のサイバー攻撃などの大きなニューヨークもありましたが、今週最大のニュースは何と言ってもエリア 51 でしょう。『Beers with Talos』の最新エピソードではエリア 51 のニュースをはじめ、サイバーセキュリティについて語っています。
週ごとの「脅威のまとめ」もご覧いただけます。この概要は、毎週金曜日の午後に、ブログに掲載されます。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認・ブロックした最も顕著な脅威についてご紹介しています。
今後予定されている Talos の公開イベント
イベント:Virus Bulletin 2019 で発表予定の「DNS on Fire(狙われる DNS)」
開催地:ノボテル ロンドン ウエスト ホテル(英国、ロンドン)
日付:10 月 2 日~ 4 日
講演者:Warren Mercer、Paul Rascagneres
骨子:Talos から Paul と Warren の 2 人が登壇し、DNS を標的とした 2 件の攻撃キャンペーンについて解説します。ひとつは、中東の政府機関や航空会社を標的とするマルウェア「DNSpionage」です。このマルウェアを調査する中で、標的に対する DNS アクセスをリダイレクトする仕組みや、攻撃者が登録した複数の SSL 証明書が特定されています。講演ではこれら 2 件の攻撃手法、攻撃の手順、標的の構成について解説します。
イベント:「It’s never DNS…It was DNS: How adversaries are abusing network blind spots(死角となっている DNS と、それを狙う攻撃者)」 at SecTor
開催地:Metro Toronto コンベンション センター(カナダ、トロント)
日付:10 月 7 日 ~ 10日
講演者:Edmund Brumaghin、Earl Carter
骨子:DNS は大多数の企業ネットワークで最もよく使用されるネットワーク プロトコルのひとつですが、他のネットワーク プロトコルほど監視されない傾向にあります。DNS は、強固なセキュリティ アーキテクチャを簡単に破壊できる手段として、レッド チームと悪意のある攻撃者の両方にとってますます魅力的になっています。このプレゼンテーションでは、さまざまな目的で DNS を利用していることが確認された、DNSMessenger、DNSpionage などの実際の攻撃における技術的詳細をご説明します。
1 週間のサイバー セキュリティ概況
- Apple 社、米国時間 9 月 19 日からすべての対象デバイスに iOS 13 をリリース。最新の iOS ではプライバシーやセキュリティの新機能が追加されましたが、一部は期待どおりに動作していません。
- 数十名の Youtuber、アカウントのログイン情報が盗まれる。週末に起きた一連の攻撃でアカウントが乗っ取られる事態となりました。YouTube クリエーターが偽の Web サイトに騙されてログインしたことで、ログイン情報が盗まれたようです。
- Microsoft 社、Internet Explorer で見つかった緊急の脆弱性について、今週に定例外のセキュリティ更新プログラムをリリース。この脆弱性により、システムを完全に乗っ取られる危険性があります。
- 米国政府、イランに対するサイバー攻撃でいくつかの選択肢を検討していると報じられる。サイバー攻撃の目的は、物理的な攻撃なしで軍事力を低減させることです。
- 米国のセキュリティ企業 CrowdStrike 社、トランプ大統領に対する弾劾調査でニュースの渦中に登場。同社は、2016 年の大統領選挙に対するサイバー攻撃の調査で、民主党全国委員会を支援してきました。CrowdStrike 社の所在地がウクライナだと考えていた大統領は、同社を調査するようウクライナ政府に依頼していました。
- セキュリティ企業の Symantec 社、Google Play ストアでマルウェアを拡散する 25 個のアプリを発見。各アプリは総計で約 210 万回ダウンロードされています。
- Amazon 社、同社製の家庭用 IoT デバイスを接続するための新しいワイヤレス プロトコル「Sidewalk」の草案を発表。同社によれば Wi-Fi と Bluetooth は到達距離が不十分で、5G は現時点でコストが高すぎます。
- マルウェア「Magecart」の攻撃者、公共無線 LAN への攻撃に利用できる新しいコードをテスト中。攻撃者は「Magecart Group 5」として知られ、新しいコードを無害な JavaScript ファイルに埋め込むつもりだと考えられています。
- 米国会計検査院、米国の送電網をサイバー攻撃から保護する上でエネルギー省の取り組みは不十分だと新しい報告書で指摘。世界中の攻撃者により停電を引き起こされる可能性についても指摘していますが、現時点では送電網への影響の有無が判明していません。
最近の注目すべきセキュリティ問題
件名:新しい Emotet キャンペーンが登場(ただしカバレッジは同じです)
説明:2019 年 6 月の上旬から、Emotet の攻撃者は長い夏休みをとっていたようです。コマンドアンドコントロール(C2)のアクティビティ レベルも、そのことを裏付けています。しかし夏の終わりが近付くと、Emotet の C2 インフラでのアクティビティが再び活発になりました。2019 年 9 月 16 日時点で Emotet のボットネットが完全に再活動し、スパム攻撃を再開しています。ただし現在も、中心的な拡散手段はソーシャル エンジニアリングされたスパムメールです。Emotet では、被害者の電子メールに侵入し、未読メッセージの返信に新しい攻撃メッセージを作成します。そのとき、スレッド内にある実際のメッセージの本文を引用します。
Snort SID:47616, 47617, 48402, 49889, 43890 – 43892, 44559, 44560
件名:Aspose PDF API contains multiple remote code execution vulnerabilities
説明:Aspose.PDF API には、リモート コード実行の脆弱性が複数発見されました。Aspose にはさまざまなドキュメント形式のファイルの操作や変換に使える API が一通り用意されています。Aspose の脆弱性は PDF の処理を支援する API に内在するものです。攻撃者は巧妙に細工された悪意のあるファイルを標的に送信し、そのファイル形式に対応する API を使って開くように仕向けることで、この脆弱性をエクスプロイトする可能性があります。
Snort SID:50730, 50731, 50738, 50739
今週最も多く見られたマルウェア ファイル
SHA 256: 7acf71afa895df5358b0ede2d71128634bfbbc0e2d9deccff5c5eaa25e6f5510
MD5: 4a50780ddb3db16ebab57b0ca42da0fb
一般的なファイル名: xme64-2141.exe
偽装名: なし
検出名: W32.7ACF71AFA8-95.SBX.TG
SHA 256: 3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5: 47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名: qmreportupload.exe
偽装名: qmreportupload
検出名: Win.Trojan.Generic::in10.talos
SHA 256: 15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5: 799b30f47060ca05d80ece53866e01cc
一般的なファイル名: mf2016341595.exe
偽装名: なし
検出名: W32.Generic:Gen.22fz.1201
SHA 256: c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5: e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名: c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名: なし
検出名: W32.AgentWDCR:Gen.21gn.1201
SHA 256: 46b241e3d33811f7364294ea99170b35462b4b5b85f71ac69d75daa487f7cf08
MD5: db69eaaea4d49703f161c81e6fdd036f
一般的なファイル名: xme32-2141-gcc.exe
偽装名: なし
検出名: W32.46B241E3D3-95.SBX.TG
本稿は 2019年9月26日に Talos Group のブログに投稿された「Threat Source newsletter (Sept. 26)」の抄訳です。